Hướng dẫn cấu hình DKIM SPF DMARC Zimbra Mail

Trước khi thực hiện cấu hình DKIM và DMARC bạn cần cấu hình PTR và SPF. Đây là 2 record không thể thiếu để mail không bị vào spam folder. Lưu ý cần cấu hình trước khi gửi mail test cho gmail/yahoo nếu không thì gmail/yahoo sẽ cho vào spam folder.

1. Cấu hình SPF

Sử dụng mxtoolbox để kiểm tra hoặc sử dụng http://dkimvalidator.com để kiểm tra bằng cách gửi email test đến 1 email mà dkimvalidator chỉ định.

2. Cấu hình DKIM

DMARC là một tiêu chuẩn để chặn spammer khỏi việc sử dụng domain của người sở hữu mà không được sự cho phép của họ mà ta hay gọi nó là spoofing. Thực tế, khi sử dụng mail, bất kỳ ai cũng có thể giả mạo địa chỉ tại trường “From” trong mail gửi đi một cách dễ dàng. DMARC sẽ đảm bảo những mail giả mạo này sẽ bị chặn trước khi chúng đến được mailbox của người nhận và hơn thế nữa, chỉ những mail hợp lệ mới được chấp nhận vào hệ thống.

Để lấy được khoá DKIM bạn hãy SSH vào Server Mail sau đó chạy lệnh sau.

su zimbra
/opt/zimbra/libexec/zmdkimkeyutil -a -d my-domain

Nếu đã có DKIM rồi mà bạn muốn xem lại thì dùng lệnh sau

/opt/zimbra/libexec/zmdkimkeyutil -q -d my-domain

[zimbra@mail root]$ /opt/zimbra/libexec/zmdkimkeyutil -a -d vinastar.netDKIM Data added to LDAP for domain vinastar.net with selector A57E824E-EC36-11EB-A245-6CA165A36AC4Public signature to enter into DNS:A57E824E-EC36-11EB-A245-6CA165A36AC4._domainkey IN TXT ( "v=DKIM1; k=rsa; " "p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAzkwKI+Vw6h6rxFwMbIdkCcaENXTMiojCjUjG6x2kmt8CaotoiyxA5pYp7a9BqLWg3wiTznRm/codMbIEIqlO3EzArf30pyOtsJSHgT5jaJwVh/k5axMA8/A4yZpbT/f1/1wrX2DT97OURlYQ0uhozstNYh+hc6AYmlclwDZDTtKmrwVYAWAyuPq8DhMaeZCwRfRdGiPlZysZwe" "Q4o7VUyFh6r/Xob8SP5eSRmXOj4RtI4ayd65cvw8xJe4T6Q/HLalz4jKuJaZ1Q2AnCEPXc4fiE1Q7OwHuZhO3Bb14an4ZCzCvpFoGFRzEs179ig+91dGmf7bMa/kxhZBIl+lpVzwIDAQAB" ); ----- DKIM key A57E824E-EC36-11EB-A245-6CA165A36AC4 for vinastar.net

Bây giờ bạn hãy mở DNS domain và cấu hình như sau

• Lưu ý có dấu chấm (.) phía sau A57E824E-EC36-11EB-A245-6CA165A36AC4._domainkey.vinastar.net.net.

(Tùy vào nhà cung cấp dịch vụ tên miền cho bạn quy định, vui lòng liên hệ với họ để được hướng dẫn).

Khóa public p sẽ có giá trị bằng tất cả các phần output từ lệnh zmdkimkeyutil ở trên. Bạn nối 2 phần output lại, bỏ dấu nháy đôi ( “) đi.

Kiểm tra trực tiếp tại https://dkimcore.org/c/keycheck

3. Thiết lập DMARC

DMARC tiến một bước xa hơn so với DKIM và SPF khi nó cho ta quyền thiết lập một policy để loại bỏ (reject) hay cách ly (quarantine- thường hành động là cho mail này vào SPAM folder) một email từ một nguồn không rõ ràng hoặc không có độ tin cậy dựa trên kết quả của DKIM và SPF.

DMARC cho phép ta nói với các Mail server phía bên nhận cách thức xử lý khi SPF hay DKIM failed hoặc không có. Dưới đây là môt mô tả cách thức SPF và DKIM cùng làm việc với DMARC.

Để thiết lập DMARC thì bạn cần SPF record và DKIM record sẵn sàng. Sử dụng trang http://www.kitterman.com/dmarc/assistant.html để tạo DMARC record mẫu.

Ví dụ một record DMARC sẽ có dạng sau:

_dmarc TXT v=DMARC1; p=reject; rua=mailto:admin@vinastar.net; ruf=mailto:admin@vinastar.net

DMARC này có policy là reject. Tất cả các email không thỏa mãn điều kiện kiểm tra DKIM, SPF sẽ bị reject và gửi báo cáo về cho admin@vinastar.net

Lưu ý chỉ sử dụng _dmarc (không có dấu chấm (.) phía sau) trong DNS record. (Việc này tùy vào nhà cung cấp dịch vụ tên miền cho bạn quy định, vui lòng liên hệ với họ để được hướng dẫn).

Sau khi đã thiết lập xong có thể gửi mail đến gmail để kiểm tra. Xem trong phần show original sẽ báo PASS cho SPF, DKIM và DMARC.

Bạn cũng có thể dùng Mail Tester (www.mail-tester.com) để kiểm tra. Sau khi gửi mail test đến địa chỉ mail được chỉ định của trang web, bạn sẽ biết điểm đánh giá, thường thì hệ thống cần đạt từ 8,5-10 điểm.

• Bạn có thể tham khảo thêm tại Zimbra Blog