Thiết lập DMARC

DMARC cho máy chủ email nhận thư biết phải làm gì với những thư được gửi từ miền của bạn mà không vượt qua được quy trình xác thực bằng SPF hoặc DKIM. Các lựa chọn xử lý là từ chối, cách ly hoặc gửi thư. Bạn cũng có thể nhận được báo cáo giúp xác định các vấn đề có thể xảy ra về quy trình xác thực và hoạt động độc hại đối với thư được gửi từ miền của bạn. Thiết lập DMARC bằng cách thêm bản ghi TXT DNS DMARC (bản ghi DMARC) vào miền của bạn.

Bản ghi DMARC là một dòng văn bản mà bạn thêm vào miền theo hướng dẫn của nhà cung cấp miền. Dưới đây là ví dụ về bản ghi DMARC:

v=DMARC1; p=reject; rua=mailto:postmaster@example.com, mailto:dmarc@example.com; pct=100; adkim=s; aspf=s

Khi nhận được email từ miền của bạn mà không vượt qua được SPF hoặc DKIM, máy chủ nhận thư sẽ kiểm tra bản ghi DMARC để xác định cách xử lý thư: Từ chối, cách ly hoặc gửi bình thường.

Trên trang này

Trước khi bắt đầu
Bước 1: Thiết lập một nhóm hoặc hộp thư cho báo cáo
Bước 2: Đảm bảo email của bên thứ ba được xác thực
Bước 3: Xác định bản ghi DMARC
Bước 4: Thêm bản ghi DMARC vào miền
Chủ đề liên quan

Trước khi bắt đầu

Bạn phải bật SPF và/hoặc DKIM cho miền của mình thì mới có thể sử dụng DMARC. Nếu bạn chưa thiết lập SPF và/hoặc DKIM, hãy tham khảo bài viết Ngăn chặn hành vi giả mạo, lừa đảo và thư rác.
- Nếu bạn không thiết lập SPF và/hoặc DKIM trước khi bật DMARC, thì thư gửi từ miền của bạn có thể sẽ gặp vấn đề khi gửi đi.
- Hãy đợi 48 giờ sau khi thiết lập SPF và/hoặc DKIM rồi mới thiết lập DMARC.
Để kiểm tra xem bạn đã thiết lập DMARC cho miền của mình hay chưa, hãy sử dụng một trong nhiều công cụ miễn phí có trên Internet. Nếu đã thiết lập DMARC, bạn nên xem báo cáo DMARC để kiểm tra xem DMARC có đang xác thực thư một cách hiệu quả và thư có đang được gửi như dự kiến hay không.
Bạn không cần làm gì trong Bảng điều khiển dành cho quản trị viên của Google để thiết lập DMARC. Thay vào đó, hãy xác định bản ghi DMARC bằng cách làm theo hướng dẫn trên trang này. Sau đó, hãy đăng nhập vào công ty lưu trữ miền rồi thêm bản ghi DMARC theo hướng dẫn về DMARC của công ty lưu trữ miền.

Bước 1: Thiết lập một nhóm hoặc hộp thư cho báo cáo

Số lượng báo cáo DMARC mà bạn nhận được qua email có thể khác nhau, tuỳ thuộc vào số lượng email mà miền của bạn gửi và số lượng miền mà bạn gửi đến. Bạn có thể nhận được nhiều báo cáo mỗi ngày. Các tổ chức lớn có thể nhận được hàng trăm hoặc thậm chí hàng nghìn báo cáo mỗi ngày. Bạn nên tạo một nhóm hoặc hộp thư riêng để nhận và quản lý báo cáo DMARC.

Quan trọng: Thông thường, địa chỉ email cho báo cáo nằm trong cùng miền với miền lưu trữ bản ghi DMARC. Nếu địa chỉ email có một miền khác, bạn phải thêm bản ghi DNS vào miền đó. Hãy xem phần Gửi báo cáo đến một địa chỉ email trong miền khác trên trang báo cáo DMARC.

