Reach

Grow

Manage

Automate

Reach

Grow

Manage

Automate

DMARC: Cara Melindungi Reputasi Email Anda

Burung

13 Apr 2016

Email

1 min read

DMARC: Cara Melindungi Reputasi Email Anda

Burung

13 Apr 2016

Email

1 min read

DMARC: Cara Melindungi Reputasi Email Anda

Dalam postingan ini, kami akan memberi tahu Anda semua yang perlu Anda ketahui tentang memanfaatkan DMARC untuk melindungi reputasi email Anda, dan memberikan petunjuk tentang cara mengatur ini untuk domain Anda.

Sebuah Alat Efektif untuk Melawan Surat Penipuan

Sering disebutkan bersamaan dengan protokol otentikasi email SPF dan DKIM, DMARC, atau Domain-based Message Authentication, Reporting, dan Conformance, bukanlah protokol otentikasi itu sendiri. Sebaliknya, tujuan dari DMARC adalah untuk memungkinkan kami, pemilik domain, melindungi reputasi email kami dengan:

  • Mengumumkan praktik otentikasi email,

  • Meminta perlakuan untuk email yang gagal dalam pemeriksaan otentikasi, dan

  • Meminta laporan tentang email yang mengklaim berasal dari domainnya.


DMARC dapat menjadi alat yang efektif bagi kami dalam melawan email penipuan yang menargetkan nama domain kami (misalnya, phishing dan spoofing), dan yang dapat meningkatkan kepercayaan yang lebih tinggi di antara penerima kami untuk email kami. Untuk organisasi yang memerlukan enkripsi end-to-end di luar otentikasi, menerapkan S/MIME dengan metode pengumpulan kunci publik penerima yang efisien memberikan lapisan keamanan tambahan. Kepercayaan yang lebih tinggi ini, pada gilirannya, seharusnya mengarah pada keterlibatan yang lebih tinggi dengan email kami, dan email yang dibuka dan menghasilkan klik mendorong penjualan dan ROI yang lebih tinggi untuk kampanye email kami.

Selain melindungi domain kami, kami memprediksi bahwa menerapkan DMARC sekarang akan menjadi cara yang sangat baik untuk "memastikan masa depan" domain kami. Di sini, di Bird, kami percaya bahwa seiring industri bergerak ke IPv6, hampir pasti akan bergerak dari model reputasi berbasis IP ke model reputasi berbasis domain. Reputasi berbasis domain akan memerlukan otentikasi berbasis domain, dan DMARC, bersama dengan DKIM dan SPF, akan membantu domain membangun reputasi berbasis domain jauh sebelum itu benar-benar diperlukan.

Dalam posting ini, kami akan memberi tahu Anda semua yang perlu Anda ketahui tentang memanfaatkan DMARC untuk melindungi reputasi email Anda dan memberi Anda petunjuk tentang cara menyiapkannya untuk domain Anda.

Terms to Know

Sebelum kita memulai mengatur DMARC untuk domain Anda, kami ingin memastikan bahwa kita berbicara dalam bahasa yang sama. Mari kita mulai dengan mendefinisikan beberapa istilah yang akan kita gunakan di seluruh dokumen ini.

RFC5322.From Domain

RFC5322.From Domain adalah bagian domain dari alamat email yang biasanya dilihat oleh penerima email kita saat sedang dibaca. Dalam contoh berikut, RFC5322.From domain adalah "joesbaitshop.com"

Dari: Joe’s Bait and Tackle <sales@joesbaitshop.com>

DKIM d= Domain

DKIM adalah protokol autentikasi yang memungkinkan sebuah domain untuk mengambil tanggung jawab atas sebuah pesan dengan cara yang dapat divalidasi oleh penerima pesan; ini dilakukan dengan penggunaan tanda tangan kriptografi yang dimasukkan ke dalam header pesan saat meninggalkan titik asalnya. Tanda tangan ini secara efektif adalah snapshot dari tampilan pesan pada saat itu, dan penerima dapat menggunakan snapshot ini untuk melihat apakah pesan telah tiba di tujuannya tanpa perubahan. Proses menghasilkan dan memasukkan snapshot ini disebut penandatanganan DKIM, dan domain yang mengambil tanggung jawab untuk pesan dengan menandatanganinya memasukkan namanya ke dalam header dalam tag kunci-nilai sebagai "d=signingDomain", oleh karena itu disebut sebagai DKIM d= domain.

