2.1. Nguyên lý hoạt động của Hệ thống Thư điện tử (Email)
Hệ thống DNS cho Email: Trái tim của Mail Server là bản ghi MX (Mail Exchange). Khi bạn gửi thư cho
giamdoc@congty.com, máy tính phải hỏi DNS xem “Máy chủ nào đang chịu trách nhiệm nhận thư cho tên miền https://www.google.com/search?q=congty.com?”. Bản ghi MX sẽ trả lời câu hỏi đó.Các giao thức cốt lõi:
SMTP (Simple Mail Transfer Protocol – Port 25/587/465): Là giao thức GỬI. Dùng để gửi thư từ phần mềm (Outlook) lên Server, hoặc Server này chuyển tiếp (Relay) thư sang Server khác.
POP3 (Post Office Protocol version 3 – Port 110/995): Là giao thức NHẬN. Tải thư từ Server về máy tính cá nhân và xóa thư gốc trên Server (phù hợp cho máy có ổ cứng lớn, tiết kiệm dung lượng Server).
IMAP (Internet Message Access Protocol – Port 143/993): Là giao thức ĐỒNG BỘ. Đọc thư trực tiếp trên Server. Nếu bạn đọc thư trên điện thoại, máy tính ở nhà cũng sẽ thấy thư đó đã được đọc (đây là giao thức phổ biến nhất hiện nay).
2.2. THỰC HÀNH 1: Xây dựng Mail Server nội bộ với MDaemon
Tình huống: Công ty muốn tự xây dựng một máy chủ Email nội bộ để nhân viên giao tiếp với nhau bằng tên miền @noibo.local. Chúng ta sẽ cài đặt MDaemon trên Máy ảo (Windows Server).
Bước 1: Thiết lập DNS Server nội bộ (Bắt buộc)
Mail Server không thể chạy nếu không có DNS.
Trên Máy ảo, mở Server Manager -> Cài đặt Role DNS Server.
Mở công cụ DNS Manager, tạo một Forward Lookup Zone mới tên là
noibo.local.Chuột phải vào zone
noibo.local, tạo một bản ghi A (Host) tên làmail, trỏ về IP của chính máy ảo (Ví dụ:192.168.100.10).Chuột phải vào zone
noibo.local, tạo một bản ghi MX (Mail Exchanger). Để trống ô tên, ô FQDN trỏ tớimail.noibo.local, độ ưu tiên Priority = 10.
Bước 2: Cài đặt MDaemon
Tải bộ cài MDaemon về máy ảo. Chạy file cài đặt (
.exe).Các bước Setup:
Domain name: Nhập
noibo.localTạo tài khoản Quản trị (Admin): Nhập User là
admin, mật khẩuMatKhau123!.Các bước còn lại bấm Next và Finish để hoàn tất.
Bước 3: Tạo tài khoản người dùng (User Accounts)
Mở giao diện quản trị MDaemon.
Vào menu Accounts -> Account Manager -> New.
Tạo 2 tài khoản:
nhanvien1@noibo.localvànhanvien2@noibo.local.
Bước 4: Mở Tường lửa (Firewall) trên Máy ảo
Mở các Port: 25 (SMTP), 110 (POP3), 143 (IMAP), và 3000 (Port mặc định của Webmail MDaemon).
2.3. THỰC HÀNH 2: Truy cập Email từ Máy khách (Client)
Học sinh thu nhỏ máy ảo, trở về thao tác trên Máy thật (Windows 10/11) đóng vai trò là nhân viên công ty.
Cách 1: Sử dụng Webmail (Truy cập bằng Trình duyệt)
Mở Chrome trên máy thật. Gõ vào địa chỉ:
http://192.168.100.10:3000(IP của Máy ảo và Port Webmail).Đăng nhập bằng
nhanvien1@noibo.local.Mở tab ẩn danh khác, đăng nhập
nhanvien2@noibo.local.Cho
nhanvien1soạn thư gửinhanvien2. Kiểm tra Hộp thư đến (Inbox) củanhanvien2để thấy kết quả.
Cách 2: Sử dụng phần mềm Mail Client (Thunderbird/Outlook)
Cài đặt phần mềm Mozilla Thunderbird (miễn phí) trên Máy thật.
