Một trong các phương thức để xác nhận “danh tính” và tránh lừa đảo qua email phổ biến nhất hiện nay là DKIM.
Triển khai công nghệ xác thực email như DKIM là một trong những cách tốt nhất để bảo vệ nhân viên và khách hàng của bạn khỏi các cuộc tấn công email có chủ đích.
Cùng tìm hiểu chi tiết DKIM là gì, cách mà nó hoạt động và lợi ích của phương thức này trong việc gửi email hiện nay.
Nội dung chính
1. DKIM là gì?
DKIM là viết tắt của Domain Keys Identified Mail là phương thức dùng để xác thực email đang được gửi.
Giống như SPF, DKIM là một tiêu chuẩn mở để xác thực email được sử dụng để căn chỉnh DMARC. Bản ghi DKIM tồn tại trong DNS, nhưng nó phức tạp hơn một chút so với SPF. Ưu điểm của DKIM là nó có thể tồn tại trong quá trình chuyển tiếp, điều này làm cho nó vượt trội hơn SPF và là nền tảng để bảo mật email của bạn.
2. DKIM hoạt động như thế nào?
Quy trình của DKIM có ba bước chính.
Đầu tiên, người gửi xác định những trường nào họ muốn đưa vào chữ ký bản ghi DKIM của họ. Các trường này bao gồm địa chỉ từ mục “from”, nội dung, chủ đề và nhiều trường khác. Các trường này phải không thay đổi khi chuyển tiếp, nếu không xác thực DKIM sẽ không thành công.
Thứ hai, nền tảng email của người gửi tạo ra một hàm băm của các trường văn bản có trong chữ ký DKIM. Các trường văn bản sau”
Form: Uyên Vũ <uyen.vu@mmgroup.vn>
Chủ đề: Test cập nhật
nó sẽ ánh xạ tới chuỗi hàm băm này: 3303baf8986f910720abcfa607d81f53
Khi chuỗi được tạo, nó được mã hóa bằng khóa riêng tư, chỉ người gửi mới có thể truy cập được.
Cuối cùng, sau khi email được gửi đi, nhà cung cấp cổng email hoặc hộp thư người tiêu dùng phải xác thực chữ ký DKIM bằng cách tìm khóa công khai khớp hoàn toàn với khóa riêng tư. Chữ ký DKIM do đó được giải mã trở lại chuỗi băm ban đầu của nó.
Sau đó, người nhận tạo mã của riêng mình đối với các trường có trong chữ ký DKIM và so sánh nó với chuỗi vừa được giải mã. Nếu chúng khớp, chúng tôi biết hai điều: Một, các trường chữ ký DKIM không bị thay đổi khi chuyển tiếp và hai, người ký email thực sự sở hữu email.
3. Chữ ký số DKIM là gì?
Chữ ký số DKIM là tính năng chính của xác thực. Chữ ký là một hàm băm được tạo bởi các thành phần khác nhau trong thông điệp. Người gửi có thể sử dụng tên miền, nội dung thư và các phần khác của thư để tạo chữ ký. Các thành phần này được quyết định khi tin nhắn được gửi đi, vì vậy nó không thể thay đổi sau này.
Để tạo chữ ký, người gửi sử dụng khóa riêng của miền để mã hóa thư và tạo hàm băm. Sau đó, máy chủ email của người nhận sử dụng khóa công khai của người gửi để mã hóa các thành phần tương tự từ thư. Người nhận lấy kết quả được mã hóa, một chuỗi băm và so sánh nó với chuỗi băm của người gửi được giải mã. Nếu cả hai chuỗi đều giống nhau, thì xác thực DKIM sẽ vượt qua. Ngay cả khi một ký tự đơn lẻ trong thư đã thay đổi, mã băm được trả về bằng cách mã hóa nó bằng khóa công khai sẽ không giống với mã được gửi từ máy chủ email của người gửi.
