Dalam postingan ini, kami akan memberi tahu Anda semua yang perlu Anda ketahui tentang memanfaatkan DMARC untuk melindungi reputasi email Anda, dan memberikan petunjuk tentang cara mengatur ini untuk domain Anda.
Business in a box.
Temukan solusi kami.
Bicaralah kepada tim penjualan kami
Sebuah Alat Efektif untuk Melawan Surat Penipuan
Sering disebutkan bersamaan dengan protokol autentikasi email SPF dan DKIM, DMARC, atau Domain-based Message Authentication, Reporting, and Conformance, bukanlah protokol autentikasi itu sendiri. Sebaliknya, tujuan DMARC adalah untuk memungkinkan kita, pemilik domain, melindungi reputasi email kita dengan:
Mengumumkan praktik autentikasi email,
Meminta perlakuan untuk email yang gagal dalam pemeriksaan autentikasi, dan
Mengumpulkan laporan tentang email yang mengaku berasal dari domain kita.
DMARC dapat menjadi alat yang efektif bagi kita untuk digunakan dalam memerangi email palsu yang menargetkan nama domain kita (misalnya, phishing dan spoofing), dan yang dapat meningkatkan kepercayaan yang lebih tinggi di antara penerima kita untuk email kita. Kepercayaan yang lebih tinggi ini seharusnya, pada gilirannya, mengarah pada keterlibatan yang lebih tinggi dengan email kita, dan email yang dibuka dan menghasilkan klik mendorong penjualan dan ROI yang lebih tinggi untuk kampanye email kita.
Selain melindungi domain kita, kami memprediksi bahwa menerapkan DMARC sekarang akan menjadi cara yang luar biasa untuk "melindungi masa depan" domain kita. Di sini di Bird, kami percaya bahwa saat industri beralih ke IPv6, hampir pasti akan beralih dari model reputasi berbasis IP ke model reputasi berbasis domain. Reputasi berbasis domain akan memerlukan autentikasi berbasis domain, dan DMARC, bersama dengan DKIM dan SPF, akan membantu domain membangun reputasi berbasis domain jauh sebelum mungkin benar-benar diperlukan.
Dalam tulisan ini, kami akan memberi tahu Anda semua yang perlu Anda ketahui tentang memanfaatkan DMARC untuk melindungi reputasi email Anda dan memberi Anda petunjuk tentang cara menyiapkannya untuk domain Anda.
Terms to Know
Cara DMARC Bekerja untuk Melindungi Reputasi Email Anda
Ketika kita berbicara tentang penyedia kotak surat atau domain lain “memeriksa DMARC”, atau “memvalidasi DMARC”, atau “menerapkan kebijakan DMARC”, yang kita maksud adalah bahwa domain yang menerima pesan melakukan langkah-langkah berikut:
Menentukan domain RFC5322.From pesan
Mencari kebijakan DMARC domain tersebut di DNS
Melakukan validasi Tanda Tangan DKIM
Melakukan Validasi SPF
Memeriksa keselarasan domain
Menerapkan kebijakan DMARC
Agar sebuah pesan lulus validasi DMARC, pesan tersebut harus melewati hanya satu dari dua pengecekan otentikasi dan keselarasan. Jadi, sebuah pesan akan lulus validasi DMARC jika salah satu dari berikut ini benar:
Pesan lulus pengecekan SPF dan domain RFC5322.From dan domain Return-Path selaras, atau
Pesan lulus validasi DKIM dan domain RFC5322.From dan domain DKIM d= selaras, atau
Kedua di atas benar
Membuat DMARC Bekerja untuk Domain Anda
Sekarang setelah kami menjelaskan mekanisme DMARC, mari kita bahas tentang cara membuat DMARC bekerja untuk kita, yang melibatkan tiga langkah berikut:
Membuat persiapan untuk menerima laporan DMARC
Memutuskan kebijakan DMARC apa yang akan digunakan untuk domain Anda
Menerbitkan catatan DMARC Anda
Kami akan membahas masing-masing detail di bawah ini, tetapi kami akan memberi tahu Anda langsung bahwa langkah 1 di atas akan menghabiskan sekitar 95% dari waktu persiapan Anda.
Menyiapkan untuk Menerima Laporan DMARC
Setiap domain yang menerbitkan kebijakan DMARC harus terlebih dahulu mempersiapkan diri untuk menerima laporan mengenai domainnya. Laporan ini akan dihasilkan oleh setiap domain yang melakukan validasi DMARC dan melihat email yang mengklaim berasal dari domain kami, dan akan dikirimkan kepada kami setidaknya setiap hari. Laporan tersebut akan berbentuk dua jenis:
Laporan agregat, yaitu dokumen XML yang menunjukkan data statistik tentang seberapa banyak email yang dilihat oleh pelapor dari setiap sumber, apa hasil autentikasinya, dan bagaimana pesan tersebut diperlakukan oleh pelapor. Laporan agregat dirancang untuk diparsing oleh mesin, dengan data mereka disimpan di suatu tempat untuk memungkinkan analisis lalu lintas keseluruhan, audit aliran pesan domain kami, dan mungkin identifikasi tren dalam sumber email yang tidak terautentikasi dan berpotensi penipuan.
Laporan forensik, yaitu salinan individual dari pesan yang gagal autentikasi, masing-masing dilampirkan dalam pesan email lengkap menggunakan format yang disebut AFRF. Laporan forensik seharusnya berisi header penuh dan isi pesan, tetapi banyak pelapor menghapus atau menyamarkan beberapa informasi karena masalah privasi. Namun demikian, laporan forensik masih bisa berguna baik untuk pemecahan masalah autentikasi domain kami sendiri maupun untuk mengidentifikasi, dari URI dalam isi pesan, domain berbahaya dan situs web yang digunakan untuk menipu pelanggan pemilik domain kami.
