Hướng dẫn: Các giao thức xác thực email SPF, DKIM và DMARC

Bằng cách xác thực danh tính của người gửi và xác nhận tính chính xác của các tin nhắn nhận được, những thủ tục này đóng vai trò như tường phòng đầu tiên chống lại các mối đe dọa dựa trên email. Bài viết này sẽ đề cập chi tiết đến ba phương pháp xác thực email quan trọng này, bao gồm vai trò của chúng, cách chúng hợp tác và tại sao chúng cần thiết để duy trì một cơ sở hạ tầng giao tiếp email đáng tin cậy và an toàn.

Các giao thức Xác thực Email là gì?

Giao tiếp email an toàn có thể được đạt được thông qua các giao thức xác thực Email, các tiêu chuẩn hoặc công nghệ xác thực danh tính của người gửi và bảo vệ tính toàn vẹn của tin nhắn. Những tiêu chuẩn này nhằm mục đích bảo vệ người dùng khỏi thư rác, lừa đảo và các cuộc tấn công email độc hại khác. Ngoài ra, chúng giúp giảm khả năng email tốt bị xóa nhầm là thư rác hoặc phần mềm độc hại.

Dưới đây là những giao thức xác thực email chính thường được sử dụng:

1. Sender Policy Framework (SPF): Khung chính sách người gửi
2. DomainKeys Identified Mail (DKIM): Thư chứng nhận tên miền xác định
3. Domain-based Message Authentication, Reporting, and Conformance (DMARC): Chứng thực và tuân thủ dựa trên tên miền

SPF

SPF  là một công nghệ xác thực email được phát triển để ngăn chặn thư rác. Bằng cách cho phép chủ sở hữu tên miền chọn các máy chủ email có thể gửi email thay mặt họ, SPF giúp các máy chủ nhận xác thực người gửi của các tin nhắn đến. Để thực hiện điều này, các bản ghi DNS của tên miền được tham khảo để đảm bảo rằng các email đến từ các địa chỉ mà chúng đại diện.

SPF nhằm mục đích cải thiện bảo mật email bằng cách giới hạn khả năng một người gửi không được ủy quyền có thể sử dụng một tên miền cụ thể trong trường "from". Điều này giúp giữ hộp thư của người gửi và người nhận tránh được các thông điệp không mong muốn và tăng cường sự tin tưởng mà các bên có với email.

Cách hoạt động:

• Chủ sở hữu tên miền tạo bản ghi SPF cho các địa chỉ IP và tên miền được tin tưởng có thể gửi email.
• Các máy chủ email thực hiện kiểm tra bản ghi Khung chính sách người gửi (SPF) mỗi khi nhận một email.
• Khi nhận được một tin nhắn, máy chủ kiểm tra địa chỉ IP để xem liệu nó có thuộc danh sách người gửi được phê duyệt trong bản ghi SPF hay không.
• Kiểm tra SPF thành công nếu địa chỉ IP gửi được nhận biết và chấp nhận; ngược lại, email có thể bị đánh dấu là nghi ngờ và bị xóa.

Cách Tấn công SPF:

SPF là hệ thống xác thực email kiểm tra tên người gửi để ngăn chặn giả mạo email và lừa đảo. Tuy nhiên, giống như bất kỳ hệ thống nào khác, SPF không hoàn toàn an toàn khỏi các vector tấn công . Dưới đây là một số cách tiềm năng để tấn công SPF:

1. Can thiệp vào các bản ghi SPF: Kẻ tấn công có thể cố gắng thay đổi hoặc tạo ra các bản ghi SPF bằng cách thay đổi các bản ghi DNS của một tên miền. Điều này cho phép họ liệt kê các địa chỉ IP hoặc máy chủ không được ủy quyền như những người gửi hợp lệ. Điều này có thể tạo điều kiện cho các chiến thuật giả mạo hoặc lừa đảo.
2. Chiếm đoạt tên miền: Nếu một kẻ tấn công kiểm soát một tên miền hợp pháp, họ có thể thay đổi các bản ghi SPF để bao gồm các máy chủ độc hại của riêng họ.
3. Tấn công dưới tên miền con (subdomain): Các bản ghi SPF thường được thiết lập cho tên miền chính của một tổ chức, nhưng họ có thể quên thiết lập các bản ghi SPF cho các tên miền con. Kẻ tấn công gửi email từ các tên miền con không có các bản ghi SPF đúng cách có thể sử dụng điều này chống lại bạn.
4. Chính sách SPF không đầy đủ: Các tổ chức có thể có các chính sách SPF yếu cho phép nhiều địa chỉ IP gửi email thay mặt họ. Điều này có thể cung cấp cho kẻ tấn công một nguồn số địa chỉ IP tiềm năng lớn hơn để lừa dối mọi người.