Bước 2: Đảm bảo email của bên thứ ba được xác thực

Nếu bạn sử dụng một dịch vụ của bên thứ ba để gửi thư cho tổ chức của mình, bạn phải đảm bảo rằng thư do các dịch vụ của bên thứ ba gửi được xác thực và vượt qua quy trình kiểm tra SPF và DKIM:

Liên hệ với nhà cung cấp bên thứ ba để đảm bảo bạn đã thiết lập SPF và DKIM đúng cách.
Đảm bảo miền của người gửi trong phong bì thư của nhà cung cấp khớp với miền của bạn. Thêm địa chỉ IP của máy chủ thư gửi của nhà cung cấp vào bản ghi SPF cho miền của bạn.
Định tuyến thư đi từ nhà cung cấp thông qua Google bằng cách sử dụng chế độ cài đặt dịch vụ chuyển tiếp SMTP.

Bước 3: Xác định bản ghi DMARC

Chính sách DMARC của bạn được xác định trong một dòng giá trị văn bản có tên là bản ghi DMARC. Bản ghi này xác định:

Mức độ nghiêm ngặt mà DMARC nên kiểm tra thư
Các hành động được đề xuất cho máy chủ nhận thư khi máy chủ này nhận được thư không vượt qua được quy trình kiểm tra xác thực

Ví dụ về bản ghi DMARC (thay example.com bằng miền của bạn):

v=DMARC1; p=reject; rua=mailto:postmaster@example.com, mailto:dmarc@example.com; pct=100; adkim=s; aspf=s.

Bạn phải liệt kê thẻ v và p trước. Bạn có thể liệt kê các thẻ khác theo bất kỳ thứ tự nào.

Khi bắt đầu sử dụng DMARC, bạn nên đặt tuỳ chọn chính sách (p) thành none. Khi tìm hiểu cách máy chủ nhận thư xác thực thư từ miền của bạn, hãy cập nhật chính sách. Theo thời gian, hãy thay đổi chính sách của máy chủ nhận thư thành quarantine (cách ly) (hoặc reject (từ chối)). Xem phần Đề xuất triển khai DMARC.