Quá trình xác thực chữ ký DKIM bị lỗi chỉ ra rằng kẻ tấn công có thể đã giả mạo tin nhắn. Quá trình mã hóa và chữ ký DKIM đảm bảo tính toàn vẹn của thư để người nhận không trở thành nạn nhân của các cuộc tấn công lừa đảo và phần mềm độc hại từ các thư bị chặn.
4. Bộ chọn DKIM là gì?
Máy chủ DNS của miền lưu trữ mục nhập DKIM TXT, nhưng máy chủ email của người nhận phải có khả năng định vị nó trong số các mục nhập TXT khác. Bộ chọn DKIM cho biết nơi máy chủ email của người nhận có thể định vị khóa công khai của miền. Khóa công khai được sử dụng để tạo một băm và xác minh nó dựa trên cùng một băm được tạo bằng khóa riêng tư, vì vậy, nó là một thành phần cần thiết trong xác thực DKIM.
Mọi email được gửi với cấu hình DKIM đều có tiêu đề DKIM-Signature với bộ chọn kèm theo thông tin khác. Sau đây là một ví dụ về Chữ ký DKIM:
DKIM-Chữ ký: v = 1; a = rsa; c = thoải mái / thư thái; d = mydomain.com; s = s837fhs;
Giá trị nằm trong thẻ “s” là bộ chọn DKIM. Bộ chọn này được tạo khi bạn tạo cặp khóa riêng tư / công khai của mình. Bạn có thể tìm thấy bộ chọn DKIM của riêng mình sau khi thiết lập DKIM trên máy chủ email và gửi tin nhắn cho chính mình. Xem tiêu đề của email và tìm phần DKIM-Chữ ký của tiêu đề. Giá trị trong thẻ “s” trong tiêu đề là bộ chọn DKIM của riêng bạn.
5. DKIM so với SPF
DKIM và SPF hoạt động cùng nhau để bảo mật email, ngăn nghe trộm và ngăn giả mạo dữ liệu. Cả hai đều là một phần của DMARC (DMARC (Báo cáo xác thực và tuân thủ thư dựa trên tên miền), nhưng chúng phục vụ các mục đích khác nhau.
DKIM được sử dụng để xác minh rằng không có bên thứ ba nào can thiệp vào dữ liệu trong email. Tuy nhiên, SPF ngăn các thư giả mạo sử dụng tên miền của người gửi.
Với bản ghi SPF, chủ sở hữu tên miền đăng ký bản ghi TXT trên máy chủ DNS của họ giống như cách bản ghi DKIM lưu trữ thông tin chính. Thông tin TXT liệt kê tất cả các máy chủ email được chấp thuận để gửi email thay mặt cho miền. Nếu kẻ tấn công sử dụng tiêu đề thư giả mạo, bản ghi SPF cho phép máy chủ email của người nhận phát hiện thư lừa đảo và chặn chúng đến hộp thư đến của nạn nhân.
Bản ghi SPF chỉ đảm bảo rằng các email giả mạo không thể được gửi đến người nhận, nhưng nó không đảm bảo rằng kẻ tấn công không giả mạo email. Nếu không có DKIM, kẻ tấn công có thể chiếm đoạt tin nhắn và gửi một tin nhắn đã thay đổi đến người nhận. DKIM hoạt động với SPF để đảm bảo người gửi hợp pháp và thư không bị thay đổi trong quá trình gửi.
DKIM và SPF cùng nhau tăng cường bảo mật cho hệ thống email, một công cụ giao tiếp chính trên internet. Email từ lâu đã là một cách để những kẻ tấn công đánh cắp danh tính và thông tin đăng nhập của người dùng, vì hầu hết người dùng không thể phát hiện ra các email giả mạo. Hai phương thức này sau đó được áp dụng cho các quy tắc DMARC. DMARC xác định điều gì sẽ xảy ra với tin nhắn nếu nó không được xác thực.