DKIM

DKIM là một công nghệ xác thực email sử dụng mã hóa để xác minh tính xác thực của một email. Máy chủ gửi thêm một chữ ký DKIM bằng cách sử dụng một khóa riêng cho mỗi email. Máy chủ nhận xác minh chữ ký của email đến bằng cách sử dụng một khóa công khai lấy từ bản ghi DNS của người gửi. Nếu khớp, email có thể được tin tưởng là thật và không bị can thiệp. DKIM được thiết kế để ngăn chặn các cuộc tấn công giả mạo email và lừa đảo và đảm bảo việc giao tiếp email được mã hóa bởi tên miền của người gửi và chữ ký được mã hóa của tin nhắn.

Cách hoạt động:

• Sử dụng khóa riêng tư, máy tính của email tạo chữ ký số.
• Gói email đã được thay đổi để bao gồm chữ ký này.
• Máy chủ email nhận email lấy khóa công khai của người gửi từ bản ghi DNS.
• Chữ ký số được giải mã và kiểm tra bằng cách sử dụng khóa công khai.
• Nếu chữ ký đúng, email chưa bị thay đổi.

Cách Tấn công DKIM:

1. Làm rò rỉ khóa riêng tư: DKIM dựa vào khóa riêng tư được lưu trữ trên máy chủ gửi để ký các email gửi đi. Nếu kẻ tấn công có quyền truy cập vào khóa riêng tư, họ có thể ký các email độc hại mà người nhận có thể xem xét là hợp lệ.
2. Chiếm đoạt dữ liệu bản ghi DNS: Khóa công khai của DKIM được lưu trữ trong các bản ghi DNS dưới dạng văn bản (TXT). Nếu kẻ tấn công kiểm soát các bản ghi DNS của một tên miền, họ có thể sửa đổi hoặc thay thế khóa công khai DKIM, cho phép họ ký các email giả mạo.
3. Giả mạo tên miền con: Các tổ chức có thể cấu hình DKIM cho tên miền chính của họ nhưng quên thực hiện nó cho các tên miền con. Kẻ tấn công sau đó có thể gửi email từ các tên miền con không có chữ ký DKIM đúng cách, làm cho việc xác minh tính xác thực của email trở nên khó khăn hơn cho người nhận.
4. Độ dài khóa và thuật toán: Nếu một tổ chức sử dụng các thuật toán mã hóa yếu hoặc khóa DKIM ngắn, điều này làm cho việc kẻ tấn công đột nhập và giả mạo chữ ký DKIM trở nên dễ dàng hơn.

DMARC

Để cải thiện so với SPF và DKIM, đã phát triển một giao thức xác thực email mới gọi là DMARC. Người quản trị tên miền có thể chỉ dẫn các máy chủ email nhận về việc xử lý các tin nhắn không vượt qua xác thực. Chủ sở hữu tên miền có thể yêu cầu máy chủ email ngừng chấp nhận thư rác bằng cách thêm một bản ghi chính sách DMARC vào cài đặt DNS của họ. DMARC được thiết kế để củng cố bảo mật email bằng cách thêm một lớp xác minh bổ sung, giảm lừa đảo và giả mạo, và tăng tính đáng tin cậy và khả năng giao tiếp của các tin nhắn chính thống.

Cách hoạt động:

• Máy chủ nhận tham chiếu đến chính sách DMARC nếu xác thực SPF hoặc DKIM thất bại.
• Chính sách DMARC có thể yêu cầu máy chủ thực hiện các hành động khác nhau, như phân loại thư rác, đặt nó vào chế độ cách ly hoặc từ chối hoàn toàn.
• Để cải thiện các biện pháp bảo vệ email, người quản trị tên miền có thể sử dụng dữ liệu pháp y  và tổng hợp về hoạt động xác thực.

