Thiết lập DMARC

DMARC cho máy chủ email nhận thư biết phải làm gì với những thư được gửi từ miền của bạn mà không vượt qua được quy trình xác thực bằng SPF hoặc DKIM. Các lựa chọn hành động là từ chối, cách ly hoặc gửi thư. Bạn cũng có thể nhận được báo cáo giúp xác định các vấn đề có thể xảy ra về việc xác thực và hoạt động độc hại đối với thư được gửi từ miền của bạn. Thiết lập DMARC bằng cách thêm bản ghi TXT DNS DMARC (bản ghi DMARC) vào miền của bạn.

Bản ghi DMARC là một dòng văn bản mà bạn thêm vào miền của mình theo hướng dẫn của nhà cung cấp miền. Sau đây là một ví dụ về bản ghi DMARC:

v=DMARC1; p=reject; rua=mailto:postmaster@example.com, mailto:dmarc@example.com; pct=100; adkim=s; aspf=s

Khi nhận được thư từ miền của bạn mà không vượt qua được SPF hoặc DKIM, máy chủ nhận thư sẽ kiểm tra bản ghi DMARC của bạn để xác định hành động cần thực hiện đối với thư: Từ chối, cách ly hoặc gửi bình thường.

Trên trang này

Trước khi bắt đầu

  • Bạn phải bật SPF và/hoặc DKIM cho miền của mình thì mới có thể sử dụng DMARC. Nếu bạn chưa thiết lập SPF và/hoặc DKIM, hãy xem bài viết Giúp ngăn chặn hành vi giả mạo, lừa đảo và thư rác.
    • Nếu bạn không thiết lập SPF và/hoặc DKIM trước khi bật DMARC, thì thư gửi từ miền của bạn có thể gặp vấn đề khi gửi.
    • Sau khi thiết lập SPF và/hoặc DKIM, hãy đợi 48 giờ rồi mới thiết lập DMARC.
  • Để kiểm tra xem bạn đã thiết lập DMARC cho miền của mình hay chưa, hãy sử dụng một trong nhiều công cụ miễn phí có trên Internet. Nếu đã thiết lập DMARC, bạn nên xem xét báo cáo DMARC để kiểm tra xem DMARC có xác thực thư một cách hiệu quả hay không và thư có được gửi như dự kiến hay không.
  • Bạn không cần làm gì trong Bảng điều khiển dành cho quản trị viên của Google để thiết lập DMARC. Thay vào đó, hãy xác định bản ghi DMARC bằng cách làm theo hướng dẫn trên trang này. Sau đó, hãy đăng nhập vào công ty lưu trữ miền của bạn rồi thêm bản ghi DMARC theo hướng dẫn về DMARC của công ty lưu trữ miền.

Bước 1: Thiết lập một nhóm hoặc hộp thư cho báo cáo

Số lượng báo cáo DMARC mà bạn nhận được qua email có thể khác nhau, tuỳ thuộc vào số lượng email mà miền của bạn gửi và số lượng miền mà bạn gửi đến. Bạn có thể nhận được nhiều báo cáo mỗi ngày. Các tổ chức lớn có thể nhận được hàng trăm hoặc thậm chí hàng nghìn báo cáo mỗi ngày. Google khuyên bạn nên tạo một nhóm hoặc hộp thư chuyên dụng để nhận và quản lý báo cáo DMARC.

Lưu ý quan trọng: Thông thường, địa chỉ email nhận báo cáo nằm trong cùng miền với miền lưu trữ bản ghi DMARC của bạn. Nếu địa chỉ email có một miền khác, bạn phải thêm một bản ghi DNS tại miền đó. Xem phần Gửi báo cáo đến một địa chỉ email thuộc miền khác trên trang báo cáo DMARC.

Bước 2: Đảm bảo email của bên thứ ba được xác thực

Nếu sử dụng dịch vụ của bên thứ ba để gửi thư cho tổ chức của mình, bạn phải đảm bảo rằng thư do dịch vụ của bên thứ ba gửi được xác thực và vượt qua quy trình kiểm tra SPF và DKIM:

  • Hãy liên hệ với nhà cung cấp bên thứ ba để đảm bảo bạn đã thiết lập SPF và DKIM đúng cách.
  • Đảm bảo rằng miền người gửi email của nhà cung cấp khớp với miền của bạn. Thêm địa chỉ IP của máy chủ gửi thư của nhà cung cấp vào bản ghi SPF cho miền của bạn.
  • Định tuyến thư gửi đi từ nhà cung cấp thông qua Google bằng cách sử dụng chế độ cài đặt dịch vụ chuyển tiếp SMTP.