Chọn Add Mail Account (Thêm tài khoản).
Điền thông tin thủ công (Manual config):
Incoming (Nhận): Giao thức IMAP, Server:
192.168.100.10, Port143.Outgoing (Gửi): Giao thức SMTP, Server:
192.168.100.10, Port25.
Bấm Connect. Thử soạn và gửi thư ngay trên phần mềm.
2.4. Tiêu chuẩn chống Spam toàn cầu (Bắt buộc với Mail Internet)
Lý thuyết nâng cao: Nếu bạn mang hệ thống MDaemon vừa cài cắm thẳng ra Internet và gửi thư cho Gmail, 100% thư của bạn sẽ bị Gmail ném vào thùng rác (Spam) hoặc từ chối nhận. Tại sao? Vì bạn chưa có “Giấy phép thông hành” – chính là 3 bản ghi DNS bảo mật sau:
SPF (Sender Policy Framework):
Bản chất: Là một bản ghi TXT khai báo: “Chỉ có địa chỉ IP này mới được phép gửi thư dưới danh nghĩa tên miền của tôi”.
Ví dụ:
v=spf1 ip4:103.15.20.1 -all(Nếu thư gửi từ IP khác 103.15.20.1, đánh dấu là thư giả mạo).
DKIM (DomainKeys Identified Mail):
Bản chất: Chữ ký số điện tử. Khi Mail Server gửi thư đi, nó sẽ đóng một “con dấu mật mã” vào bức thư. Đầu nhận (Gmail) sẽ dùng khóa công khai trên DNS để giải mã. Khớp nhau thì thư là thật, không bị sửa đổi trên đường đi.
DMARC (Domain-based Message Authentication, Reporting, and Conformance):
Bản chất: Bộ quy tắc chỉ đạo. Khai báo cho Gmail biết: “Nếu anh phát hiện có thư giả mạo tên miền của tôi (tức là trượt SPF hoặc DKIM), anh hãy từ chối nhận nó (Reject) hoặc cho vào mục Spam (Quarantine)”.
2.5. THỰC HÀNH 3: Triển khai Cloud Mail Doanh nghiệp (Zoho)
Đăng ký: Truy cập
zoho.com/mail, chọn gói Miễn phí (Free Forever) cho 5 User.Xác thực tên miền: Zoho sẽ yêu cầu bạn chứng minh bạn là chủ tên miền bằng cách thêm 1 bản ghi TXT vào bảng quản lý DNS (VD: Cloudflare hoặc Mắt Bão).
Trỏ MX Record: Xóa toàn bộ MX cũ, thêm 3 bản ghi MX của Zoho cung cấp (VD:
mx.zoho.compriority 10,mx2.zoho.compriority 20).Cấu hình chống Spam:
Thêm bản ghi SPF theo yêu cầu của Zoho:
v=spf1 include:zoho.com -allBật DKIM trong bảng quản trị Zoho và dán chuỗi khóa mã hóa vào bản ghi TXT trên DNS.
Kiểm tra: Tạo email
admin@tenmien.com. Gửi 1 email vào địa chỉ cá nhân@gmail.com. Mở Gmail, bấm “Show original” (Hiển thị thư gốc), nếu thấy 3 chữ PASS ở dòng SPF, DKIM, DMARC tức là hệ thống Mail đã đạt chuẩn bảo mật quốc tế 100%.
3. Bài tập thực hành tổng hợp (Lab 16 giờ)
Yêu cầu: Học sinh làm việc theo nhóm 2 người, cấu hình hoàn chỉnh hệ thống công ty giả lập:
Máy ảo Windows Server: Cài DNS Server và MDaemon.
Tạo 3 User:
giamdoc,ketoan,nhansu.Cấu hình tính năng Mailing List (Danh sách gửi thư chung): Khi
giamdocgửi 1 email vào địa chỉall@noibo.local, hệ thống tự động phát tán thư đó tới cảketoanvànhansu.Cấu hình Mail Quota (Giới hạn dung lượng): Giới hạn hòm thư của
nhansuchỉ tối đa 50MB.Dùng máy thật (cài Thunderbird) cấu hình 3 tài khoản trên và test chức năng Mailing List.