Return-Path Domain

Return-Path domain, kadang-kadang disebut sebagai RFC5321. From Domain atau Mail From domain, adalah domain ke mana bounces dialihkan; ini juga domain di mana pemeriksaan SPF dilakukan selama transaksi email. Domain ini biasanya tidak terlihat oleh penerima kecuali penerima cukup cerdas untuk melihat semua header dalam pesan yang diberikan.

Secara default, semua email yang dikirim melalui bird.com akan memiliki birdmail.com sebagai Return-Path domainnya, seperti dalam contoh berikut:

Return-Path: <msprvs1=16880EmYZo7L3=bounces-2785@birdmail1.com>

Namun, agar DMARC bekerja untuk domain Anda, Anda ingin memanfaatkan domain bounce kustom, yang akan berakhir dengan domain yang sama seperti domain pengirim Anda, misalnya, bounces.yourdomain.com saat menggunakan yourdomain.com sebagai domain pengirim Anda.

Organizational Domain

Istilah "Organizational Domain" mengacu pada domain yang diserahkan ke registrar untuk membuat kehadiran domain di internet. Untuk Bird, domain organisasi kami adalah bird.com dan birdmail.com.

Domain Alignment

Istilah terakhir untuk dipahami mengenai DMARC adalah "Domain Alignment," dan ini datang dalam dua varian: "relaxed" dan "strict."

Relaxed Domain Alignment

Dua domain dikatakan memiliki alignment domain yang relaxed ketika Organizational Domain mereka sama. Misalnya, a.mail.bird.com dan b.foo.bird.com memiliki alignment domain yang relaxed karena Organizational Domain yang sama, yaitu bird.com.

Strict Domain Alignment

Dua domain dikatakan dalam alignment domain yang strict jika dan hanya jika mereka identik. Jadi, foo.bird.com dan foo.bird.com adalah dalam alignment strict, karena dua domain tersebut identik. Di sisi lain, foo.bird.com dan bar.foo.bird.com hanya dalam alignment relaxed.

DMARC Domain Alignment Requirements

Agar pengecekan validasi DMARC dapat lulus, DMARC memerlukan alignment domain sebagai berikut:

  • Untuk SPF, RFC5322.From domain dan Return-Path domain harus dalam alignment

  • Untuk DKIM, RFC5322.From domain dan DKIM d= domain harus dalam alignment

Alignment ini bisa relaxed atau strict, berdasarkan kebijakan yang diterbitkan dari domain pengirim.

Sebelum kita memulai mengatur DMARC untuk domain Anda, kami ingin memastikan bahwa kita berbicara dalam bahasa yang sama. Mari kita mulai dengan mendefinisikan beberapa istilah yang akan kita gunakan di seluruh dokumen ini.

RFC5322.From Domain

RFC5322.From Domain adalah bagian domain dari alamat email yang biasanya dilihat oleh penerima email kita saat sedang dibaca. Dalam contoh berikut, RFC5322.From domain adalah "joesbaitshop.com"

Dari: Joe’s Bait and Tackle <sales@joesbaitshop.com>

DKIM d= Domain

DKIM adalah protokol autentikasi yang memungkinkan sebuah domain untuk mengambil tanggung jawab atas sebuah pesan dengan cara yang dapat divalidasi oleh penerima pesan; ini dilakukan dengan penggunaan tanda tangan kriptografi yang dimasukkan ke dalam header pesan saat meninggalkan titik asalnya. Tanda tangan ini secara efektif adalah snapshot dari tampilan pesan pada saat itu, dan penerima dapat menggunakan snapshot ini untuk melihat apakah pesan telah tiba di tujuannya tanpa perubahan. Proses menghasilkan dan memasukkan snapshot ini disebut penandatanganan DKIM, dan domain yang mengambil tanggung jawab untuk pesan dengan menandatanganinya memasukkan namanya ke dalam header dalam tag kunci-nilai sebagai "d=signingDomain", oleh karena itu disebut sebagai DKIM d= domain.