Bước 3: Xác định bản ghi DMARC

Chính sách DMARC của bạn được xác định trong một dòng giá trị văn bản gọi là bản ghi DMARC. Bản ghi này xác định:

  • Mức độ nghiêm ngặt mà DMARC nên kiểm tra thư
  • Các hành động được đề xuất cho máy chủ nhận khi máy chủ này nhận được những thư không vượt qua được quy trình kiểm tra xác thực

Ví dụ về bản ghi DMARC (thay example.com bằng miền của bạn):

v=DMARC1; p=reject; rua=mailto:postmaster@example.com, mailto:dmarc@example.com; pct=100; adkim=s; aspf=s

Bạn phải liệt kê thẻ vp trước. Bạn có thể liệt kê các thẻ khác theo bất kỳ thứ tự nào.

Khi bắt đầu sử dụng DMARC, bạn nên đặt lựa chọn chính sách (p) thành none. Khi bạn tìm hiểu cách máy chủ nhận thư xác thực thư từ miền của bạn, hãy cập nhật chính sách. Theo thời gian, hãy thay đổi chính sách của người nhận thành cách ly (hoặc từ chối). Xem phần Đề xuất triển khai DMARC.

Định nghĩa và giá trị của thẻ bản ghi DMARC

Thẻ Nội dung mô tả và giá trị
v

(Bắt buộc) Phiên bản DMARC. Phải là DMARC1.
p (Bắt buộc) Hướng dẫn máy chủ thư nhận thư phải làm gì với những thư không vượt qua được quy trình xác thực.
  • none – Không làm gì cả đối với thư và gửi thư đó đến người nhận dự kiến. Ghi lại thông báo trong báo cáo hằng ngày. Báo cáo sẽ được gửi đến địa chỉ email được chỉ định bằng lựa chọn rua trong bản ghi.
  • quarantine—Đánh dấu tin nhắn là tin nhắn rác và gửi đến thư mục tin nhắn rác của người nhận. Người nhận có thể xem xét thư rác để xác định thư hợp lệ.
  • reject—Từ chối thư. Với lựa chọn này, máy chủ nhận thường gửi một thư bị trả lại cho máy chủ gửi.

Lưu ý về BIMI: Nếu miền của bạn sử dụng BIMI, bạn phải đặt lựa chọn p của DMARC thành quarantine (cách ly) hoặc reject (từ chối). BIMI không hỗ trợ các chính sách DMARC có lựa chọn p được đặt thành none.
pct

Thẻ pct là không bắt buộc nhưng Google khuyên bạn nên thêm thẻ này vào bản ghi DMARC khi triển khai DMARC để có thể quản lý tỷ lệ phần trăm email mà chính sách DMARC của bạn áp dụng.

Chỉ định tỷ lệ phần trăm thư chưa được xác thực phải tuân theo chính sách DMARC. Khi triển khai DMARC dần dần, bạn có thể bắt đầu với một tỷ lệ nhỏ số thư. Khi có nhiều thư hơn từ miền của bạn vượt qua quy trình xác thực với máy chủ nhận thư, hãy cập nhật bản ghi của bạn với tỷ lệ phần trăm cao hơn cho đến khi đạt 100%.

Phải là một số nguyên từ 1 đến 100. Nếu bạn không sử dụng lựa chọn này trong bản ghi, chính sách DMARC của bạn sẽ áp dụng cho 100% thư gửi từ miền của bạn.

Lưu ý về BIMI: Nếu miền của bạn sử dụng BIMI, thì chính sách DMARC của bạn phải có giá trị pct100. BIMI không hỗ trợ các chính sách DMARC có giá trị pct được đặt thành dưới 100.
rua

Thẻ rua là không bắt buộc nhưng bạn nên luôn thêm thẻ này vào bản ghi DMARC.

Gửi báo cáo DMARC đến một địa chỉ email. Địa chỉ email phải có mailto:.
Ví dụ: mailto:dmarc-reports@example.com (thay example.com bằng miền của bạn).

