Cara Kerja Otentikasi Email

Otentikasi email adalah subjek yang menakutkan. Seringkali ada sup alfabet akronim dan inisialisasi. Tetapi konsep inti tidak rumit, dan kebanyakan orang akan dapat dengan cepat memahaminya.

Otentikasi email menjadi semakin penting karena spammer dan phisher terus menggunakan email untuk mendistribusikan pesan yang tidak diinginkan atau berbahaya. Sebagian besar server email sekarang menggunakan sejumlah protokol untuk memverifikasi pesan email sebelum mencapai penerima yang dituju. Email yang tidak diautentikasi dengan benar cenderung memiliki masalah pengiriman email dan akhirnya tidak terkirim atau di folder spam.

Jadi, mari kita bicara tentang 3 protokol otentikasi email paling penting dalam bahasa sederhana, menggunakan analogi dunia nyata.

SPF – Kerangka Kebijakan Pengirim

Yang pertama dan tertua disebut Sender Policy Framework (SPF). SPF memungkinkan pengirim untuk memverifikasi keasliannya. Mari kita pikirkan seperti ini: jika Anda menerima surat di kotak surat Anda yang dicetak dengan kop surat resmi, Anda dapat cukup yakin bahwa itu asli. Jadi cara lain untuk memikirkan email yang lolos SPF adalah surat bersertifikat dari kantor pos. Ada nomor pelacakan yang disediakan, dan Anda dapat memverifikasi siapa pengirimnya dengan menelepon kantor pos.

SPF juga mirip dengan mengonfirmasi alamat pengirim. Jika Anda menerima surat yang nama bisnisnya tidak cocok dengan bisnis apa pun yang tercantum di alamat pengirim surat, Anda akan skeptis terhadap surat itu. Pemeriksaan semacam ini biasanya tidak diperlukan untuk surat fisik, tetapi juga diperlukan untuk pesan email karena mudah untuk mengirim pesan yang mengaku berasal dari orang lain.

Selama SPF, server email penerima dapat meminta domain yang diklaim sebagai asal email untuk daftar alamat IP yang diizinkan untuk mengirim email atas nama domain tersebut. Jika domain tidak mencantumkan server asal sebagai pengirim yang valid, kemungkinan besar email tersebut tidak asli dan pemeriksaan SPF akan gagal.

DKIM – Email yang Diidentifikasi DomainKeys

DomainKeys Identified Mail (DKIM) adalah cara yang lebih baru dan lebih kuat untuk mengautentikasi pesan. DKIM seperti segel lilin pada surat. Sebelum infrastruktur pos yang andal, surat-surat diautentikasi dengan lilin segel yang diembos dengan cincin meterai milik pengirim. Lilin yang mengeras diikat dengan perkamen dan membuatnya hampir tidak mungkin untuk merusak surat itu tanpa meninggalkan bukti.

Simbol yang ditekan ke dalam lilin berfungsi sebagai semacam tanda tangan, karena hanya satu orang yang memiliki akses ke cincin meterai itu. Dengan memeriksa amplop, penerima dapat memverifikasi keaslian pengirim dan bahwa isinya tidak berubah.

Mari kita bayangkan cara lain untuk memastikan keaslian pengirim dan integritas isi pesan selama transit. Pikirkan sebuah kotak dengan laci pengunci dan tutup pengunci. Laci hanya dapat dikunci dengan kunci pengirim. Kami akan menyebut kunci ini sebagai kunci pribadi pengirim.

Tutupnya dapat dikunci dan dibuka dengan kunci yang tersedia secara bebas. Siapa saja dapat meminta salinan kunci. Faktanya, pengirim telah memberikan salinan kunci ini kepada semua kantor pos di sepanjang rute pengiriman. Kami akan menyebutnya kunci publik.

Di bawah tutupnya ada panel kaca. Dengan membuka tutupnya, siapa pun dapat memeriksa paket melalui kaca, tetapi tidak dapat mengutak-atiknya tanpa memecahkan kaca dan meninggalkan barang bukti. Setelah diperiksa, pihak yang berkepentingan dapat mengkonfirmasi kop surat resmi, melihat bahwa kacanya utuh, dan memverifikasi bahwa laci dikunci dengan kunci yang hanya dimiliki pengirim. Setiap kantor pos di sepanjang jalan membuka tutupnya untuk memastikan bahwa bungkusan itu masih utuh.