Đối với các doanh nghiệp lớn, các quy tắc DMARC có thể cô lập các email này để quản trị viên xem xét. Các email đã được cô lập sẽ không đến được người nhận dự kiến trừ khi quản trị viên chuyển chúng vào hộp thư đến của họ. Thông báo xác thực giả có thể được chuyển tiếp đến người nhận dự định để không có thư quan trọng nào bị xóa và xóa nhầm. Khi bảo mật đã được kiểm tra kỹ lưỡng, bạn có thể đặt DMARC tự động bỏ và xóa các thông báo không xác thực được DKIM và SPF.
>> Xem thêm: Google Workspace tính năng và chi phí
6. DKIM so với DMARC
DKIM, SPF và DMARC thường được sử dụng thay thế cho nhau; tuy nhiên, chúng là ba chiến lược riêng biệt làm việc cùng nhau để bảo mật thư email. Hãy coi DMARC là quy tắc bảo mật xác định những việc cần làm với một thông báo khi DKIM và SPF không vượt qua xác thực.
DMARC cung cấp ba cài đặt cho việc xác thực DKIM không thành công: quarantine, reject và none. Quy trình bảo mật DMARC xác định ba giai đoạn này sẽ được áp dụng cho thông điệp. Quản trị viên máy chủ email thiết lập cài đặt DMARC, vì vậy điều gì xảy ra với các thư không thành công tùy thuộc vào tùy chọn của quản trị viên.
Cài đặt “none” có nghĩa là không có gì xảy ra và email vẫn chuyển đến hộp thư đến của người nhận. Cài đặt này dành cho những người nhận muốn nhận email bị giả mạo hoặc chứa nội dung độc hại. Người nhận có thể là quản trị viên bảo mật hoặc nhân viên cần điều tra các email đáng ngờ.
Trạng thái “quarantine” là trạng thái mà nhiều quản trị viên sử dụng để xem lại các email không xác thực được. Hệ thống email đặt những thư này ở một vị trí an toàn, nơi người dùng không thể truy cập nhưng quản trị viên có thể xem lại chúng. Bằng cách xem xét các thư được gửi đến vùng cách ly, quản trị viên có thể xác định khi nào tổ chức là mục tiêu của chiến dịch lừa đảo. Thông báo trong vùng cách ly cũng có thể được sử dụng để xác định xem cài đặt SPF hoặc DKIM có bị định cấu hình sai hay không. Một số hệ thống bảo mật email hoạt động với trí thông minh nhân tạo (AI), vì vậy quản trị viên có thể chỉ ra một sai lầm tích cực để giúp “đào tạo” hệ thống tốt hơn.
Nếu một email không được xác thực DKIM và DMARC được đặt để từ chối thư, máy chủ email sẽ loại bỏ hoàn toàn email đó và không gửi đi bất kỳ đâu. Cài đặt này phổ biến với các máy chủ email công cộng như Gmail. Google hoàn toàn loại bỏ hàng triệu thư không xác thực được DKIM và SPF để khách hàng của họ không trở thành nạn nhân của các chiến dịch lừa đảo, tấn công và đánh cắp danh tính khác.
>> Xem thêm: Giao thức POP3 là gì? 4 cách đơn giản nhận biết giao thức đang sử dụng cho người “mù công nghệ”
7. DKIM có cần thiết không?
Bản ghi DKIM mang lại lợi ích cho người nhận bằng cách thông báo cho họ về những email có thể chứa nội dung độc hại hoặc spam. Nó cũng xác nhận rằng dữ liệu có trong chữ ký DKIM không bị thay đổi khi chuyển tiếp. Nhưng vì DKIM khó triển khai hơn, nên ít người chọn nó. Ngoài ra, DKIM không làm gì để ngăn tội phạm mạng giả mạo email các phần có thể nhìn thấy trong trường “From” của email, bao gồm địa chỉ email, tên hiển thị và tên miền. Vì vậy, giống như SPF, DKIM tự nó không đủ để bảo vệ tổ chức khỏi các cuộc tấn công lừa đảo tinh vi .
Hi vọng bài viết đã làm rõ các khái niệm liên quan đến các phương thức bảo mật và xác thức email hữu ích cho bạn.
