Dalam postingan ini, kami akan memberi tahu Anda semua yang perlu Anda ketahui tentang memanfaatkan DMARC untuk melindungi reputasi email Anda, dan memberikan petunjuk tentang cara mengatur ini untuk domain Anda.
Sebuah Alat Efektif untuk Melawan Surat Penipuan
Sering disebut bersamaan dengan protokol otentikasi email seperti SPF dan DKIM, DMARC, atau Domain-based Message Authentication, Reporting, and Conformance, bukanlah protokol otentikasi itu sendiri. Sebaliknya, tujuan DMARC adalah memungkinkan kami, pemilik domain, untuk melindungi reputasi email kami dengan:
Mengumumkan praktik otentikasi email,
Meminta perlakuan untuk email yang gagal dalam pemeriksaan otentikasi, dan
Meminta laporan tentang email yang mengklaim berasal dari domainnya.
DMARC dapat menjadi alat efektif bagi kami untuk melawan email palsu yang menargetkan nama domain kami (misalnya, phishing dan spoofing), dan yang dapat meningkatkan kepercayaan lebih tinggi di antara penerima kami untuk email kami. Untuk organisasi yang memerlukan enkripsi ujung ke ujung di luar otentikasi, menerapkan S/MIME dengan metode pengumpulan kunci publik penerima yang efisien memberikan lapisan keamanan tambahan. Kepercayaan yang lebih tinggi ini, pada gilirannya, harus mengarah pada keterlibatan yang lebih tinggi dengan email kami, dan email yang dibuka dan menghasilkan klik mendorong penjualan dan ROI yang lebih tinggi untuk kampanye email kami.
Selain melindungi domain kami, kami memprediksi bahwa menerapkan DMARC sekarang akan menjadi cara yang sangat baik untuk “memperkokoh” domain kami di masa depan. Di sini, di Bird, kami percaya bahwa seiring industri beralih ke IPv6, hampir pasti akan beralih dari model reputasi berbasis IP ke model reputasi berbasis domain. Reputasi berbasis domain akan membutuhkan otentikasi berbasis domain, dan DMARC, bersama dengan DKIM dan SPF, akan membantu domain untuk membangun reputasi berbasis domain jauh sebelum benar-benar diperlukan.
Dalam posting ini, kami akan memberi tahu Anda semua yang perlu Anda ketahui tentang memanfaatkan DMARC untuk melindungi reputasi email Anda dan memberi Anda petunjuk tentang cara mengaturnya untuk domain Anda.
Terms to Know
Cara DMARC Bekerja untuk Melindungi Reputasi Email Anda
Ketika kita berbicara tentang penyedia kotak surat atau domain lain "memeriksa DMARC", atau "memvalidasi DMARC", atau "menerapkan kebijakan DMARC", yang kita maksud adalah domain yang menerima pesan melakukan langkah-langkah berikut:
Menentukan domain RFC5322.From dari pesan
Mencari kebijakan DMARC domain tersebut di DNS
Melakukan validasi Tanda Tangan DKIM
Melakukan Validasi SPF
Memeriksa keselarasan domain
Menerapkan kebijakan DMARC
Agar pesan dapat melewati validasi DMARC, pesan tersebut harus lolos hanya salah satu dari dua pemeriksaan autentikasi dan keselarasan. Jadi, pesan akan lolos validasi DMARC jika salah satu dari berikut ini benar:
Pesan melewati pemeriksaan SPF dan domain RFC5322.From dan domain Return-Path selaras, atau
Pesan melewati validasi DKIM dan domain RFC5322.From dan domain DKIM d= selaras, atau
Kedua hal di atas benar
Membuat DMARC Bekerja untuk Domain Anda
Sekarang setelah kami menjelaskan mekanisme DMARC, mari kita bahas tentang cara membuat DMARC bekerja untuk kita, yang melibatkan tiga langkah berikut:
Membuat persiapan untuk menerima laporan DMARC
Memutuskan kebijakan DMARC apa yang akan digunakan untuk domain Anda
Menerbitkan catatan DMARC Anda
Kami akan membahas masing-masing detail di bawah ini, tetapi kami akan memberi tahu Anda langsung bahwa langkah 1 di atas akan menghabiskan sekitar 95% dari waktu persiapan Anda.
Menyiapkan untuk Menerima Laporan DMARC
Setiap domain yang menerbitkan kebijakan DMARC harus terlebih dahulu bersiap menerima laporan mengenai domainnya. Laporan-laporan ini akan dihasilkan oleh setiap domain yang melakukan validasi DMARC dan melihat email yang mengklaim berasal dari domain kita, dan akan dikirim kepada kita minimal setiap hari. Laporan-laporan tersebut akan datang dalam dua format:
Laporan agregat, yang merupakan dokumen XML yang menunjukkan data statistik seberapa banyak email yang dilihat oleh pelapor dari setiap sumber, apa hasil autentikasinya, dan bagaimana pesan tersebut diperlakukan oleh pelapor. Laporan agregat dirancang untuk diparsing mesin, dengan data mereka disimpan di suatu tempat untuk memungkinkan analisis lalu lintas keseluruhan, audit aliran pesan domain kita, dan mungkin identifikasi tren dalam sumber email yang tidak terautentikasi, berpotensi penipuan.
Laporan forensik, yang merupakan salinan individual pesan yang gagal autentikasi, masing-masing terlampir dalam pesan email lengkap menggunakan format yang disebut AFRF. Laporan forensik seharusnya berisi header lengkap dan isi pesan, tetapi banyak pelapor yang menghapus atau menyamarkan sebagian informasi karena masalah privasi. Meskipun demikian, laporan forensik ini masih bisa berguna baik untuk memecahkan masalah autentikasi domain kita sendiri maupun untuk mengidentifikasi, dari URI dalam isi pesan, domain dan situs web berbahaya yang digunakan untuk menipu pelanggan pemilik domain kita.
