Nhằm nâng cấp bảo mật của hệ thống Google Workspace trước các tình trạng email nặc danh (phishing email), email rác (spam email), email chứa virus… ngày càng phát triển nguy hiểm và có thể gây ảnh hưởng tới uy tín cũng như hoạt động kinh doanh. Nhân Hòa đề xuất quý khách hàng kiểm tra, thực hiện cập nhật thêm các bản ghi TXT Record bảo mật dành cho hệ thống email trên trang quản trị DNS (Domain Name Server) bao gồm: SPF record, DKIM record, DMARC record.

 

1. DKIM, DMARC và SPF là gì và tại sao cần có?

• DKIM: Để xác thực thư gửi đi có phải là giả mạo hay được uy quyền từ chủ sở hữu tên miền.
• DMARC: Là một giao thức xác thực thư, giúp bảo vệ tên miền khỏi việc sử dụng trái phép hoặc giả mạo email.
• SPF: Để ngăn chặn thư rác, phát hiện địa chỉ của người gửi là thật hay giả.

Các thông tin trên là cần thiết để thư gửi đi hạn chế vào spam

2. Cấu hình DKIM, DMARC, SPF cho Google Workspace

2.1 Cách cấu hình DKIM Google Workspace

Để cấu hình DKIM cho Google Workspace bạn cần dùng tài khoản có quyền hạn cao nhất trong Google Workspace của bạn (hoặc của công ty).

Bước 1: Bạn truy cập vào trang admin.google.com > tìm DKIM trên thanh tìm kiếm > nhấp vào DKIM authentication (Xác thực DKIM).

• Bước 1.2: Bạn nhấp vào Apps (Ứng dụng) > Google Workspace > Gmail > Authenticate emal (Xác thực email).
• Bước 1.3: Nhấp vào admin.google.com/ac/apps/gmail/authenticateemail nếu bạn đang đăng nhập bằng tài khoản có quyền cao nhất trong Google Workspace.

Bước 2: Bạn nhấp vào nút Generate new record (Tạo bản ghi mới) > chọn độ dài khóa DKIM > nhấp nút Generate (Tạo).

Bước 3: Bạn hãy sao chép google._domainkey và giá trị DKIM để thêm vào DNS của bạn.

Bước 4: Bạn vào quản lý tên miền > cấu hình DNS > thêm bản ghi DKIM như sau.

Tên	Loại	Thời gian	Dữ liệu
google._domainkey	TXT	Default	Khóa DKIM của bạn

Sau khi bạn cấu hình DKIM vào DNS thì cần chờ 48 giờ để bản ghi có hiệu lực (theo Google) hoặc phụ thuộc vào DNS nhà cung cấp tên miền của bạn

Bước 5: Sau khi bạn đã chờ 30 phút (hoặc hơn lên đến 48 giờ) thì hãy quay lại trang DKIM authentication > nhấp vào nút Start Authentication (Bắt đầu xác thực) để xác minh tên miền của bạn đã có DKIM của Google Workspace.

Khi nào bạn thấy trạng thái đã chuyển sang Authencating email (Đang xác thực email) thì bạn đã xác thực thành công nhé.

Nhưng nếu bạn không xác thực được và nhận một thông báo như bên dưới thì hãy đợi thêm một khoảng thời gian 30 phút đến 48 giờ rồi nhấp nút Start Authentication (Bắt đầu xác thực) lại.

• Email authentication was not verified. Please allow 48 hours for DNS to update and make sure you entered the correct TXT record into your domain provider’s DNS settings page. (Email chưa được xác thực. Vui lòng đợi 48 giờ để DNS cập nhật và đảm bảo rằng bạn đã nhập đúng bản ghi TXT vào trang cài đặt DNS của nhà cung cấp miền của mình.)

2.2 Cách cấu hình DMARC Google Workspace

Cấu hình DMARC có 3 kiểu phổ biến của Google giới thiệu như sau, bạn chỉ chọn 1 trong 3 kiểu này để thêm vào DNS:

Tên	Loại	Thời gian	Dữ liệu	Giải thích
_dmarc	TXT	default	v=DMARC1; p=none; rua=mailto:email-nhan-thong-bao@tenmien.com	Khi thư gửi đi không xác thực thành công > Không làm gì cả, cứ gửi đến người nhận rồi nó vào hộp nào thì hên xui. Mọi thứ được ghi vào nhật ký vào gửi thông báo cho bạn.
_dmarc	TXT	default	v=DMARC1; p=reject; rua=mailto:email-nhan-thong-bao@tenmien.com	Khi thư gửi đi không xác thực thành công > Không gửi thư đó mà trả về lại người gửi. Có thông báo cho bạn.
_dmarc	TXT	default	v=DMARC1; p=quarantine; rua=mailto:email-nhan-thong-bao@tenmien.com	Khi thư gửi đi không xác thực thành công > Đánh dấu thư đó là spam và gửi vào hộp thư spam của người nhận. Có thông báo cho bạn.

2.3 Cách cấu hình SPF Google Workspace

Cấu hình SPF của Google Workspace thì khá đơn giản. Bạn chỉ việc thêm cả 2 bản ghi này vào DNS sau:

Tên	Loại	Thời gian	Dữ liệu
@	TXT	default	v=spf1 include:_spf.google.com ~all
@	SPF	default	v=spf1 include:_spf.google.com ~all

3. Cách kiểm tra DKIM, DMARC và SPF đã cấu hình đúng chưa?

Để kiểm tra cấu hình DKIM, DMARC và SPF của bạn đã cấu hình đúng chưa thì bạn hãy vào trang Check MX của Google. Dán tên miền của bạn vào ô Domain name (Tên miền) rồi nhấp nút Run Checks! (Chạy kiểm tra!).

Ngoài ra, Google cũng khuyến cáo người dùng nên duyệt email trên giao diện web của Google (tương tự gmail.com) để các bản ghi nâng cấp bảo mật SPF, DKIM, DMARC hoạt động hiệu quả, kết hợp với các tính năng cảnh báo email, report spam, report phishing email giúp tài khoản luôn được an toàn và tránh các rủi ro liên quan đến bảo mật thông tin trong doanh nghiệp.