DMARC: Cara Melindungi Reputasi Email Anda
·
13 Apr 2016
Poin Penting
DMARC membantu melindungi domain Anda dari phishing, spoofing, dan penggunaan email yang tidak sah dengan menerbitkan praktik otentikasi Anda dan meminta penanganan khusus untuk pesan yang gagal.
Ini bekerja bersama dengan SPF dan DKIM untuk memastikan keselarasan domain dan mencegah email yang menipu merusak reputasi pengirim Anda.
Kebijakan DMARC yang kuat mendukung kepercayaan yang lebih tinggi, keterlibatan yang lebih tinggi, dan melindungi domain Anda di masa depan saat ekosistem beralih ke model reputasi berbasis domain.
Pemeriksaan validasi DMARC bergantung pada keselarasan domain antara domain From, domain Return-Path (SPF), dan domain penandatanganan DKIM.
Menyiapkan DMARC memerlukan penerimaan laporan, memahami data agregat vs. forensik, dan mengonfigurasi alat untuk menguraikannya.
Anda mulai dengan kebijakan aman p=none untuk memantau lalu lintas sebelum beralih ke karantina atau tolak.
Menerbitkan catatan DMARC melibatkan pembuatan entri TXT DNS di _dmarc.yourdomain.com dengan kebijakan, alamat pelaporan, dan parameter opsional seperti persentase rollout.
Kotak surat pelaporan yang tepat (agregat + forensik) dan alat penguraian sangat penting untuk memantau kepatuhan, mendeteksi spoofing, dan memastikan keselarasan sudah benar.
DMARC hanya membutuhkan satu dari yang berikut agar dapat lulus: SPF yang selaras atau DKIM yang selaras.
Menerapkan DMARC memperkuat keamanan email dan berperan penting dalam integritas merek, kepercayaan, dan pengiriman jangka panjang.
Sorotan Tanya jawab
Apa itu DMARC dan mengapa itu penting?
DMARC (Domain-based Message Authentication, Reporting, and Conformance) adalah kebijakan yang dipublikasikan melalui DNS yang melindungi domain Anda dari penipuan dan phishing dengan menerapkan keselarasan domain dan memungkinkan visibilitas melalui pelaporan.
Apakah DMARC merupakan protokol otentikasi?
No. DMARC bukan autentikasi itu sendiri—ini bergantung pada SPF dan DKIM untuk mengautentikasi surat dan menggunakan kebijakan + pelaporan untuk mengontrol bagaimana server penerima menangani kegagalan.
Apa yang diperiksa oleh DMARC?
Ini memverifikasi:
Autentikasi SPF + penyelarasan
Autentikasi DKIM + penyelarasan
Seorang pengirim hanya perlu salah satu dari ini agar DMARC berhasil.
Apa itu "penyelarasan domain"?
Ini adalah persyaratan bahwa domain From yang terlihat cocok (tegas) atau berbagi domain organisasi yang sama (relaksasi) dengan salah satu domain SPF Return-Path atau domain penandatanganan DKIM.
Mengapa DMARC meningkatkan keterkiriman?
Karena penyedia kotak surat lebih mempercayai domain yang terautentikasi dan ter-align. DMARC mencegah pesan yang dipalsukan merusak reputasi Anda dan meningkatkan penempatan di kotak masuk untuk email yang sah.
Apa perbedaan antara laporan DMARC agregat dan forensik?
Laporan agregat (RUA): Ringkasan XML dari hasil autentikasi di seluruh lalu lintas.
Laporan forensik (RUF): Sampel individu dari pesan yang gagal untuk analisis lebih mendalam.
Kotak surat apa yang saya butuhkan sebelum menerbitkan DMARC?
Anda harus membuat dua alamat, seperti:
agg_reports@yourdomain.com (RUA)
afrf_reports@yourdomain.com (RUF)
Ini menjaga aliran laporan terpisah dan lebih mudah untuk diparsing.
Kebijakan DMARC apa yang seharusnya saya mulai?
Selalu mulai dengan p=none. Ini memantau aktivitas otentikasi tanpa memengaruhi pengiriman, memungkinkan Anda untuk mengidentifikasi masalah keselarasan dan upaya penipuan dengan aman.
Apa kebijakan DMARC yang tersedia?
tidak ada: hanya memantau
karantina: kirim pesan yang gagal ke spam
tolak: blokir pesan yang gagal sepenuhnya
Di mana saya menerbitkan catatan DMARC?
Di DNS Anda di:
Ini harus menjadi catatan TXT yang menentukan kebijakan, versi, dan titik akhir pelaporan Anda.
Seperti apa bentuk dasar catatan DMARC?
Contoh:
Apa yang terjadi jika DMARC gagal?
Server penerima menerapkan kebijakan yang Anda minta (tidak ada, karantina, tolak), meskipun penanganan akhir tetap menjadi tanggung jawab penyedia. Kebijakan yang ketat dapat secara signifikan mengurangi upaya phishing yang menggunakan domain Anda.
Dalam pos ini, kami akan memberi tahu Anda semua yang perlu Anda ketahui tentang memanfaatkan DMARC untuk melindungi reputasi email Anda, dan memberi Anda petunjuk tentang cara mengaturnya untuk domain Anda.
Alat Efektif untuk Melawan Surat Palsu
Sering disebut dalam napas yang sama dengan protokol autentikasi email SPF dan DKIM, DMARC, atau Domain-based Message Authentication, Reporting, and Conformance, tidaklah menjadi protokol autentikasi itu sendiri. Sebaliknya, tujuan DMARC adalah untuk memungkinkan kami, pemilik domain, melindungi reputasi email kami dengan:
Mengumumkan praktik autentikasi email,
Meminta perlakuan untuk email yang gagal pemeriksaan autentikasi, dan
Meminta laporan tentang email yang mengklaim berasal dari domainnya.
DMARC bisa menjadi alat yang efektif bagi kami dalam melawan email penipuan yang menargetkan nama domain kami (misalnya, phishing dan spoofing), dan dapat meningkatkan kepercayaan yang lebih tinggi di antara penerima kami terhadap email kami. Untuk organisasi yang memerlukan enkripsi end-to-end di luar autentikasi, menerapkan S/MIME dengan metode pengumpulan kunci publik penerima yang efisien memberikan lapisan keamanan tambahan. Kepercayaan yang lebih tinggi ini pada gilirannya, seharusnya menghasilkan keterlibatan yang lebih tinggi dengan email kami, dan email yang dibuka serta menghasilkan klik akan meningkatkan penjualan dan ROI yang lebih tinggi untuk kampanye email kami.
Selain melindungi domain kami, kami memprediksi bahwa menerapkan DMARC sekarang akan menjadi cara yang sangat baik untuk “melindungi masa depan” domain kami. