Alat yang Efektif untuk Melawan Surat Palsu

Sering disebut bersamaan dengan protokol autentikasi email SPF dan DKIM, DMARC, atau Domain-based Message Authentication, Reporting, and Conformance, bukanlah protokol autentikasi itu sendiri. Sebaliknya, tujuan DMARC adalah untuk memungkinkan kita, pemilik domain, untuk melindungi reputasi email kita dengan:

• Mengumumkan praktik autentikasi email,

• Meminta perlakuan terhadap email yang gagal memeriksa autentikasi, dan

• Meminta laporan tentang email yang mengaku berasal dari domainnya.

DMARC bisa menjadi alat yang efektif bagi kita untuk digunakan dalam memerangi surat palsu yang menargetkan nama domain kita (misalnya, phishing dan spoofing), dan yang dapat meningkatkan kepercayaan lebih tinggi di antara penerima kita terhadap email kita. Kepercayaan yang lebih tinggi ini seharusnya, pada gilirannya, mengarah pada keterlibatan yang lebih tinggi dengan email kita, dan email yang dibuka dan menghasilkan klik mendorong penjualan serta ROI yang lebih tinggi untuk kampanye email kita.

Selain melindungi domain kita, kami memprediksi bahwa penerapan DMARC sekarang akan menjadi cara yang sangat baik untuk “memastikan masa depan” domain kita. Di sini di Bird, kami percaya bahwa saat industri beralih ke IPv6, hampir pasti akan beralih dari model reputasi berbasis IP ke model reputasi berbasis domain. Reputasi berbasis domain akan memerlukan autentikasi berbasis domain, dan DMARC, bersamaan dengan DKIM dan SPF, akan membantu domain mendirikan reputasi berbasis domain jauh sebelum itu mungkin benar-benar diperlukan.

Dalam posting ini, kami akan memberi tahu Anda semua yang perlu Anda ketahui tentang memanfaatkan DMARC untuk melindungi reputasi email Anda dan memberi Anda petunjuk tentang cara mengatur untuk domain Anda.

Istilah yang Perlu Diketahui

Sebelum kita mulai mengatur DMARC untuk domain Anda, kami ingin memastikan bahwa kita berbicara dalam bahasa yang sama. Mari kita mulai dengan mendefinisikan beberapa istilah yang akan kita gunakan sepanjang dokumen ini.

RFC5322.From Domain

RFC5322.FromDomain adalah bagian domain dari alamat email yang biasanya dilihat oleh penerima email kita saat dibaca. Dalam contoh berikut, domain RFC5322.From adalah “joesbaitshop.com”

Dari: Joe’s Bait and Tackle <sales@joesbaitshop.com>

DKIM d= Domain

DKIM adalah protokol autentikasi yang memungkinkan sebuah domain untuk bertanggung jawab atas sebuah pesan dengan cara yang dapat divalidasi oleh penerima pesan; ini dilakukan melalui penggunaan tanda tangan kriptografi yang dimasukkan ke dalam header pesan saat meninggalkan titik asalnya. Tanda tangan ini secara efektif adalah snapshot dari bagaimana pesan terlihat pada saat itu, dan penerima dapat menggunakan snapshot ini untuk melihat apakah pesan telah tiba tanpa perubahan di tujuannya. Proses memproduksi dan memasukkan snapshot ini disebut penandatanganan DKIM, dan domain yang mengambil tanggung jawab atas pesan dengan menandatanganinya menyisipkan namanya ke dalam header dalam tag kunci-nilai sebagai “d=signingDomain”, dan oleh karena itu disebut sebagai domain DKIM d=.

Return-Path Domain

Domain Return-Path, kadang-kadang disebut sebagai RFC5321. From Domain atau domain Mail From, adalah domain ke mana pantulan diarahkan; itu juga domain di mana pemeriksaan SPF dilakukan selama transaksi email. Domain ini biasanya tidak terlihat oleh penerima kecuali penerima cukup pintar untuk melihat semua header dalam sebuah pesan tertentu.

Secara default, semua email yang dikirim melalui bird.com akan memiliki birdmail.com sebagai domain Return-Path-nya, seperti dalam contoh berikut:

Return-Path: <msprvs1=16880EmYZo7L3=bounces-2785@birdmail1.com>

Namun, untuk membuat DMARC bekerja untuk domain Anda, Anda akan ingin memanfaatkan domain pantulan khusus, yang akan berakhir dengan domain yang sama dengan domain pengiriman Anda, misalnya, bounces.yourdomain.com saat menggunakan yourdomain.com sebagai domain pengiriman Anda.

Organizational Domain

Istilah “Organizational Domain” mengacu pada domain yang diajukan ke registrar untuk menciptakan keberadaan domain di internet. Untuk Bird, domain organisasi kami adalah bird.com dan birdmail.com.

Domain Alignment

Istilah terakhir yang perlu dipahami mengenai DMARC adalah “Domain Alignment,” dan ini memiliki dua varian: “relaxed” dan “strict.”