Return-Path Domain

Return-Path domain, kadang-kadang disebut sebagai RFC5321. From Domain atau Mail From domain, adalah domain ke mana bounces dialihkan; ini juga domain di mana pemeriksaan SPF dilakukan selama transaksi email. Domain ini biasanya tidak terlihat oleh penerima kecuali penerima cukup cerdas untuk melihat semua header dalam pesan yang diberikan.

Secara default, semua email yang dikirim melalui bird.com akan memiliki birdmail.com sebagai Return-Path domainnya, seperti dalam contoh berikut:

Return-Path: <msprvs1=16880EmYZo7L3=bounces-2785@birdmail1.com>

Namun, agar DMARC bekerja untuk domain Anda, Anda ingin memanfaatkan domain bounce kustom, yang akan berakhir dengan domain yang sama seperti domain pengirim Anda, misalnya, bounces.yourdomain.com saat menggunakan yourdomain.com sebagai domain pengirim Anda.

Organizational Domain

Istilah "Organizational Domain" mengacu pada domain yang diserahkan ke registrar untuk membuat kehadiran domain di internet. Untuk Bird, domain organisasi kami adalah bird.com dan birdmail.com.

Domain Alignment

Istilah terakhir untuk dipahami mengenai DMARC adalah "Domain Alignment," dan ini datang dalam dua varian: "relaxed" dan "strict."

Relaxed Domain Alignment

Dua domain dikatakan memiliki alignment domain yang relaxed ketika Organizational Domain mereka sama. Misalnya, a.mail.bird.com dan b.foo.bird.com memiliki alignment domain yang relaxed karena Organizational Domain yang sama, yaitu bird.com.

Strict Domain Alignment

Dua domain dikatakan dalam alignment domain yang strict jika dan hanya jika mereka identik. Jadi, foo.bird.com dan foo.bird.com adalah dalam alignment strict, karena dua domain tersebut identik. Di sisi lain, foo.bird.com dan bar.foo.bird.com hanya dalam alignment relaxed.

DMARC Domain Alignment Requirements

Agar pengecekan validasi DMARC dapat lulus, DMARC memerlukan alignment domain sebagai berikut:

  • Untuk SPF, RFC5322.From domain dan Return-Path domain harus dalam alignment

  • Untuk DKIM, RFC5322.From domain dan DKIM d= domain harus dalam alignment

Alignment ini bisa relaxed atau strict, berdasarkan kebijakan yang diterbitkan dari domain pengirim.

Sebelum kita memulai mengatur DMARC untuk domain Anda, kami ingin memastikan bahwa kita berbicara dalam bahasa yang sama. Mari kita mulai dengan mendefinisikan beberapa istilah yang akan kita gunakan di seluruh dokumen ini.

RFC5322.From Domain

RFC5322.From Domain adalah bagian domain dari alamat email yang biasanya dilihat oleh penerima email kita saat sedang dibaca. Dalam contoh berikut, RFC5322.From domain adalah "joesbaitshop.com"

Dari: Joe’s Bait and Tackle <sales@joesbaitshop.com>

DKIM d= Domain

DKIM adalah protokol autentikasi yang memungkinkan sebuah domain untuk mengambil tanggung jawab atas sebuah pesan dengan cara yang dapat divalidasi oleh penerima pesan; ini dilakukan dengan penggunaan tanda tangan kriptografi yang dimasukkan ke dalam header pesan saat meninggalkan titik asalnya. Tanda tangan ini secara efektif adalah snapshot dari tampilan pesan pada saat itu, dan penerima dapat menggunakan snapshot ini untuk melihat apakah pesan telah tiba di tujuannya tanpa perubahan. Proses menghasilkan dan memasukkan snapshot ini disebut penandatanganan DKIM, dan domain yang mengambil tanggung jawab untuk pesan dengan menandatanganinya memasukkan namanya ke dalam header dalam tag kunci-nilai sebagai "d=signingDomain", oleh karena itu disebut sebagai DKIM d= domain.

Return-Path Domain

Return-Path domain, kadang-kadang disebut sebagai RFC5321. From Domain atau Mail From domain, adalah domain ke mana bounces dialihkan; ini juga domain di mana pemeriksaan SPF dilakukan selama transaksi email. Domain ini biasanya tidak terlihat oleh penerima kecuali penerima cukup cerdas untuk melihat semua header dalam pesan yang diberikan.