  • Để gửi báo cáo DMARC đến nhiều email, hãy dùng dấu phẩy để phân tách từng địa chỉ email và thêm tiền tố mailto: trước mỗi địa chỉ. Ví dụ: mailto:dmarc-reports@example.com, mailto:dmarc-admin@example.com (thay example.com bằng miền của bạn).
  • Lựa chọn này có thể dẫn đến việc bạn nhận được nhiều email báo cáo. Bạn không nên sử dụng địa chỉ email của chính mình. Thay vào đó, hãy cân nhắc sử dụng một hộp thư chuyên dụng, một nhóm hoặc một dịch vụ bên thứ ba chuyên về báo cáo DMARC.
  • Để gửi báo cáo DMARC đến một địa chỉ email thuộc một miền khác với miền lưu trữ bản ghi DMARC của bạn, hãy thêm một bản ghi TXT vào DNS của miền email. Để biết thông tin chi tiết, hãy xem phần Gửi báo cáo đến một địa chỉ email thuộc miền khác trên trang Báo cáo DMARC.
ruf

(Không được hỗ trợ) Gmail không hỗ trợ thẻ ruf. Thẻ này được dùng để gửi báo cáo lỗi. Báo cáo lỗi còn được gọi là báo cáo pháp y.
sp (Không bắt buộc) Đặt chính sách cho thư từ các miền con của miền chính. Hãy sử dụng lựa chọn này nếu bạn muốn sử dụng một chính sách DMARC khác cho các miền con của mình.
  • noneTake no action on the message and deliver it to the intended recipient. Log messages in a daily report. The report is sent to the email address specified with the rua option in the policy.
  • quarantineĐánh dấu tin nhắn là tin nhắn rác và gửi tin nhắn đó đến thư mục tin nhắn rác của người nhận. Người nhận có thể xem xét thư rác để xác định thư hợp lệ.
  • rejectTừ chối thư. Với lựa chọn này, máy chủ nhận sẽ gửi một thông báo gửi trả lại cho máy chủ gửi.

Nếu bạn không sử dụng lựa chọn này trong bản ghi, các miền con sẽ kế thừa chính sách DMARC được đặt cho miền gốc.
adkim (Không bắt buộc) Đặt chính sách so khớp cho DKIM, xác định mức độ nghiêm ngặt mà thông tin thư phải khớp với chữ ký DKIM. Tìm hiểu cách hoạt động của tính năng căn chỉnh (ở phần sau trên trang này).
  • sCăn chỉnh nghiêm ngặt. Tên miền của người gửi phải khớp chính xác với d=domainname tương ứng trong phần đầu thư DKIM.
  • rRelaxed alignment (default). Allows partial matches. Any valid subdomain of d=domain in the DKIM mail headers is accepted.
aspf (Không bắt buộc) Đặt chính sách liên kết cho SPF, trong đó chỉ định mức độ nghiêm ngặt mà thông tin thư phải khớp với chữ ký SPF. Tìm hiểu cách hoạt động của tính năng căn chỉnh (ở phần sau trên trang này).
  • sCăn chỉnh nghiêm ngặt. Phần đầu thư Từ: của thư phải khớp chính xác với tên miền trong lệnh SMTP MAIL FROM.
  • rCăn chỉnh lỏng lẻo (mặc định). Cho phép kết quả khớp một phần. Chúng tôi chấp nhận mọi miền phụ hợp lệ của tên miền.

Tuân thủ DMARC

DMARC đánh giá thư vượt qua hoặc không vượt qua dựa trên mức độ khớp giữa miền trong phần đầu thư Từ: với miền gửi thư do SPF hoặc DKIM chỉ định. Đây được gọi là sự căn chỉnh.

Bạn có thể chọn một trong hai chế độ căn chỉnh: nghiêm ngặt hoặc linh hoạt. Bạn đặt chế độ căn chỉnh cho SPF và DKIM trong bản ghi DMARC bằng cách sử dụng aspfadkim thẻ bản ghi DMARC.

Phương thức xác thực Căn chỉnh nghiêm ngặt Căn chỉnh thoải mái
SPF Miền trong địa chỉ Envelope-Sender (còn gọi là Return-Path hoặc bounce) khớp chính xác với miền trong địa chỉ Từ: của phần đầu thư. Miền trong địa chỉ tiêu đề Từ: phải khớp hoặc là miền con của miền trong địa chỉ Envelope-Sender (còn gọi là Return-Path hoặc thư bị trả lại).
DKIM Miền DKIM có liên quan phải khớp chính xác với miền trong địa chỉ Từ: của phần đầu thư. Miền trong địa chỉ phần đầu thư Từ: phải khớp hoặc là miền con của miền được chỉ định trong thẻ chữ ký DKIM d=.