Persiapan untuk menerima laporan-laporan ini melibatkan terlebih dahulu membuat dua kotak surat dalam domain kita untuk menangani laporan-laporan ini, seperti agg_reports@ourdomain.com dan afrf_reports@ourdomain.com. Perhatikan bahwa nama kotak surat tersebut sepenuhnya sewenang-wenang, dan tidak ada persyaratan untuk penamaan bagian lokal dari kotak surat; kita bebas memilih nama apa pun yang kita inginkan, tetapi tetap memisahkan keduanya untuk memudahkan pemrosesan.
Setelah nama kotak surat dipilih dan dibuat dalam domain kita, langkah selanjutnya adalah menyiapkan alat untuk membaca kotak surat ini dan memanfaatkan data, terutama laporan data agregat, yang sekali lagi dirancang untuk diparsing mesin, bukan dibaca oleh manusia. Laporan forensik, di sisi lain, mungkin dapat dikelola hanya dengan membacanya sendiri, tetapi kemampuan kita untuk melakukannya akan bergantung pada pemahaman klien email kita tentang cara menampilkan pesan dalam format AFRF dan pada volume laporan yang kita terima.
Meskipun kita mungkin menulis alat kita sendiri untuk memproses laporan DMARC, sampai Bird menyediakan layanan tersebut untuk pelanggan bird.com (sesuatu yang kami pertimbangkan, tapi belum menjanjikan), kami merekomendasikan agar kami memanfaatkan alat yang sudah tersedia untuk tugas tersebut.
Kebijakan DMARC Mana yang Digunakan
Spesifikasi DMARC menyediakan tiga pilihan bagi pemilik domain untuk menentukan perlakuan yang mereka sukai terhadap email yang gagal dalam pemeriksaan validasi DMARC. Pilihan tersebut adalah:
none, artinya perlakukan email dengan cara yang sama seperti akan diperlakukan terlepas dari pemeriksaan validasi DMARC
quarantine, artinya terima email tetapi tempatkan di tempat lain selain di Inbox penerima (biasanya di folder spam)
reject, artinya tolak pesan tersebut secara langsung
Penting untuk diingat bahwa pemilik domain hanya dapat meminta perlakuan seperti itu dalam rekaman DMARC-nya; keputusan untuk menghormati kebijakan yang diminta sepenuhnya ada pada penerima pesan. Beberapa akan melakukannya, sementara yang lain mungkin sedikit lebih lunak dalam menerapkan kebijakan, seperti hanya memasukkan email ke folder spam ketika kebijakan domain adalah reject.
Kami merekomendasikan kepada semua pelanggan kami untuk memulai dengan kebijakan none, semata-mata demi keamanan. Sementara kami yakin akan kemampuan kami untuk mengautentikasi email Anda dengan benar melalui penandatanganan DKIM, masih lebih baik untuk meluangkan waktu memeriksa laporan tentang domain Anda sebelum menjadi lebih agresif dengan kebijakan DMARC Anda.
Mempublikasikan Kebijakan DMARC Anda
Kebijakan DMARC dari sebuah domain diumumkan dengan mempublikasikan catatan DNS TXT di tempat tertentu dalam ruang nama DNS, yaitu “_dmarc.domainname.tld” (perhatikan garis bawah di depan). Catatan kebijakan DMARC dasar untuk domain contoh kami sebelumnya, joesbaitshop.com, mungkin terlihat seperti ini:
_dmarc.joesbaitship.com. IN TXT "v=DMARC1\; p=none\; rua=mailto:agg_reports@joesbait.com\; ruf=mailto:afrf_reports@joesbait.com\; pct=100"
Memecah catatan ini, kita memiliki:
v=DMARC1 menentukan versi DMARC (1 adalah satu-satunya pilihan saat ini)
p=none menunjukkan perlakuan yang diinginkan, atau kebijakan DMARC
rua=mailto:agg_reports@joesbait.com adalah kotak surat ke mana laporan agregat harus dikirim
ruf=mailto:afrf_reports@joesbait.com adalah kotak surat ke mana laporan forensik harus dikirim
pct=100 adalah persentase email yang pemilik domain ingin kebijakannya diterapkan. Domain yang baru memulai dengan DMARC, terutama yang mungkin menghasilkan volume laporan yang tinggi, mungkin ingin memulai dengan angka yang jauh lebih rendah di sini untuk melihat bagaimana proses penanganan laporan mereka bertahan terhadap beban.
Ada opsi konfigurasi lain yang tersedia bagi pemilik domain untuk digunakan dalam catatan kebijakan DMARC mereka juga, tetapi tips yang kami berikan seharusnya merupakan awal yang baik.
Ringkasan
Ada banyak yang perlu dibongkar dalam informasi di atas! Kami harap Anda menemukan panduan tentang cara membuat catatan kebijakan DMARC bermanfaat. Kami juga berharap penjelasan kami mengapa DMARC penting membantu menjelaskan mengapa Anda harus mulai menggunakan alat penting ini untuk melindungi reputasi email Anda.
Tentu saja, ini bukan dokumen lengkap atau otoritatif tentang subjek ini. Jika Anda ingin mendalami lebih dalam atau memerlukan bantuan lebih lanjut, tempat yang bagus untuk memulai adalah FAQ resmi DMARC. Dan, sudah jelas bahwa tim dukungan Bird siap membantu Anda mengkonfigurasi akun Bird Anda untuk DMARC juga.
Terima kasih telah membaca—dan mulailah melindungi domain Anda dengan DMARC hari ini!