Secara default, semua email yang dikirim melalui bird.com akan memiliki birdmail.com sebagai Return-Path domainnya, seperti dalam contoh berikut:

Return-Path: <msprvs1=16880EmYZo7L3=bounces-2785@birdmail1.com>

Namun, agar DMARC bekerja untuk domain Anda, Anda ingin memanfaatkan domain bounce kustom, yang akan berakhir dengan domain yang sama seperti domain pengirim Anda, misalnya, bounces.yourdomain.com saat menggunakan yourdomain.com sebagai domain pengirim Anda.

Organizational Domain

Istilah "Organizational Domain" mengacu pada domain yang diserahkan ke registrar untuk membuat kehadiran domain di internet. Untuk Bird, domain organisasi kami adalah bird.com dan birdmail.com.

Domain Alignment

Istilah terakhir untuk dipahami mengenai DMARC adalah "Domain Alignment," dan ini datang dalam dua varian: "relaxed" dan "strict."

Relaxed Domain Alignment

Dua domain dikatakan memiliki alignment domain yang relaxed ketika Organizational Domain mereka sama. Misalnya, a.mail.bird.com dan b.foo.bird.com memiliki alignment domain yang relaxed karena Organizational Domain yang sama, yaitu bird.com.

Strict Domain Alignment

Dua domain dikatakan dalam alignment domain yang strict jika dan hanya jika mereka identik. Jadi, foo.bird.com dan foo.bird.com adalah dalam alignment strict, karena dua domain tersebut identik. Di sisi lain, foo.bird.com dan bar.foo.bird.com hanya dalam alignment relaxed.

DMARC Domain Alignment Requirements

Agar pengecekan validasi DMARC dapat lulus, DMARC memerlukan alignment domain sebagai berikut:

  • Untuk SPF, RFC5322.From domain dan Return-Path domain harus dalam alignment

  • Untuk DKIM, RFC5322.From domain dan DKIM d= domain harus dalam alignment

Alignment ini bisa relaxed atau strict, berdasarkan kebijakan yang diterbitkan dari domain pengirim.

Cara DMARC Bekerja untuk Melindungi Reputasi Email Anda

Ketika kita berbicara tentang penyedia kotak surat atau domain lain "memeriksa DMARC", atau "memvalidasi DMARC", atau "menerapkan kebijakan DMARC", yang kita maksud adalah domain yang menerima pesan melakukan langkah-langkah berikut:

  1. Menentukan domain RFC5322.From dari pesan

  2. Mencari kebijakan DMARC domain tersebut di DNS

  3. Melakukan validasi Tanda Tangan DKIM

  4. Melakukan Validasi SPF

  5. Memeriksa keselarasan domain

  6. Menerapkan kebijakan DMARC


Agar pesan dapat melewati validasi DMARC, pesan tersebut harus lolos hanya salah satu dari dua pemeriksaan autentikasi dan keselarasan. Jadi, pesan akan lolos validasi DMARC jika salah satu dari berikut ini benar:

  • Pesan melewati pemeriksaan SPF dan domain RFC5322.From dan domain Return-Path selaras, atau

  • Pesan melewati validasi DKIM dan domain RFC5322.From dan domain DKIM d= selaras, atau

  • Kedua hal di atas benar

Membuat DMARC Bekerja untuk Domain Anda

Sekarang setelah kami menjelaskan mekanisme DMARC, mari kita bahas tentang cara membuat DMARC bekerja untuk kita, yang melibatkan tiga langkah berikut:

  1. Membuat persiapan untuk menerima laporan DMARC

  2. Memutuskan kebijakan DMARC apa yang akan digunakan untuk domain Anda

  3. Menerbitkan catatan DMARC Anda

Kami akan membahas masing-masing detail di bawah ini, tetapi kami akan memberi tahu Anda langsung bahwa langkah 1 di atas akan menghabiskan sekitar 95% dari waktu persiapan Anda.

