Bagaimana SPF, DKIM, DMARC Mendorong Pengiriman Email, Keamanan

Diterbitkan: 2022-11-28

Trio standar autentikasi email bekerja sama untuk meningkatkan keterkiriman email bagi pengirim dan keamanan email bagi penerima.

Sender Policy Framework (SPF), DomainKeys Identified Mail (DKIM), dan Domain-based Message Authentication, Reporting, and Conformance (DMARC) membantu memastikan bahwa email yang dikirim dari perusahaan Anda asli dan pelaku jahat tidak melakukan spoofing atau merusak mereka.

SPF, DKIM, DMARC

SPF, DKIM, dan DMARC menunjukkan server email penerima bahwa pesan tertentu dikirim dari alamat IP resmi, bahwa pengirimnya asli, dan pengirimnya transparan tentang identitasnya.

Mari kita ambil masing-masing secara bergiliran.

Menyiapkan catatan SPF untuk domain Anda melibatkan penambahan jenis catatan TXT yang berisi daftar resmi server email keluar ke Domain Name System (DNS). SPF memverifikasi bahwa email dari domain bisnis Anda berasal dari sumber yang diautentikasi, bukan penipu.

Kunci DKIM terdiri dari dua bagian: kunci publik yang disimpan di DNS dan kunci pribadi yang disimpan di server email pengirim. Tanda tangan DKIM yang dilampirkan pada setiap email keluar digunakan oleh server email penerima untuk memverifikasi keasliannya. DKIM juga dapat menunjukkan apakah pesan email tertentu telah diubah.

DMARC adalah mekanisme kebijakan yang memungkinkan perusahaan untuk mengontrol bagaimana email masuk dari domainnya harus ditangani jika gagal dalam autentikasi SPF atau DKIM. Opsinya adalah "tolak", "karantina", atau "tidak ada". Ini bisa seperti bel alarm jika pelaku kesalahan mencoba menggunakan domain Anda.

Catatan SPF

Menyiapkan data SPF memerlukan akses ke data DNS domain Anda di registrar, seperti GoDaddy atau yang serupa. Jika Anda pernah memverifikasi domain Anda atau memindahkannya ke server baru, kemungkinan besar Anda memperbarui catatan DNS-nya.

Screenshot of an SPF record in a DNS settings interface

Catatan SPF hanyalah catatan TXT di DNS domain Anda.

Data SPF akan bertipe "TXT". Dan itu akan dimulai dengan versi SPF yang Anda gunakan.

 v=spf1

Versi ini diikuti oleh daftar alamat IP4 atau IP6 resmi, seperti pada:

 v=spf1 ip4:192.168.0.1

Catatan SPF ini akan mengotorisasi email dari alamat IP 192.168.0.1. Untuk mengizinkan rentang alamat IP, Anda dapat menggunakan notasi Classless Inter-Domain Routing (CIDR) (terkadang disebut notasi "garis miring").

 v=spf1 ip4:192.168.0.0 /16

Data SPF di atas akan mengotorisasi rentang alamat IP dari 192.168.0.0 hingga 192.168.255.255 — inilah yang ditunjukkan oleh “/16”.

Menggunakan awalan "a", data SPF dapat mengotorisasi domain berdasarkan nama. Catatan di bawah mengotorisasi server yang terkait dengan domain example.com.

 v=spf1 a:contoh.com

Demikian pula, awalan "mx" ("mail exchange") mengotorisasi server email tertentu.

 v=spf1 mx:mail.example.com

Untuk mengotorisasi pengirim pihak ketiga, gunakan awalan "sertakan". Contoh di bawah mengizinkan rentang IP dan server Google.

 v=spf1 ip4:192.168.0.0/16 sertakan:_spf.google.com

Ada juga dua kualifikasi SPF. Yang pertama adalah ~all dengan tilde (~). Yang kedua adalah -semua dengan tanda hubung (-).

Versi tilde (~all) adalah kualifikasi soft-fail. Dalam kebanyakan kasus, server email penerima akan menerima pesan dari pengirim yang tidak ada dalam catatan SPF terkait, tetapi menganggapnya mencurigakan.

Versi tanda hubung (-semua) adalah kualifikasi yang gagal. Server email penerima kemungkinan akan melabeli pesan yang dikirim dari server yang tidak diotorisasi dalam catatan SPF sebagai spam dan menolaknya.