Tấn công DMARC:

1. Thực thi quyết liệt: Một số tổ chức có thể chọn sử dụng DMARC với chiến lược "quarantine”  hoặc "reject" ngay từ đầu. Điều này có thể hoạt động, nhưng nếu chính sách không được thiết lập cẩn thận, nó cũng có thể gây ra việc chặn email hợp lệ.
2. Giả mạo địa chỉ báo cáo: Kẻ tấn công có thể cố gắng thay đổi địa chỉ báo cáo DMARC để gửi báo cáo về các kiểm tra DMARC không thành công đến các trang web mà họ kiểm soát. Điều này có thể cho họ cơ hội tìm hiểu thêm về cách thức hoạt động của hệ thống email của tổ chức.
3. Lừa đảo có mục tiêu: Kẻ tấn công có thể cố gắng giả mạo làm người hoặc bộ phận của một tổ chức mà chưa hoàn toàn thiết lập DMARC. Phương pháp cụ thể này làm cho khả năng email của họ sẽ được đọc nhiều hơn.

Bản ghi SPF, DKIM và DMARC được lưu trữ ở đâu?

Bản ghi SPF:

Bản ghi SPF là bản ghi TXT (văn bản) trong DNS. Email từ tên miền này phải được gửi từ các địa chỉ IP hoặc phần được xác định trong các bản ghi này. Máy chủ email của người nhận sẽ kiểm tra bản ghi SPF cho trường người gửi trong Hệ thống Tên Miền (DNS) để đảm bảo email là hợp pháp.

Ví dụ bản ghi SPF:

v=spf1 ip4:192.0.2.1 ip6:2001:db8::1 include:example.com all

Bản ghi DKIM:

Bản ghi DKIM cũng được lưu trữ trong DNS, tuy nhiên chúng là các bản ghi TXT. Những bản ghi này lưu trữ khóa công khai để xác thực chữ ký số tên miền trong các email gửi đi. Bản ghi DKIM được lấy từ DNS bởi máy chủ email nhận, sau đó sử dụng khóa công khai để xác minh chữ ký và đảm bảo tính xác thực của email.

Ví dụ bản ghi DKIM:

v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDnWLKu6qIH66AjqkMYyq3A5bkD

  sY+T4rQzSXFJWzh7DQoKmmrkRDbCIPRrkRHF/EpTExGDD2P8WOEqdGTfVbRy14

  5k3soVGMItcL1QvWskhNKLQYGJME6XE1WUCmAw29FcYKavqnGQFWFpDBIMVFOFw

  7/TZS0Lj1QIDAQAB

Bản ghi DMARC:

DNS cũng lưu trữ các bản ghi DMARC dưới định dạng bản ghi TXT. Các biện pháp xử lý nếu một email không vượt qua các kiểm tra SPF hoặc DKIM được cung cấp trong chính sách DMARC của tên miền.

Ví dụ bản ghi DMARC:

v=DMARC1; p=reject; rua=mailto:[email protected]; ruf=mailto:[email protected]; sp=reject

Trong ví dụ này, chính sách DMARC được đặt để từ chối (reject) các email không qua kiểm tra và gửi các báo cáo về email thất bại cho địa chỉ mailto:[email protected]. Các báo cáo pháp y cũng được gửi đến địa chỉ mailto:[email protected]. Chính sách SPF và DKIM cũng được thiết lập để từ chối (reject) các email không qua kiểm tra.

Tổng kết:

Xác thực email là một phần quan trọng của việc đảm bảo giao tiếp email an toàn và đáng tin cậy. Các giao thức xác thực email như SPF, DKIM và DMARC đóng vai trò quan trọng trong việc ngăn chặn thư rác, lừa đảo và các cuộc tấn công email khác. Chúng tạo ra một lớp bảo vệ bổ sung cho hệ thống email của bạn và giúp tăng tính đáng tin cậy của các tin nhắn gửi đi. Tuy nhiên, để duy trì tính hiệu quả của các biện pháp này, bạn cần thường xuyên kiểm tra và cập nhật các cài đặt của mình, cũng như duy trì kế hoạch phản ứng sự cố cho các tình huống xấu nhất có thể xảy ra.