Menyiapkan untuk Menerima Laporan DMARC

Setiap domain yang menerbitkan kebijakan DMARC harus terlebih dahulu mempersiapkan untuk menerima laporan mengenai domainnya. Laporan ini akan dihasilkan oleh setiap domain yang melakukan validasi DMARC dan melihat email yang mengklaim berasal dari domain kami, dan akan dikirimkan kepada kami setidaknya sekali sehari. Laporan tersebut akan datang dalam dua format:

  • Laporan agregat, yang merupakan dokumen XML yang menunjukkan data statistik tentang seberapa banyak email yang dilihat oleh pelapor dari setiap sumber, apa hasil autentikasinya, dan bagaimana pesan tersebut diperlakukan oleh pelapor. Laporan agregat dirancang untuk diparse mesin, dengan data mereka disimpan di suatu tempat untuk memungkinkan analisis lalu lintas keseluruhan, audit aliran pesan domain kami, dan mungkin identifikasi tren dalam sumber email yang tidak terautentikasi, berpotensi curang.

  • Laporan forensik, yang merupakan salinan individual dari pesan yang gagal autentikasi, masing-masing dilampirkan dalam pesan email lengkap menggunakan format yang disebut AFRF. Laporan forensik seharusnya berisi header penuh dan tubuh pesan, tetapi banyak pelapor yang menghapus atau mengaburkan beberapa informasi karena masalah privasi. Namun demikian, laporan forensik masih tetap berguna baik untuk memecahkan masalah autentikasi domain kami sendiri dan untuk mengidentifikasi, dari URI dalam tubuh pesan, domain dan situs web berbahaya yang digunakan untuk menipu pelanggan pemilik domain kami.


Persiapan untuk menerima laporan-laporan ini melibatkan pembuatan dua kotak surat di domain kami untuk menangani laporan ini, seperti agg_reports@ourdomain.com dan afrf_reports@ourdomain.com. Perhatikan bahwa nama kotak surat tersebut sepenuhnya arbitrer, dan tidak ada persyaratan untuk penamaan bagian lokal dari kotak surat; kami bebas memilih nama apa pun yang kami inginkan, tetapi tetap menjaga keduanya terpisah untuk pemrosesan yang lebih mudah.

Setelah nama kotak surat dipilih dan dibuat di domain kami, hal selanjutnya yang harus dilakukan di sini adalah menempatkan alat untuk membaca kotak surat ini dan memanfaatkan data tersebut, terutama laporan data agregat, yang sekali lagi dirancang untuk diparse mesin, daripada dibaca oleh manusia. Laporan forensik, di sisi lain, mungkin dapat dikelola hanya dengan membacanya sendiri, tetapi kemampuan kami untuk melakukannya akan bergantung baik pada pemahaman klien email kami tentang cara menampilkan pesan dalam format AFRF dan pada volume laporan yang kami terima.

Walaupun mungkin bagi kami untuk menulis alat kami sendiri untuk memproses laporan DMARC, sampai saat Bird menyediakan layanan semacam itu untuk pelanggan bird.com (sesuatu yang kami pertimbangkan, tetapi belum berjanji), kami menyarankan agar kami memanfaatkan alat yang sudah tersedia untuk tugas tersebut.

Kebijakan DMARC Mana yang Digunakan

Spesifikasi DMARC menyediakan tiga pilihan bagi pemilik domain untuk menentukan perlakuan yang mereka sukai terhadap email yang gagal dalam pemeriksaan validasi DMARC. Pilihan tersebut adalah:

  • none, artinya perlakukan email dengan cara yang sama seperti akan diperlakukan terlepas dari pemeriksaan validasi DMARC

  • quarantine, artinya terima email tetapi tempatkan di tempat lain selain di Inbox penerima (biasanya di folder spam)

  • reject, artinya tolak pesan tersebut secara langsung


Penting untuk diingat bahwa pemilik domain hanya dapat meminta perlakuan seperti itu dalam rekaman DMARC-nya; keputusan untuk menghormati kebijakan yang diminta sepenuhnya ada pada penerima pesan. Beberapa akan melakukannya, sementara yang lain mungkin sedikit lebih lunak dalam menerapkan kebijakan, seperti hanya memasukkan email ke folder spam ketika kebijakan domain adalah reject.

Kami merekomendasikan kepada semua pelanggan kami untuk memulai dengan kebijakan none, semata-mata demi keamanan. Sementara kami yakin akan kemampuan kami untuk mengautentikasi email Anda dengan benar melalui penandatanganan DKIM, masih lebih baik untuk meluangkan waktu memeriksa laporan tentang domain Anda sebelum menjadi lebih agresif dengan kebijakan DMARC Anda.