Relaxed Domain Alignment

Dua domain dikatakan memiliki penyelarasan domain yang santai ketika Domain Organisasinya sama. Misalnya, a.mail.bird.com dan b.foo.bird.com memiliki penyelarasan domain relax karena domain organisasi mereka yang sama, bird.com.

Strict Domain Alignment

Dua domain dikatakan dalam penyelarasan domain yang ketat jika dan hanya jika mereka identik. Jadi, foo.bird.com dan foo.bird.com ada dalam penyelarasan yang ketat, karena kedua domain identik. Di sisi lain, foo.bird.com dan bar.foo.bird.com hanya berada dalam penyelarasan yang santai.

DMARC Domain Alignment Requirements

Agar pemeriksaan validasi DMARC lulus, DMARC mengharuskan adanya penyelarasan domain sebagai berikut:

• Untuk SPF, domain RFC5322.From dan domain Return-Path harus dalam penyelarasan

• Untuk DKIM, domain RFC5322.From dan domain DKIM d= harus dalam penyelarasan

Penyelarasan dapat bersifat santai atau ketat, tergantung pada kebijakan yang dipublikasikan dari domain pengirim.

Bagaimana DMARC Bekerja untuk Melindungi Reputasi Email Anda

Ketika kita berbicara tentang penyedia kotak surat atau domain lain “memeriksa DMARC”, atau “memvalidasi DMARC”, atau “menerapkan kebijakan DMARC”, yang kami maksud adalah bahwa domain yang menerima pesan melakukan langkah-langkah berikut:

1. Mencari domain RFC5322.From pesan

2. Mencari kebijakan DMARC domain itu di DNS

3. Membuat validasi Tanda Tangan DKIM

4. Membuat Validasi SPF

5. Memeriksa penyelarasan domain

6. Menerapkan kebijakan DMARC

Agar suatu pesan dapat lulus validasi DMARC, pesan tersebut harus lulus hanya satu dari dua pemeriksaan autentikasi dan penyelarasan. Jadi, sebuah pesan akan lulus validasi DMARC jika salah satu dari yang berikut adalah benar:

• Pesan lulus pemeriksaan SPF dan domain RFC5322.From serta domain Return-Path berada dalam penyelarasan, atau

• Pesan lulus validasi DKIM dan domain RFC5322.From serta domain DKIM d= berada dalam penyelarasan, atau

• Keduanya benar

  
  

Memastikan DMARC Bekerja untuk Domain Anda

Sekarang kita telah menjelaskan mekanisme DMARC, mari kita bicarakan tentang cara membuat DMARC berfungsi untuk kita, yang melibatkan tiga langkah berikut:

1. Melakukan persiapan untuk menerima laporan DMARC

2. Memutuskan kebijakan DMARC apa yang akan digunakan untuk domain Anda

3. Mempublikasikan catatan DMARC Anda

Kami akan membahas masing-masing ini secara mendetail di bawah, tetapi kami akan memberi tahu Anda secara langsung bahwa langkah 1 di atas akan menghabiskan sekitar 95% dari waktu persiapan Anda.

Persiapan untuk Menerima Laporan DMARC

Setiap domain yang menerbitkan kebijakan DMARC harus terlebih dahulu bersiap untuk menerima laporan mengenai domainnya. Laporan ini akan dihasilkan oleh domain mana pun yang melakukan validasi DMARC dan melihat email yang mengaku berasal dari domain kita, dan akan dikirim kepada kita setidaknya dengan frekuensi harian. Laporan ini akan hadir dalam dua format:

• Laporan agregat, yang merupakan dokumen XML yang menunjukkan data statistik tentang seberapa banyak email yang dilihat oleh pelapor dari masing-masing sumber, bagaimana hasil autentikasi, dan bagaimana pesan tersebut diperlakukan oleh pelapor. Laporan agregat dirancang untuk diparsing mesin, dengan data mereka disimpan di suatu tempat untuk memungkinkan untuk analisis lalu lintas secara keseluruhan, audit aliran pesan domain kita, dan mungkin identifikasi tren dalam sumber email yang tidak terautentikasi dan mungkin menipu.

• Laporan forensik, yang merupakan salinan individu dari pesan-pesan yang gagal autentikasi, masing-masing disertakan dalam pesan email penuh menggunakan format yang disebut AFRF. Laporan forensik seharusnya berisi header penuh dan tubuh pesan, tetapi banyak pelapor menghapus atau menyunting beberapa informasi karena masalah privasi. Meskipun demikian, laporan forensik masih dapat berguna baik untuk memecahkan masalah autentikasi domain kita sendiri dan untuk mengidentifikasi, dari URI dalam tubuh pesan, domain dan situs web jahat yang digunakan untuk menipu pelanggan pemilik domain kita.

Persiapan untuk menerima laporan ini melibatkan pertama-tama membuat dua kotak surat di domain kita untuk menangani laporan tersebut, seperti agg_reports@ourdomain.com dan afrf_reports@ourdomain.com. Perhatikan bahwa nama kotak surat tersebut sepenuhnya sewenang-wenang, dan tidak ada persyaratan untuk penamaan bagian lokal dari kotak surat; kita bebas memilih nama apa pun yang kita inginkan, tetapi tetap memisahkan keduanya untuk memudahkan proses.

