ตัวตรวจสอบ SPF / DKIM / DMARC
ตรวจสอบ DNS records สำหรับการยืนยันตัวตนอีเมลของโดเมน เช่น SPF policy, DKIM selector, DMARC policy, reporting tags และปัญหาการตั้งค่าที่พบบ่อย
เกี่ยวกับ SPF, DKIM และ DMARC
SPF, DKIM และ DMARC ทำงานร่วมกันเพื่อช่วยให้ mail server ฝั่งรับตัดสินใจว่าอีเมลที่อ้างว่าส่งจากโดเมนของคุณเป็นของจริงหรือไม่ การตั้งค่าที่แข็งแรงช่วยลดการปลอมแปลงอีเมล ฟิชชิง และปัญหาการส่งอีเมลที่เกิดจาก DNS records ที่ขาดหายหรือขัดแย้งกัน
เครื่องมือนี้อ่าน TXT records สาธารณะและอธิบายส่วนสำคัญ ได้แก่ SPF sender policy, DKIM public key สำหรับ selector และ DMARC policy ที่ผู้รับควรใช้เมื่อการยืนยันตัวตนล้มเหลว
DKIM selectors
DKIM keys จะอยู่ใต้ชื่อเฉพาะของ selector เช่น default._domainkey.example.com หากไม่ทราบ selector ให้ดูเอกสารของผู้ให้บริการอีเมล หรือดูค่า s= ใน DKIM-Signature header จากอีเมลล่าสุด
เครื่องมือนี้ตรวจอะไรบ้าง
SPF
- ตรวจว่ามี SPF TXT record เพียงรายการเดียว
- แจ้งเตือนนโยบายที่เปิดกว้างเกินไป เช่น +all และ ?all
- ประมาณจำนวน DNS lookup mechanisms เทียบกับขีดจำกัด SPF ที่ 10 ครั้ง
DKIM
- ค้นหา records แบบ selector._domainkey
- แยก key tags เช่น v, k, p, h, s และ t
- แจ้งเตือน key ที่หายไป ว่าง ถูก revoke หรือ RSA key ที่อาจอ่อนเกินไป
DMARC
- ตรวจ _dmarc policy records และ tags ที่แยกได้
- อธิบายระดับ enforcement เช่น p=none, quarantine และ reject
- ตรวจ reporting, alignment และการ rollout ด้วย pct
แนวทางแก้ไขที่พบบ่อย
เผยแพร่ SPF record เพียงรายการเดียว
SPF TXT records หลายรายการจะทำให้เกิด SPF error ถาวร ควรรวมผู้ส่งที่อนุญาตทั้งหมดไว้ใน v=spf1 record เดียว และรักษาจำนวน DNS lookup ให้น้อยกว่า 10
ขยับ DMARC ออกจากโหมด monitoring เมื่อพร้อม
p=none เหมาะสำหรับเก็บรายงาน แต่ไม่ได้สั่งให้ผู้รับ quarantine หรือ reject อีเมลที่ตรวจไม่ผ่าน ควรค่อย ๆ เพิ่ม enforcement ด้วย pct= และรายงาน เมื่อ SPF และ DKIM alignment พร้อมแล้ว
หมุนเวียน DKIM keys อย่างระมัดระวัง
เพิ่ม selector ใหม่ อัปเดตบริการอีเมลให้เซ็นด้วย selector นั้น รอให้ DNS และ mail flow นิ่ง แล้วจึงลบหรือ revoke key เก่าที่ไม่ได้ใช้งานแล้ว