Định nghĩa và giá trị của thẻ bản ghi DMARC

Thẻ	Nội dung mô tả và giá trị
v	(Bắt buộc) Phiên bản DMARC. Phải là DMARC1.
p	(Bắt buộc) Hướng dẫn máy chủ thư nhận thư cách xử lý những thư không vượt qua được quy trình xác thực. none—Không thực hiện hành động nào đối với thư và gửi thư đến người nhận dự kiến. Ghi nhật ký thư trong báo cáo hằng ngày. Báo cáo được gửi đến địa chỉ email được chỉ định bằng tuỳ chọn rua trong bản ghi. quarantine—Đánh dấu thư là thư rác và gửi đến thư mục thư rác của người nhận. Người nhận có thể xem xét thư rác để xác định thư hợp lệ. reject—Từ chối thư. Với tuỳ chọn này, máy chủ nhận thư thường gửi thư phản hồi đến máy chủ gửi. Lưu ý về BIMI: Nếu miền của bạn sử dụng BIMI, thì tuỳ chọn p DMARC phải được đặt thành quarantine (cách ly) hoặc reject (từ chối). BIMI không hỗ trợ chính sách DMARC có tuỳ chọn p được đặt thành none.
pct	Thẻ pct là không bắt buộc nhưng Google khuyên bạn nên đưa thẻ này vào bản ghi DMARC khi triển khai DMARC để có thể quản lý tỷ lệ phần trăm email mà chính sách DMARC của bạn áp dụng. Chỉ định tỷ lệ phần trăm thư chưa được xác thực phải tuân theo chính sách DMARC. Khi triển khai DMARC dần dần, bạn có thể bắt đầu với một tỷ lệ phần trăm nhỏ thư. Khi có nhiều thư từ miền của bạn vượt qua được quy trình xác thực với máy chủ nhận thư, hãy cập nhật bản ghi với tỷ lệ phần trăm cao hơn cho đến khi đạt 100%. Phải là một số nguyên từ 1 đến 100. Nếu bạn không sử dụng tuỳ chọn này trong bản ghi, thì chính sách DMARC của bạn sẽ áp dụng cho 100% thư được gửi từ miền của bạn. Lưu ý về BIMI: Nếu miền của bạn sử dụng BIMI, thì chính sách DMARC của bạn phải có giá trị pct là 100. BIMI không hỗ trợ chính sách DMARC có giá trị pct được đặt thành dưới 100.
rua	Thẻ rua là không bắt buộc nhưng Google khuyên bạn nên luôn đưa thẻ này vào bản ghi DMARC. Gửi báo cáo DMARC đến một địa chỉ email. Địa chỉ email phải có mailto:. Ví dụ: mailto:dmarc-reports@example.com (thay example.com bằng miền của bạn). Để gửi báo cáo DMARC đến nhiều email, hãy phân tách từng địa chỉ email bằng dấu phẩy và thêm tiền tố mailto: trước mỗi địa chỉ. Ví dụ: mailto:dmarc-reports@example.com, mailto:dmarc-admin@example.com (thay example.com bằng miền của bạn). Tuỳ chọn này có thể dẫn đến số lượng email báo cáo lớn. Bạn không nên sử dụng địa chỉ email của riêng mình. Thay vào đó, hãy cân nhắc sử dụng một hộp thư riêng, một nhóm hoặc một dịch vụ của bên thứ ba chuyên về báo cáo DMARC. Để gửi báo cáo DMARC đến một địa chỉ email nằm trong miền khác với miền lưu trữ bản ghi DMARC của bạn, hãy thêm bản ghi TXT vào DNS của miền email. Để biết thông tin chi tiết, hãy xem phần Gửi báo cáo đến một địa chỉ email trong miền khác trên trang báo cáo DMARC.
ruf	(Không được hỗ trợ) Gmail không hỗ trợ thẻ ruf dùng để gửi báo cáo lỗi. Báo cáo lỗi còn được gọi là báo cáo pháp y.
sp	(Không bắt buộc) Đặt chính sách cho thư từ các miền con của miền chính. Sử dụng tuỳ chọn này nếu bạn muốn sử dụng một chính sách DMARC khác cho các miền con. none—Không thực hiện hành động nào đối với thư và gửi thư đến người nhận dự kiến. Ghi nhật ký thư trong báo cáo hằng ngày. Báo cáo được gửi đến địa chỉ email được chỉ định bằng tuỳ chọn rua trong chính sách. quarantine—Đánh dấu thư là thư rác và gửi đến thư mục thư rác của người nhận. Người nhận có thể xem xét thư rác để xác định thư hợp lệ. reject—Từ chối thư. Với tuỳ chọn này, máy chủ nhận thư sẽ gửi thư phản hồi đến máy chủ gửi. Nếu bạn không sử dụng tuỳ chọn này trong bản ghi, thì các miền con sẽ kế thừa chính sách DMARC được đặt cho miền gốc.
adkim	(Không bắt buộc) Đặt chính sách căn chỉnh cho DKIM, chính sách này xác định mức độ nghiêm ngặt mà thông tin thư phải khớp với chữ ký DKIM. Tìm hiểu cách hoạt động của quy trình căn chỉnh (ở phần sau trên trang này). s—Căn chỉnh nghiêm ngặt. Tên miền của người gửi phải khớp chính xác với d=domainname tương ứng trong tiêu đề thư DKIM. r—Căn chỉnh tương đối (mặc định). Cho phép so khớp một phần. Mọi miền con hợp lệ của d=domain trong tiêu đề thư DKIM đều được chấp nhận.
aspf	(Không bắt buộc) Đặt chính sách căn chỉnh cho SPF, chính sách này chỉ định mức độ nghiêm ngặt mà thông tin thư phải khớp với chữ ký SPF. Tìm hiểu cách hoạt động của quy trình căn chỉnh (ở phần sau trên trang này). s— Căn chỉnh nghiêm ngặt. Phần đầu thư Từ: phải khớp chính xác với tên miền trong lệnh SMTP MAIL FROM. r—Căn chỉnh tương đối (mặc định). Cho phép so khớp một phần. Mọi miền con hợp lệ của tên miền đều được chấp nhận.

Căn chỉnh DMARC

DMARC đánh giá thư vượt qua hoặc không vượt qua dựa trên mức độ khớp giữa miền trong phần đầu thư Từ: với miền gửi thư do SPF hoặc DKIM chỉ định. Hành động này được gọi là căn chỉnh.

Bạn có thể chọn một trong hai chế độ căn chỉnh: nghiêm ngặt hoặc tương đối. Bạn đặt chế độ căn chỉnh cho SPF và DKIM trong bản ghi DMARC bằng cách sử dụng thẻ bản ghi DMARC aspf và adkim DMARC record tags.

