Dalam postingan ini, kami akan memberi tahu Anda semua yang perlu Anda ketahui tentang memanfaatkan DMARC untuk melindungi reputasi email Anda, dan memberikan petunjuk tentang cara mengatur ini untuk domain Anda.
Sebuah Alat Efektif untuk Melawan Surat Penipuan
Sering disebutkan bersamaan dengan protokol otentikasi email SPF dan DKIM, DMARC, atau Domain-based Message Authentication, Reporting, dan Conformance, bukanlah protokol otentikasi itu sendiri. Sebaliknya, tujuan dari DMARC adalah untuk memungkinkan kami, pemilik domain, melindungi reputasi email kami dengan:
Mengumumkan praktik otentikasi email,
Meminta perlakuan untuk email yang gagal dalam pemeriksaan otentikasi, dan
Meminta laporan tentang email yang mengklaim berasal dari domainnya.
DMARC dapat menjadi alat yang efektif bagi kami dalam melawan email penipuan yang menargetkan nama domain kami (misalnya, phishing dan spoofing), dan yang dapat meningkatkan kepercayaan yang lebih tinggi di antara penerima kami untuk email kami. Untuk organisasi yang memerlukan enkripsi end-to-end di luar otentikasi, menerapkan S/MIME dengan metode pengumpulan kunci publik penerima yang efisien memberikan lapisan keamanan tambahan. Kepercayaan yang lebih tinggi ini, pada gilirannya, seharusnya mengarah pada keterlibatan yang lebih tinggi dengan email kami, dan email yang dibuka dan menghasilkan klik mendorong penjualan dan ROI yang lebih tinggi untuk kampanye email kami.
Selain melindungi domain kami, kami memprediksi bahwa menerapkan DMARC sekarang akan menjadi cara yang sangat baik untuk "memastikan masa depan" domain kami. Di sini, di Bird, kami percaya bahwa seiring industri bergerak ke IPv6, hampir pasti akan bergerak dari model reputasi berbasis IP ke model reputasi berbasis domain. Reputasi berbasis domain akan memerlukan otentikasi berbasis domain, dan DMARC, bersama dengan DKIM dan SPF, akan membantu domain membangun reputasi berbasis domain jauh sebelum itu benar-benar diperlukan.
Dalam posting ini, kami akan memberi tahu Anda semua yang perlu Anda ketahui tentang memanfaatkan DMARC untuk melindungi reputasi email Anda dan memberi Anda petunjuk tentang cara menyiapkannya untuk domain Anda.
Terms to Know
Cara DMARC Bekerja untuk Melindungi Reputasi Email Anda
Ketika kita berbicara tentang penyedia kotak surat atau domain lain "memeriksa DMARC", atau "memvalidasi DMARC", atau "menerapkan kebijakan DMARC", yang kita maksud adalah domain yang menerima pesan melakukan langkah-langkah berikut:
Menentukan domain RFC5322.From dari pesan
Mencari kebijakan DMARC domain tersebut di DNS
Melakukan validasi Tanda Tangan DKIM
Melakukan Validasi SPF
Memeriksa keselarasan domain
Menerapkan kebijakan DMARC
Agar pesan dapat melewati validasi DMARC, pesan tersebut harus lolos hanya salah satu dari dua pemeriksaan autentikasi dan keselarasan. Jadi, pesan akan lolos validasi DMARC jika salah satu dari berikut ini benar:
Pesan melewati pemeriksaan SPF dan domain RFC5322.From dan domain Return-Path selaras, atau
Pesan melewati validasi DKIM dan domain RFC5322.From dan domain DKIM d= selaras, atau
Kedua hal di atas benar
Membuat DMARC Bekerja untuk Domain Anda
Sekarang setelah kami menjelaskan mekanisme DMARC, mari kita bahas tentang cara membuat DMARC bekerja untuk kita, yang melibatkan tiga langkah berikut:
Membuat persiapan untuk menerima laporan DMARC
Memutuskan kebijakan DMARC apa yang akan digunakan untuk domain Anda
Menerbitkan catatan DMARC Anda
Kami akan membahas masing-masing detail di bawah ini, tetapi kami akan memberi tahu Anda langsung bahwa langkah 1 di atas akan menghabiskan sekitar 95% dari waktu persiapan Anda.
Menyiapkan untuk Menerima Laporan DMARC
Setiap domain yang menerbitkan kebijakan DMARC harus terlebih dahulu mempersiapkan untuk menerima laporan mengenai domainnya. Laporan ini akan dihasilkan oleh setiap domain yang melakukan validasi DMARC dan melihat email yang mengklaim berasal dari domain kami, dan akan dikirimkan kepada kami setidaknya sekali sehari. Laporan tersebut akan datang dalam dua format:
Laporan agregat, yang merupakan dokumen XML yang menunjukkan data statistik tentang seberapa banyak email yang dilihat oleh pelapor dari setiap sumber, apa hasil autentikasinya, dan bagaimana pesan tersebut diperlakukan oleh pelapor. Laporan agregat dirancang untuk diparse mesin, dengan data mereka disimpan di suatu tempat untuk memungkinkan analisis lalu lintas keseluruhan, audit aliran pesan domain kami, dan mungkin identifikasi tren dalam sumber email yang tidak terautentikasi, berpotensi curang.
Laporan forensik, yang merupakan salinan individual dari pesan yang gagal autentikasi, masing-masing dilampirkan dalam pesan email lengkap menggunakan format yang disebut AFRF. Laporan forensik seharusnya berisi header penuh dan tubuh pesan, tetapi banyak pelapor yang menghapus atau mengaburkan beberapa informasi karena masalah privasi. Namun demikian, laporan forensik masih tetap berguna baik untuk memecahkan masalah autentikasi domain kami sendiri dan untuk mengidentifikasi, dari URI dalam tubuh pesan, domain dan situs web berbahaya yang digunakan untuk menipu pelanggan pemilik domain kami.
