Global TXT Record Lookup
Ban đầu được thiết kế vào những năm 1980 như một sandbox đơn giản cho các sysadmin để lại các dòng ghi chú dạng human-readable bên trong zone file, bản ghi TXT (Text) ngày nay đã phát triển thành một trong những component cực kỳ quan trọng đối với kiến trúc bảo mật mạng hiện đại. Vì giao thức DNS hầu như không áp dụng bất kỳ bước validate cú pháp nào đối với các TXT payload, các developer và nền tảng bảo mật đã sử dụng các bản ghi này để lưu trữ các chuỗi dữ liệu machine-readable (máy đọc được) bất kỳ. Ngày nay, bản ghi TXT chủ yếu được tận dụng cho các framework xác thực email nghiêm ngặt, phân phối khóa mã hóa (cryptographic key), và xác minh tự động quyền sở hữu domain.
Bộ ba xác thực Email: SPF, DKIM, và DMARC
Nếu email gửi đi từ web app hoặc server doanh nghiệp của bạn đang bị rơi thẳng vào thư mục spam, nguyên nhân gần như luôn nằm ở việc cấu hình sai bản ghi TXT. Các MTA nhận thư hiện đại (như Microsoft 365 hay Gmail) đòi hỏi bằng chứng mã hoá về danh tính thông qua 3 policy TXT cụ thể:
- SPF (Sender Policy Framework): Một chuỗi TXT được format nghiêm ngặt (ví dụ:
v=spf1 include:_spf.google.com ~all) hoạt động như một public whitelist. Nó ủy quyền cho các dải IP cụ thể và các dịch vụ gửi thư bên thứ ba (như Mailgun hoặc SendGrid) được phép gửi mail thay mặt cho domain. - DKIM (DomainKeys Identified Mail): Một bản ghi TXT chứa public cryptographic key khổng lồ được mã hóa Base64. Outbound mail server của bạn sẽ hash các email header và ký (sign) chúng bằng một private key. Server nhận sẽ fetch public key từ bản ghi TXT này để verify chữ ký bằng các phép tính toán học, đảm bảo rằng Payload không bị can thiệp trong quá trình chuyển phát (in transit).
- DMARC (Domain-based Message Authentication, Reporting, and Conformance): Lớp thực thi (enforcement layer). Bản ghi TXT này chỉ thị cho các server nhận cách thức xử lý những message fail ở bước check SPF hoặc DKIM, quy định xem nên áp dụng policy
p=none(chỉ theo dõi),p=quarantine(gửi vào spam), hayp=reject(drop hoàn toàn).
Xác thực sở hữu Domain tự động và Zero-Trust
Ngoài email, bản ghi TXT là tiêu chuẩn chung để chứng minh quyền kiểm soát đối với một domain name. Khi tích hợp một domain với một cloud provider (như Google Search Console, GitHub Pages, hoặc AWS SES), platform sẽ generate một cryptographic hash ngẫu nhiên. Bằng cách yêu cầu admin publish hash này dưới dạng bản ghi TXT, provider có thể xác nhận thông qua DNS lookup tự động rằng user nắm quyền truy cập mức root vào routing infrastructure của domain. Tương tự, giao thức ACME do Let's Encrypt sử dụng phụ thuộc rất nhiều vào challenge DNS-01, trong đó một bản ghi TXT tạm thời được deploy để cấp phép cho việc tạo chứng chỉ SSL/TLS wildcard.
Giới hạn Byte và String Concatenation
Một hạn chế kỹ thuật thường gặp đối với các developer là giới hạn 255 ký tự mỗi chunk TXT theo đặc tả của DNS. Khi publish những payload khổng lồ, chẳng hạn như key RSA 2048-bit dùng cho DKIM, payload sẽ vượt quá giới hạn byte này. Để giải quyết việc này, các standard DNS software (như BIND) sẽ tự động ngắt bản ghi dài thành nhiều string được đặt trong dấu ngoặc kép (ví dụ: "string1" "string2"). Client resolver sẽ chịu trách nhiệm ghép (concatenate) lại các chunk này một cách liền mạch trong quá trình read.