Akhirnya, semua ini dapat digunakan bersama untuk otorisasi yang relatif kompleks.

 v=spf1 ip4:192.168.0.0/16 a:example.com sertakan:_spf.google.com

Ingat, catatan SPF membantu server email penerima mengidentifikasi pesan email asli dari domain perusahaan Anda.

Kunci DKIM

DKIM melindungi domain Anda dan membantu mencegah siapa pun meniru identitas perusahaan Anda. Dua kunci DKiM memungkinkan server email penerima untuk memverifikasi bahwa perusahaan Anda mengirim pesan dan tidak diubah setelah Anda mengirimkannya.

Langkah pertama dalam menyiapkan DKIM adalah membuat kunci — satu publik dan satu pribadi. Kunci pribadi aman di server yang digunakan untuk mengirim email dari domain Anda. Kunci publik ditambahkan ke DNS sebagai data TXT.

Bagian yang sulit adalah membuat kunci karena prosedur yang tepat untuk membuatnya bervariasi dari satu penyedia layanan email ke yang berikutnya. Dan sangat berbeda jika perusahaan Anda menghosting server emailnya sendiri.

Penyedia layanan email menawarkan instruksi. Berikut adalah beberapa contoh tanpa urutan tertentu.

  • Mailchimp: Mengatur Otentikasi Domain Email,
  • Klaviyo: Cara Menyiapkan Domain Pengiriman Khusus,
  • Zoho Campaigns: Cara Mengautentikasi Domain Saya,
  • MailerLite: Otentikasi domain email,
  • Juru kampanye: DKIM, SPF, dan DMARC,
  • ConvertKit: Menggunakan Domain Terverifikasi untuk Pengiriman Email,
  • MailUp: Memaksimalkan Keterkiriman untuk Email Anda,
  • ActiveCampaign: Otentikasi SPF, DKIM, dan DMARC,
  • Keap: DKIM.

Dalam setiap kasus, DKIM selesai saat Anda menambahkan — salin dan tempel — data CNAME penyedia email ke DNS domain Anda. Catatan ini mewakili kunci publik untuk mengautentikasi pesan pemasaran email keluar perusahaan Anda.

DMARC

DMARC memberikan lapisan perlindungan lain dan juga menginstruksikan server email apa yang harus dilakukan dengan pesan yang gagal autentikasi SPF atau DKIM.

Fondasi DMARC adalah data TXT yang ditempatkan di DNS domain Anda. Ini akan berisi kebijakan DMARC dengan setidaknya dua elemen:

  • Alamat email untuk menerima laporan agregat autentikasi email, dan
  • Tindakan untuk mengambil email yang gagal autentikasi (yaitu, menolak atau mengkarantina).

Berikut adalah contoh data TXT DMARC di DNS:

 v=DMARC1; p=karantina; rua=mailto:[email protected]; ruf=mailto:[email protected].

Catatan dimulai dengan versi DMARC.

 v=DMARC1;

Elemen "p" menetapkan tindakan untuk email yang gagal autentikasi. Dalam hal ini, diatur ke “karantina”, yang memerintahkan server penerima untuk memindahkan pesan tersebut ke area penyimpanan. Opsi lainnya termasuk "tidak ada" — yang tidak menghentikan email tetapi memantau kegagalan SPF atau DKIM — atau "menolak".

 p=karantina;

Awalan "rua" dan "ruf" memberi tahu server penerima tempat mengirim laporan agregat (rua — Melaporkan URI untuk data Agregat) dan laporan forensik (ruf — Melaporkan URI untuk data Kegagalan). Laporan ini dapat mengungkap penjahat yang mencoba menyamar sebagai bisnis Anda.

Pengubah tambahan meliputi:

  • persen — persentase pesan email yang tunduk pada kebijakan DMARC.
  • sp — kebijakan DMARC untuk subdomain.
  • adkim — menetapkan mode ketat (adkim:s) atau santai (adkim:r) untuk DKIM.
  • aspf — menetapkan mode ketat (adkim:s) atau santai (adkim:r) untuk SPF.

Layanan pihak ketiga dapat membantu membuat catatan DMARC berdasarkan standar resmi. Layanan ini meliputi:

  • MXToolBox,
  • PowerDMARC,
  • Dmarcian,
  • EasyDMARC.

Lindungi Pengirim dan Penerima

Menyiapkan data SPF, DKIM, dan DMARC untuk domain Anda memastikan bahwa server email mengenali pesan dari perusahaan Anda sebagai asli dan menolak penipu. Hasilnya melindungi reputasi perusahaan Anda dan melindungi pelanggan dari serangan phishing dan jenis penipuan email lainnya.