Trong một số trường hợp, Google khuyên bạn nên cân nhắc chuyển sang mức căn chỉnh nghiêm ngặt để tăng cường khả năng chống giả mạo:

  • Email được gửi cho miền của bạn từ một miền phụ nằm ngoài tầm kiểm soát của bạn.
  • Bạn có các miền phụ do một pháp nhân khác quản lý.
Lưu ý quan trọng: Mức căn chỉnh tương đối thường cung cấp đủ khả năng chống giả mạo. Căn chỉnh nghiêm ngặt có thể khiến thư từ các miền con được liên kết bị từ chối hoặc chuyển đến thư mục thư rác.

Để vượt qua DMARC, thư phải vượt qua ít nhất một trong các quy trình kiểm tra sau:

  • Phương thức xác thực bằng SPF và việc so khớp SPF
  • Xác thực DKIM và so khớp DKIM

Thư không vượt qua được quy trình kiểm tra DMARC nếu thư không vượt qua được cả hai quy trình sau:

  • SPF (hoặc SPF alignment)
  • DKIM (hoặc DKIM alignment)

Bước 4: Thêm bản ghi DMARC vào miền của bạn

Quan trọng: Hãy tham khảo tài liệu trợ giúp về DMARC của công ty lưu trữ miền bạn sử dụng cho bước này. Các bước để thêm bản ghi DMARC sẽ khác nhau, tuỳ thuộc vào công ty lưu trữ miền.

Thêm hoặc cập nhật bản ghi

Lưu ý quan trọng: Đảm bảo bạn thiết lập DKIM và SPF trước khi thiết lập DMARC. DKIM và SPF phải xác thực thư trong ít nhất 48 giờ trước khi bật DMARC.

  1. Chuẩn bị sẵn tệp văn bản hoặc dòng cho bản ghi DMARC.
  2. Đăng nhập vào công ty lưu trữ miền của bạn, thường là nơi bạn đã mua tên miền. Nếu bạn không biết chắc công ty lưu trữ miền của mình là công ty nào, hãy xem phần xác định nhà đăng ký tên miền.
  3. Chuyển đến trang nơi bạn cập nhật bản ghi TXT DNS cho miền của mình. Để biết cách tìm trang này, hãy xem tài liệu về miền của bạn.

  4. Thêm hoặc cập nhật bản ghi TXT bằng thông tin này (tham khảo tài liệu về miền của bạn):

    Tên trường Giá trị cần nhập
    Loại Loại bản ghi là TXT.
    Máy chủ lưu trữ (Tên, Tên máy chủ, Bí danh) Giá trị này phải là _dmarc.example.com (thay example.com bằng tên miền của bạn).
    Giá trị Chuỗi tạo nên bản ghi TXT. Ví dụ: v=DMARC1; p=none; rua=mailto:postmaster@example.com, mailto:dmarc@example.com; pct=100; adkim=s; aspf=s. Để biết thông tin chi tiết, hãy xem phần Xác định bản ghi DMARC (trước đó trên trang này).

    Lưu ý: Một số công ty lưu trữ miền sẽ tự động thêm tên miền. Sau khi bạn thêm hoặc cập nhật bản ghi TXT, hãy xác minh tên miền trong bản ghi DMARC để đảm bảo tên miền được định dạng đúng cách.

  5. Lưu thay đổi.
  6. Nếu bạn đang thiết lập DMARC cho nhiều miền, hãy hoàn tất các bước này cho từng miền. Mỗi miền có thể có một chính sách và các lựa chọn báo cáo khác nhau, như được xác định trong bản ghi.
  7. Để xác minh rằng bạn đã thiết lập DMARC cho miền của mình, hãy sử dụng một trong nhiều công cụ miễn phí có trên Internet.


Google, Google Workspace cũng như các nhãn hiệu và biểu trưng có liên quan là các nhãn hiệu của Google LLC. Tất cả các tên sản phẩm và công ty khác là nhãn hiệu của những công ty mà chúng liên kết.