DMARC

DMARC (Domain-based Message Authentication, Reporting and Conformance) là lớp policy đặt trên SPF và DKIM, được định nghĩa trong RFC 7489. SPF và DKIM mỗi cái xác minh một signal khác nhau; DMARC nói cho receiver hai điều: (1) phải làm gì khi không signal nào "align" với header From: hiển thị (none / quarantine / reject), và (2) gửi báo cáo aggregate (RUA) và forensic (RUF) về đâu. Policy được xuất bản dưới dạng TXT record tại _dmarc.{domain}.

v=DMARC1; p=none; rua=mailto:dmarc-agg@yourcompany.com; pct=100; adkim=r; aspf=r

Các tag chính:

• p= — policy: none (chỉ monitor), quarantine (vào spam folder), reject (bounce).
• rua= — đích nhận báo cáo aggregate (mỗi receiver gửi một XML mỗi ngày).
• ruf= — báo cáo forensic / failure (hiếm; ít receiver gửi).
• pct= — phần trăm mail fail được áp policy (nút điều chỉnh rollout).
• adkim= / aspf= — chế độ alignment: r relaxed (khớp ở mức organisational domain) hoặc s strict (khớp chính xác From:).

Bỏ qua p=none là sai lầm DMARC phổ biến nhất — nhảy thẳng sang p=reject trên một domain mà bạn chưa hiểu hết các luồng thư sẽ âm thầm bounce mail hợp lệ (forwarder, mailing list, CRM tool). Chuẩn rollout là: (1) triển khai p=none với RUA reporting, theo dõi báo cáo hằng ngày trong 2-4 tuần; (2) sửa các luồng chưa xác thực mà báo cáo phát hiện; (3) nâng dần qua p=quarantine; pct=10 → 50 → 100; (4) chốt ở p=reject; pct=100 khi báo cáo aggregate cho zero fail hợp lệ trong trọn một tuần.

Cả Google và Yahoo cập nhật chính sách bulk-sender vào tháng 2/2024, yêu cầu DMARC với mọi sender vượt 5,000 message/ngày đến user của họ (hướng dẫn của Google). Với operator tự host bằng AcelleMail và Amazon SES ở quy mô lớn, DMARC alignment không còn là tùy chọn — đây là điều kiện tiên quyết để inbox tại hai nhà cung cấp mailbox lớn nhất.