DKIM bekerja dengan cara yang mirip dengan kotak ini. Pengirim memiliki kunci pribadi kriptografik yang digunakan untuk mengkodekan header pesan. Kunci publik tersedia di registri internet publik terdesentralisasi yang disebut DNS atau Sistem Nama Domain. Setiap server yang terlibat dalam meneruskan pesan ke tujuan akhir dapat mengambil kunci publik dan mendekripsi header untuk memverifikasi bahwa pesan tersebut valid. Dan seperti kotak terkunci, kunci publik tidak dapat digunakan untuk mengenkripsi header (dan mengunci isi laci); hanya kunci pribadi yang dapat melakukannya.

Kita juga dapat menganggap ini seperti kelas surat pos lain yang tersedia di kantor pos. Jika email yang diautentikasi SPF adalah email yang disertifikasi, maka pesan yang diautentikasi DKIM adalah email yang terdaftar, disimpan di bawah kunci dan kunci setiap saat sepanjang rute pengiriman untuk mencegah gangguan.

DMARC – Pelaporan dan Kesesuaian Otentikasi Pesan Domain

Bayangkan seseorang mengirimi Anda salah satu dari kotak kunci ganda yang mewah ini. Kurir yang membawa paket melakukan satu pemeriksaan terakhir sebelum mengirimkannya. Dia mencari kebijakan kesesuaian pengiriman untuk pengirim paket. Kebijakan mereka mengatakan bahwa paket tersebut seharusnya berasal dari alamat tepercaya (SPF).

Paket juga harus berada dalam kotak terkunci dari sumber tepercaya yang menyimpan kunci pribadi dan harus dalam kondisi tidak berubah dalam perjalanan (DKIM). Kebijakan lebih lanjut mengatur bahwa jika ketentuan SPF dan DKIM tidak terpenuhi, kurir harus mengkarantina paket dan memberi tahu pengirim tentang pelanggaran tersebut.

Kebijakan ini analog dengan kebijakan Domain Message Authentication Reporting and Conformance (DMARC). DMARC adalah alat autentikasi terbaru, yang dibangun di atas SPF dan DKIM. Ini adalah cara bagi pengirim untuk memberi tahu penerima metode otentikasi mana yang harus diperiksa dan apa yang harus dilakukan jika pesan yang mengaku dari mereka tidak lulus pemeriksaan yang diperlukan. Instruksi mungkin termasuk menandai pesan sebagai dikarantina dan karena itu cenderung mencurigakan atau menolak pesan sepenuhnya.

Anda mungkin bertanya-tanya mengapa pengirim ingin mengizinkan pesan yang tidak lulus DMARC untuk dikirim. DMARC juga menyediakan umpan balik sehingga pengirim dapat memantau apakah email yang tampaknya berasal dari domain mereka sesuai dengan kebijakan atau tidak.

Tinjauan

Untuk meninjau, ada tiga protokol otentikasi yang banyak digunakan:

1. Kerangka Kebijakan Pengirim (SPF) melakukan pemeriksaan yang mirip dengan memverifikasi alamat pengirim untuk mengotentikasi identitas pengirim.
2. DomainKeys Identified Mail (DKIM) mengotentikasi identitas pengirim juga, tetapi melangkah lebih jauh dengan memastikan isi pesan tidak berubah dengan menggunakan kotak terkunci atau segel lilin.
3. Domain Message Authentication Reporting & Conformance (DMARC) adalah kurir yang memastikan pesan memenuhi persyaratan SPF dan DKIM sebelum dikirim.

Apa Arti Otentikasi Email Bagi Pengirim

Dengan DMARC, pemilik domain akhirnya memiliki kendali penuh atas alamat "dari" yang muncul di klien email penerima. Penyedia kotak surat besar seperti Yahoo! dan AOL telah menerapkan kebijakan yang ketat. Email yang tampaknya berasal dari domain ini tetapi gagal dalam pemeriksaan autentikasi akan dihapus. Anda dapat melihat pembaruan di Gmail di sini dan di Microsoft di sini.

Artinya, Anda tidak boleh mengirim dari domain yang tidak dikonfigurasi untuk mengizinkan server Anda melalui DKIM dan SPF. Jika Anda mengirim email atas nama klien, pastikan klien Anda memiliki entri DNS yang benar untuk mengaktifkannya.

Bagi penerima, meningkatnya popularitas teknologi ini berarti pengurangan email phishing dan spam yang dikirimkan. Dan itu selalu merupakan hal yang baik.

Dan jika Anda ingin bantuan dengan autentikasi email Anda atau Anda mengalami kesulitan dengan pengiriman email Anda, SendGrid memiliki paket email dan layanan ahli untuk membantu semuanya.

Sumber daya tambahan

• https://sendgrid.com/blog/a-dkim-faq/
• https://sendgrid.com/blog/sender-policy-framework-spf-a-layer-of-protection-in-email-infrastructure/
• https://sendgrid.com/blog/what-is-dmarc/