Setelah nama-nama kotak surat dipilih dan dibuat di domain kita, hal selanjutnya yang harus dilakukan di sini adalah menempatkan alat untuk membaca kotak surat ini dan memanfaatkan data tersebut, terutama laporan data agregat, yang sekali lagi dirancang untuk diparsing mesin, bukan dibaca oleh manusia. Laporan forensik, di sisi lain, mungkin dapat dikelola hanya dengan membacanya sendiri, tetapi kemampuan kita untuk melakukannya akan tergantung pada pemahaman klien email kita tentang bagaimana menampilkan pesan dalam format AFRF dan pada volume laporan yang kita terima.

Sementara kita mungkin dapat menulis alat kita sendiri untuk memproses laporan DMARC, hingga waktu Bird menyediakan layanan semacam itu untuk pelanggan bird.com (sesuatu yang sedang kami pertimbangkan, tetapi belum menjanjikan), kami merekomendasikan untuk memanfaatkan alat yang sudah tersedia untuk tugas ini.

Kebijakan DMARC Apa yang Akan Digunakan

Spesifikasi DMARC memberikan tiga pilihan bagi pemilik domain untuk menyebutkan perlakuan yang mereka inginkan terhadap email yang gagal pemeriksaan validasi DMARC. Ketiga pilihan tersebut adalah:

• tidak ada, yang berarti perlakukan email seperti yang akan diperlakukan tanpa pemeriksaan validasi DMARC

• karantina, yang berarti terima email tetapi tempatkan di tempat selain Kotak Masuk penerima (biasanya folder spam)

• tolak, yang berarti tolak pesan secara langsung

Penting untuk diingat bahwa pemilik domain hanya dapat meminta perlakuan seperti itu dalam catatan DMARC-nya; keputusan untuk menghormati kebijakan yang diminta terserah penerima pesan. Beberapa akan melakukannya, sementara yang lain mungkin sedikit lebih lunak dalam menerapkan kebijakan, seperti hanya memasukkan email ke folder spam saat kebijakan domain adalah tolak.

Kami merekomendasikan kepada semua pelanggan kami untuk memulai dengan kebijakan tidak ada, untuk menjaga keamanan. Meskipun kami yakin akan kemampuan kami untuk mengautentikasi email Anda dengan benar melalui penandatanganan DKIM, tetap saja lebih baik meluangkan waktu untuk memeriksa laporan tentang domain Anda sebelum bersikap lebih agresif dengan kebijakan DMARC Anda.

Mempublikasikan Kebijakan DMARC Anda

Kebijakan DMARC suatu domain diumumkan dengan menerbitkan catatan TXT DNS pada tempat tertentu dalam ruang nama DNS, yaitu “_dmarc.domainname.tld” (catat garis bawah yang mengawali). Catatan kebijakan DMARC dasar untuk contoh domain kita sebelumnya, joesbaitshop.com, mungkin terlihat seperti ini:

_dmarc.joesbaitshop.com. IN TXT "v=DMARC1\; p=none\; rua=mailto:agg_reports@joesbait.com\; ruf=mailto:afrf_reports@joesbait.com\; pct=100"

Memecah catatan ini, kita memiliki:

• v=DMARC1 menentukan versi DMARC (1 adalah satu-satunya pilihan saat ini)

• p=none menentukan perlakuan yang diinginkan, atau kebijakan DMARC

• rua=mailto:agg_reports@joesbait.com adalah kotak surat di mana laporan agregat harus dikirim

• ruf=mailto:afrf_reports@joesbait.com adalah kotak surat di mana laporan forensik harus dikirim

• pct=100 adalah persentase email yang ingin diterapkan kebijakan pemilik domain. Domain yang baru memulai DMARC, terutama yang cenderung menghasilkan volume laporan yang tinggi, mungkin ingin memulai dengan angka yang jauh lebih rendah di sini untuk melihat bagaimana proses penanganan laporan mereka mampu menangani beban.

  
  

Ada opsi konfigurasi lain yang tersedia bagi pemilik domain untuk digunakan dalam catatan kebijakan DMARC-nya juga, tetapi tip yang telah kami berikan seharusnya menjadi langkah awal yang baik.

Ringkasan

Banyak informasi yang perlu dikupas di atas! Kami harap panduan tentang cara membuat catatan kebijakan DMARC bermanfaat. Kami juga berharap penjelasan kami tentang mengapa DMARC itu penting membantu menjelaskan mengapa Anda harus mulai menggunakan alat penting ini untuk melindungi reputasi email Anda.

Tentu saja, ini bukan dokumen yang lengkap atau otoritatif tentang subjek tersebut. Jika Anda ingin menyelami lebih dalam atau membutuhkan lebih banyak bantuan, tempat yang baik untuk memulai adalah FAQ resmi DMARC. Dan, tentu saja, tim dukungan Bird siap membantu Anda mengkonfigurasi akun Bird Anda untuk DMARC juga.

Terima kasih telah membaca—dan mulai lindungi domain Anda dengan DMARC hari ini!