Persiapan untuk menerima laporan-laporan ini melibatkan pembuatan dua kotak surat di domain kami untuk menangani laporan ini, seperti agg_reports@ourdomain.com dan afrf_reports@ourdomain.com. Perhatikan bahwa nama kotak surat tersebut sepenuhnya arbitrer, dan tidak ada persyaratan untuk penamaan bagian lokal dari kotak surat; kami bebas memilih nama apa pun yang kami inginkan, tetapi tetap menjaga keduanya terpisah untuk pemrosesan yang lebih mudah.
Setelah nama kotak surat dipilih dan dibuat di domain kami, hal selanjutnya yang harus dilakukan di sini adalah menempatkan alat untuk membaca kotak surat ini dan memanfaatkan data tersebut, terutama laporan data agregat, yang sekali lagi dirancang untuk diparse mesin, daripada dibaca oleh manusia. Laporan forensik, di sisi lain, mungkin dapat dikelola hanya dengan membacanya sendiri, tetapi kemampuan kami untuk melakukannya akan bergantung baik pada pemahaman klien email kami tentang cara menampilkan pesan dalam format AFRF dan pada volume laporan yang kami terima.
Walaupun mungkin bagi kami untuk menulis alat kami sendiri untuk memproses laporan DMARC, sampai saat Bird menyediakan layanan semacam itu untuk pelanggan bird.com (sesuatu yang kami pertimbangkan, tetapi belum berjanji), kami menyarankan agar kami memanfaatkan alat yang sudah tersedia untuk tugas tersebut.
Kebijakan DMARC Mana yang Digunakan
Spesifikasi DMARC menyediakan tiga pilihan bagi pemilik domain untuk menentukan perlakuan yang mereka sukai terhadap email yang gagal dalam pemeriksaan validasi DMARC. Pilihan tersebut adalah:
none, artinya perlakukan email dengan cara yang sama seperti akan diperlakukan terlepas dari pemeriksaan validasi DMARC
quarantine, artinya terima email tetapi tempatkan di tempat lain selain di Inbox penerima (biasanya di folder spam)
reject, artinya tolak pesan tersebut secara langsung
Penting untuk diingat bahwa pemilik domain hanya dapat meminta perlakuan seperti itu dalam rekaman DMARC-nya; keputusan untuk menghormati kebijakan yang diminta sepenuhnya ada pada penerima pesan. Beberapa akan melakukannya, sementara yang lain mungkin sedikit lebih lunak dalam menerapkan kebijakan, seperti hanya memasukkan email ke folder spam ketika kebijakan domain adalah reject.
Kami merekomendasikan kepada semua pelanggan kami untuk memulai dengan kebijakan none, semata-mata demi keamanan. Sementara kami yakin akan kemampuan kami untuk mengautentikasi email Anda dengan benar melalui penandatanganan DKIM, masih lebih baik untuk meluangkan waktu memeriksa laporan tentang domain Anda sebelum menjadi lebih agresif dengan kebijakan DMARC Anda.
Mempublikasikan Kebijakan DMARC Anda
Kebijakan DMARC dari sebuah domain diumumkan dengan mempublikasikan catatan DNS TXT pada lokasi tertentu di namespace DNS, yaitu “_dmarc.domainname.tld” (perhatikan garis bawah di depan). Catatan kebijakan DMARC dasar untuk domain contoh kita sebelumnya, joesbaitshop.com, mungkin akan terlihat seperti ini:
Memecah catatan ini, kita memiliki:
v=DMARC1 menentukan versi DMARC (1 adalah satu-satunya pilihan saat ini)
p=none menentukan perlakuan yang diinginkan, atau kebijakan DMARC
rua=mailto:agg_reports@joesbait.com adalah kotak surat ke mana laporan agregat harus dikirim
ruf=mailto:afrf_reports@joesbait.com adalah kotak surat ke mana laporan forensik harus dikirim
pct=100 adalah persentase email yang ingin diterapkan kebijakan oleh pemilik domain. Domain yang baru memulai dengan DMARC, terutama jika cenderung menghasilkan volume laporan yang tinggi, mungkin ingin memulai dengan angka yang jauh lebih rendah di sini untuk melihat bagaimana proses penanganan laporan mereka menghadapi beban tersebut.
Ada opsi konfigurasi lain yang tersedia untuk pemilik domain untuk digunakan dalam catatan kebijakan DMARC-nya juga, tetapi tips yang kami berikan seharusnya menjadi awal yang baik.
Ringkasan
Ada banyak yang harus dibongkar dalam informasi di atas! Kami harap Anda menemukan panduan cara membuat catatan kebijakan DMARC bermanfaat. Kami juga berharap penjelasan kami tentang mengapa DMARC penting membantu menjelaskan mengapa Anda harus mulai menggunakan alat penting ini untuk melindungi reputasi email Anda.
Tentu saja, ini bukanlah dokumen yang lengkap atau otoritatif tentang subjek ini. Jika Anda ingin mendalami lebih dalam atau membutuhkan lebih banyak bantuan, tempat yang bagus untuk memulai adalah FAQ resmi DMARC. Dan, tak perlu dikatakan lagi bahwa tim dukungan Bird siap membantu Anda mengonfigurasi akun Bird Anda untuk DMARC juga.
Terima kasih telah membaca—dan mulai lindungi domain Anda dengan DMARC hari ini!