Persiapan untuk menerima laporan ini melibatkan pertama-tama membuat dua kotak surat dalam domain kami untuk menangani laporan ini, seperti agg_reports@ourdomain.com dan afrf_reports@ourdomain.com. Perhatikan bahwa nama-nama kotak surat tersebut sepenuhnya arbitrer, dan tidak ada persyaratan untuk penamaan bagian lokal dari kotak surat; kami bebas memilih nama apa pun yang kami inginkan, tetapi pisahkan keduanya untuk memudahkan pemrosesan.
Setelah nama kotak surat dipilih dan dibuat dalam domain kami, langkah berikutnya adalah menyiapkan alat untuk membaca kotak surat ini dan memanfaatkan data tersebut, terutama laporan data agregat, yang sekali lagi dirancang untuk diparsing oleh mesin, bukan dibaca oleh manusia. Laporan forensik, di sisi lain, mungkin dapat dikelola hanya dengan membacanya sendiri, tetapi kemampuan kami untuk melakukannya akan tergantung pada pemahaman klien email kami tentang cara menampilkan pesan dalam format AFRF dan volume laporan yang kami terima.
Meskipun kami dapat menulis alat kami sendiri untuk memproses laporan DMARC, hingga saat Bird menyediakan layanan seperti itu untuk pelanggan bird.com (sesuatu yang sedang kami pertimbangkan, tetapi belum menjanjikan), kami merekomendasikan agar kami memanfaatkan alat yang sudah tersedia untuk tugas tersebut.
Kebijakan DMARC Mana yang Digunakan
Spesifikasi DMARC menyediakan tiga pilihan bagi pemilik domain untuk menggunakan untuk menentukan perlakuan yang mereka sukai terhadap email yang gagal dalam pemeriksaan validasi DMARC. Mereka adalah:
none, yang berarti perlakukan email sama seperti yang akan diperlakukan terlepas dari pemeriksaan validasi DMARC
quarantine, yang berarti menerima email tetapi menempatkannya di tempat lain selain Inbox penerima (biasanya folder spam)
reject, yang berarti menolak pesan secara langsung
Adalah penting untuk diingat bahwa pemilik domain hanya dapat meminta perlakuan seperti itu dalam rekaman DMARC mereka; keputusan ada pada penerima pesan apakah akan menghormati kebijakan yang diminta. Beberapa akan melakukannya, sementara yang lain mungkin sedikit lebih longgar dalam menerapkan kebijakan, seperti hanya menempatkan email di folder spam ketika kebijakan domain adalah reject.
Kami merekomendasikan kepada semua pelanggan kami untuk memulai dengan kebijakan none, hanya untuk aman. Meskipun kami yakin dengan kemampuan kami untuk mengotentikasi email Anda dengan baik melalui penandatanganan DKIM, masih yang terbaik untuk meluangkan waktu untuk memeriksa laporan tentang domain Anda sebelum menjadi lebih agresif dengan kebijakan DMARC Anda.
Mempublikasikan Kebijakan DMARC Anda
Kebijakan DMARC sebuah domain diumumkan dengan mempublikasikan catatan DNS TXT di tempat tertentu dalam namespace DNS, yaitu "_dmarc.domainname.tld" (perhatikan garis bawah di depan). Catatan kebijakan DMARC dasar untuk domain contoh kita sebelumnya, joesbaitshop.com, mungkin akan terlihat seperti ini:
_dmarc.joesbaitship.com. IN TXT "v=DMARC1\; p=none\; rua=mailto:agg_reports@joesbait.com\; ruf=mailto:afrf_reports@joesbait.com\; pct=100"
Memecah catatan ini, kita memiliki:
v=DMARC1 menentukan versi DMARC (1 adalah satu-satunya pilihan saat ini)
p=none menentukan perlakuan yang diinginkan, atau kebijakan DMARC
rua=mailto:agg_reports@joesbait.com adalah kotak surat ke mana laporan agregat harus dikirim
ruf=mailto:afrf_reports@joesbait.com adalah kotak surat ke mana laporan forensik harus dikirim
pct=100 adalah persentase email yang kebijakan ingin diterapkan oleh pemilik domain. Domain yang baru memulai dengan DMARC, terutama yang kemungkinan menghasilkan volume laporan tinggi, mungkin ingin memulai dengan angka yang jauh lebih rendah di sini untuk melihat bagaimana proses penanganan laporan mereka menghadapi beban.
Ada opsi konfigurasi lain yang tersedia bagi pemilik domain untuk digunakan dalam catatan kebijakan DMARC juga, tetapi tips yang kami berikan seharusnya menjadi awal yang baik.
Ringkasan
Ada banyak informasi untuk dipahami di atas! Kami berharap Anda menemukan panduan cara untuk membuat catatan kebijakan DMARC yang berguna. Kami juga berharap penjelasan kami tentang mengapa DMARC penting membantu menjelaskan mengapa Anda harus mulai menggunakan alat penting ini untuk melindungi reputasi email Anda.
Tentu saja, ini bukan dokumen lengkap atau otoritatif tentang subjek ini. Jika Anda ingin menyelami lebih dalam atau memerlukan lebih banyak bantuan, tempat yang bagus untuk memulai adalah FAQ resmi DMARC. Dan, tak perlu dikatakan lagi bahwa tim dukungan Bird siap membantu Anda mengkonfigurasi akun Bird Anda untuk DMARC juga.
Terima kasih telah membaca—dan mulailah melindungi domain Anda dengan DMARC hari ini!
