Hướng dẫn cấu hình SPF và DKIM khi sử dụng Email tại Mắt Bão

Lê Châu Hải My 5 phút đọc

SPF và DKIM là hai vũ khí mà bạn có thể dùng phối hợp với nhau để hỗ trợ cho tên miền của bạn gởi Email được tốt hơn. Vì một số lý do liên quan đến quyền chủ sở hữu tên miền mà chúng tôi thường không cấu hình sẵn. Bạn hoàn toàn có quyền yêu cầu nhân viên hỗ trợ hoặc bạn có thể tự thực hiện dễ dàng.

1. SPF (Sender Policy Framework)

Các dịch vụ Email tại Mắt Bão (bao gồm mail Plus, Email Server Riêng), dùng chung một mẫu bản ghi SPF dưới đây:

v=spf1 mx include:spf1.emailserver.vn include:dnsexit.com include:spf.authmailer.com ~all

Để cấu hình bản ghi này, bạn bổ sung loại TXT (Text) trong cấu hình DNS cho tên miền:

  • Host/Tên: @
  • Value/Giá trị: v=spf1 mx include:spf1.emailserver.vn include:dnsexit.com include:spf.authmailer.com ~all

Kiểm tra việc thành công của SPF rất đơn giản, bạn chỉ cần thử gởi email đến địa chỉ gmail.com. Khi nhận email, trên màn hình của Gmail bạn dùng chức năng xem bản gốc (Show original), bạn sẽ tìm thấy dòng thông báo tương tự:

1
2
Received-SPF: pass (google.com: domain of ten@tenmien.com
designates 11.22.33.44 as permitted sender) client-ip=11.22.33.44;

Nếu có vấn đề gì sai, bạn sẽ nhận được mẫu thông báo:

1
2
Received-SPF: softfail (google.com: domain of transitioning ten@tenmien.com
does not designate 11.22.33.44 as permitted sender) client-ip=11.22.33.44;

Ngoài ra, bạn còn có thể tham khảo thêm tại bài viết Sender Policy Framework – SPF Record Syntax.

2. DKIM (DomainKeys Identified Mail)

Nguyên tắc hoạt động của DKIM là mã hóa một số dữ liệu của Email như From:Subject:Date:Message-ID:To… thành một chuỗi ký tự (có thể gọi là ký vào email). Khi email được gởi đi, máy chủ nhận email sẽ kiểm tra chữ ký này với thông số được cấu hình thông qua DNS để xác nhận. Vì chỉ có chủ sở hữu tên miền mới có thể cấu hình DNS nên không thể giả mạo chữ ký này.

  1. Trước_tiên_bạn_phải_tạo_ra_chữ_ký_bằng_cách_truy_cập_vào_http:wwwportCFcomsupportdomainkeysdkim-wizard|DKIM_Wizard].
    • Bạn nhập tên miền của mình vào ô Domain name, ví dụ: tenmien.com
    • Bạn nhập DomainKey Selector, đơn giản là bạn đặt tên để phân biệt máy chủ, ví dụ: mail1
  2. Nhấn nút CREATE KEYS, trang web sẽ cho bạn 2 bộ key Public và Private

Cài đặt Public Key

Bạn hãy bổ sung một bản ghi loại TXT (Text) trong cấu hình DNS cho tên miền như sau:

  • Host/Tên: mail1._domainkey
  • Value/Giá trị: k=rsa; p=YOUR-PUBLIC-KEY

Bạn thay chữ YOUR-PUBLIC-KEY bằng giá trị Public Key mà trang web cung cấp, nhớ bỏ đi phần -----BEGIN PUBLIC KEY----------END PUBLIC KEY-----

Giá trị bản ghi của bạn sẽ nhìn như sau:

1
2
3
k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDdnL4NK4lNFc2eFAEW5GIiFpjxnS6qQUh+Pzc6
fgscbGY8nw2vnJrjWpuSP6YkXOe6z+eS51tIpWMlwGYKOlsGyHRygQMDTgexErn6nNRP5YlSnfEBWpIxRBjmZ
ENz9gaHeJ7tlXXF4rS94DRgbhXbQtjhOWI3xLmiSIduY/f58QIDAQAB

Cài đặt Private Key

Phần mã này được cài vào Email Server, tùy vào loại dịch vụ bạn đăng ký tại Mắt Bão mà bạn được phép truy cập vào chức năng cấu hình này hay không. Với các dịch vụ Mail Plus, Email Server Riêng, bạn thực hiện như sau:

Đối với IceWarp

  • Truy cập vào trang WebAdmin của dịch vụ, ví dụ: http://mail.tenmien.com/admin, đăng nhập với Email và Password có quyền quản trị.
  • Nhấp vào Management -> Settings -> DKIM
  • Nhấp đánh dấu Active
  • Nhập Selector là mail1 (như ở bước trên khi bạn nhập DomainKey Selector)
  • Nhập Domain là tên miền bạn đang dùng
  • Copy và Paste nội dung Private Key vào đây, nhớ cũng bỏ đi phần -----BEGIN/END RSA PRIVATE KEY-----

Kiểm tra kết quả cài đặt

Cũng như SPF, bạn thử gởi email đến Gmail và xem kết quả. Nếu thành công, bạn sẽ thấy thông báo:

1
2
3
Authentication-Results: mx.google.com;
       spf=pass (google.com: domain of ten@tenmien.com designates 11.22.33.44 as permitted sender) smtp.mail=ten@tenmien.com;
       dkim=pass header.i=@tenmien.com

Lưu ý phần dkim=pass, do có nhiều tính huống sai khác nhau, bạn sẽ thấy kết quả và giải thích ở vị trí đó.