Phương pháp xác thực	Căn chỉnh nghiêm ngặt	Căn chỉnh tương đối
SPF	So khớp chính xác giữa miền trong địa chỉ Envelope-Sender (còn gọi là địa chỉ Return-Path hoặc địa chỉ phản hồi) và miền trong địa chỉ Từ: của tiêu đề.	Miền trong địa chỉ Từ: của tiêu đề phải khớp hoặc là miền con của miền trong địa chỉ Envelope-Sender (còn gọi là địa chỉ Return-Path hoặc địa chỉ phản hồi).
DKIM	So khớp chính xác giữa miền DKIM có liên quan và miền trong địa chỉ Từ: của tiêu đề.	Miền trong địa chỉ Từ: của tiêu đề phải khớp hoặc là miền con của miền được chỉ định trong chữ ký DKIM d= tag.

Trong một số trường hợp, Google khuyên bạn nên cân nhắc chuyển sang chế độ căn chỉnh nghiêm ngặt để tăng cường khả năng bảo vệ chống lại hành vi giả mạo:

Thư được gửi cho miền của bạn từ một miền con nằm ngoài tầm kiểm soát của bạn.
Bạn có các miền con do một thực thể khác quản lý.

Để vượt qua quy trình xác thực bằng DMARC, thư phải vượt qua ít nhất một trong các quy trình kiểm tra sau:

Xác thực SPF và căn chỉnh SPF
Xác thực DKIM và căn chỉnh DKIM

Thư không vượt qua được quy trình kiểm tra DMARC nếu không vượt qua được cả:

SPF (hoặc căn chỉnh SPF)
DKIM (hoặc căn chỉnh DKIM)

Bước 4: Thêm bản ghi DMARC vào miền

Quan trọng: Hãy tham khảo tài liệu trợ giúp về DMARC của công ty lưu trữ miền cho bước này. Các bước để thêm bản ghi DMARC sẽ khác nhau, tuỳ thuộc vào công ty lưu trữ miền.

Thêm hoặc cập nhật bản ghi

Quan trọng: Đảm bảo bạn đã thiết lập DKIM và SPF trước khi thiết lập DMARC. DKIM và SPF phải xác thực thư trong ít nhất 48 giờ trước khi bạn bật DMARC.

Chuẩn bị sẵn tệp văn bản hoặc dòng văn bản cho bản ghi DMARC của bạn sẵn sàng.
Đăng nhập vào công ty lưu trữ miền của bạn, thường là nơi bạn đã mua tên miền. Nếu bạn không biết chắc công ty lưu trữ miền của mình là công ty nào, hãy xem bài viết Xác định nhà đăng ký tên miền.
Chuyển đến trang mà bạn cập nhật bản ghi TXT DNS cho miền của mình. Để được trợ giúp tìm trang này, hãy xem tài liệu về miền của bạn.

Thêm hoặc cập nhật bản ghi TXT bằng thông tin này (tham khảo tài liệu về miền của bạn):

Tên trường	Giá trị cần nhập
Loại	Loại bản ghi là TXT.
Máy chủ lưu trữ (Tên, Tên máy chủ, Bí danh)	Giá trị này phải là _dmarc.example.com (thay example.com bằng tên miền của bạn).
Giá trị	Chuỗi tạo nên bản ghi TXT. Ví dụ: v=DMARC1; p=none; rua=mailto:postmaster@example.com, mailto:dmarc@example.com; pct=100; adkim=s; aspf=s. Để biết thông tin chi tiết, hãy xem phần Xác định bản ghi DMARC (ở phần trước trên trang này).

Lưu ý: Một số công ty lưu trữ miền tự động thêm tên miền. Sau khi bạn thêm hoặc cập nhật bản ghi TXT, hãy xác minh tên miền trong bản ghi DMARC để đảm bảo tên miền được định dạng đúng cách.

Lưu thay đổi.
Nếu bạn đang thiết lập DMARC cho nhiều miền, hãy hoàn tất các bước này cho từng miền. Mỗi miền có thể có một chính sách và các lựa chọn báo cáo khác nhau, như được xác định trong bản ghi.
Để xác minh rằng bạn đã thiết lập DMARC cho miền của mình, hãy sử dụng một trong nhiều công cụ miễn phí có trên Internet.

Google, Google Workspace và những nhãn hiệu cũng như biểu tượng có liên quan là nhãn hiệu của Google LLC. Tất cả các tên sản phẩm và công ty khác là nhãn hiệu của những công ty mà chúng liên kết.