Mempublikasikan Kebijakan DMARC Anda

Kebijakan DMARC dari sebuah domain diumumkan dengan mempublikasikan catatan DNS TXT pada lokasi tertentu di namespace DNS, yaitu “_dmarc.domainname.tld” (perhatikan garis bawah di depan). Catatan kebijakan DMARC dasar untuk domain contoh kita sebelumnya, joesbaitshop.com, mungkin akan terlihat seperti ini:

_dmarc.joesbaitship.com. IN TXT "v=DMARC1; p=none; rua=mailto:agg_reports@joesbait.com; ruf=mailto:afrf_reports@joesbait.com; pct=100"

Memecah catatan ini, kita memiliki:

  • v=DMARC1 menentukan versi DMARC (1 adalah satu-satunya pilihan saat ini)

  • p=none menentukan perlakuan yang diinginkan, atau kebijakan DMARC

  • rua=mailto:agg_reports@joesbait.com adalah kotak surat ke mana laporan agregat harus dikirim

  • ruf=mailto:afrf_reports@joesbait.com adalah kotak surat ke mana laporan forensik harus dikirim

  • pct=100 adalah persentase email yang ingin diterapkan kebijakan oleh pemilik domain. Domain yang baru memulai dengan DMARC, terutama jika cenderung menghasilkan volume laporan yang tinggi, mungkin ingin memulai dengan angka yang jauh lebih rendah di sini untuk melihat bagaimana proses penanganan laporan mereka menghadapi beban tersebut.


Ada opsi konfigurasi lain yang tersedia untuk pemilik domain untuk digunakan dalam catatan kebijakan DMARC-nya juga, tetapi tips yang kami berikan seharusnya menjadi awal yang baik.

Ringkasan

Ada banyak yang harus dibongkar dalam informasi di atas! Kami harap Anda menemukan panduan cara membuat catatan kebijakan DMARC bermanfaat. Kami juga berharap penjelasan kami tentang mengapa DMARC penting membantu menjelaskan mengapa Anda harus mulai menggunakan alat penting ini untuk melindungi reputasi email Anda.

Tentu saja, ini bukanlah dokumen yang lengkap atau otoritatif tentang subjek ini. Jika Anda ingin mendalami lebih dalam atau membutuhkan lebih banyak bantuan, tempat yang bagus untuk memulai adalah FAQ resmi DMARC. Dan, tak perlu dikatakan lagi bahwa tim dukungan Bird siap membantu Anda mengonfigurasi akun Bird Anda untuk DMARC juga.

Terima kasih telah membaca—dan mulai lindungi domain Anda dengan DMARC hari ini!

Mari hubungkan Anda dengan pakar Bird.
Lihat kekuatan penuh dari Bird dalam 30 menit.

Dengan mengirimkan, Anda setuju Bird dapat menghubungi Anda tentang produk dan layanan kami.

Anda dapat berhenti berlangganan kapan saja. Lihat Pernyataan Privasi Bird untuk detail tentang pemrosesan data.

Perusahaan

Newsletter

Tetap terinformasi dengan Bird melalui pembaruan mingguan ke kotak masuk Anda.

Mari hubungkan Anda dengan pakar Bird.
Lihat kekuatan penuh dari Bird dalam 30 menit.

Dengan mengirimkan, Anda setuju Bird dapat menghubungi Anda tentang produk dan layanan kami.

Anda dapat berhenti berlangganan kapan saja. Lihat Pernyataan Privasi Bird untuk detail tentang pemrosesan data.

Perusahaan

Newsletter

Tetap terinformasi dengan Bird melalui pembaruan mingguan ke kotak masuk Anda.

Mari hubungkan Anda dengan pakar Bird.
Lihat kekuatan penuh dari Bird dalam 30 menit.

Dengan mengirimkan, Anda setuju Bird dapat menghubungi Anda tentang produk dan layanan kami.

Anda dapat berhenti berlangganan kapan saja. Lihat Pernyataan Privasi Bird untuk detail tentang pemrosesan data.

R

Reach

G

Grow

M

Manage

A

Automate

Perusahaan

Newsletter

Tetap terinformasi dengan Bird melalui pembaruan mingguan ke kotak masuk Anda.