Giao thức DMARC (Domain-based Message Authentication, Reporting, and Conformance) gần đây đã giới thiệu thẻ cấu hình mới mang tên "NP" (No Policy), tuy nhiên các chuyên gia mạng cảnh báo tính năng này có thể không tương thích với cơ chế mã hóa bảo mật DNSSEC. Sự không tương thích này có khả năng làm gián đoạn quá trình xác thực email và vô hiệu hóa các cấu hình bảo mật tên miền được thiết lập trước đó. Sự cố phát sinh chủ yếu từ cách thức hai giao thức này xử lý các truy vấn bản ghi tài nguyên trên hệ thống DNS toàn cầu.
Bối cảnh & Nguyên nhân
Theo các phân tích kỹ thuật từ Dmarcwise, thẻ NP được thiết kế để cho phép các quản trị viên thiết lập trạng thái "không áp dụng chính sách" tạm thời cho các phân vùng tên miền phụ mà không cần xóa bỏ hoàn toàn cấu hình DMARC cốt lõi. Tuy nhiên, khi một máy chủ nhận email cố gắng truy vấn bản ghi DNS của tên miền có kích hoạt cả DNSSEC và thẻ NP, kích thước gói tin phản hồi DNS có thể vượt quá giới hạn thông thường. Sự phình to của gói tin cấu hình này dễ dẫn đến hiện tượng phân mảnh IP hoặc bị các tường lửa chặn lại, khiến quá trình xác thực thất bại hoàn toàn.
Phân tích kỹ thuật & Công nghệ
Vấn đề cốt lõi nằm ở sự xung đột giữa chữ ký số bảo mật của DNSSEC và cấu trúc phân tích cú pháp của thẻ NP mới trong DMARC. DNSSEC bổ sung các bản ghi RRSIG (Resource Record Signature) có dung lượng lớn vào mọi phản hồi DNS để đảm bảo tính toàn vẹn dữ liệu. Khi tích hợp thêm thẻ NP, chuỗi dữ liệu text (TXT record) của DMARC trở nên phức tạp hơn, buộc hệ thống phân giải DNS phải xử lý các truy vấn TCP thay vì UDP truyền thống. Nếu cơ sở hạ tầng mạng của bên nhận không hỗ trợ tốt cơ chế fallback sang TCP cho DNS, toàn bộ email gửi đi từ tên miền đó sẽ bị đánh dấu là không an toàn.
Ý kiến chuyên gia & Nhận định
Các kỹ sư bảo mật mạng khuyến cáo các doanh nghiệp đang áp dụng DNSSEC nghiêm ngặt nên thận trọng trước khi triển khai thẻ NP trong bản ghi DMARC của mình. Việc thiếu các thử nghiệm thực tế trên diện rộng giữa các nhà cung cấp dịch vụ DNS lớn có thể biến giải pháp tiện ích này thành một lỗ hổng tự chặn luồng thư gửi đi. Nhiều chuyên gia đề xuất nên duy trì chính sách "p=none" truyền thống cho các tên miền phụ thay vì vội vã chuyển dịch sang thẻ NP trong bối cảnh các công cụ phân giải DNS chưa được cập nhật đồng bộ.
Tác động & Tương lai
Sự cố tương thích giữa DMARC NP và DNSSEC một lần nữa cho thấy thách thức lớn trong việc nâng cấp các giao thức Internet lâu đời mà không làm ảnh hưởng đến các tầng bảo mật sẵn có. Đối với các quản trị viên hệ thống tại Việt Nam đang vận hành các dịch vụ mail server doanh nghiệp, việc theo dõi sát sao các bản cập nhật từ Internet Engineering Task Force (IETF) là vô cùng cần thiết. Trong tương lai ngắn, các nhà phát triển công nghệ sẽ phải đưa ra bản vá hoặc hướng dẫn cấu hình tối ưu hóa kích thước bản ghi DNS để giải quyết triệt để xung đột kỹ thuật này.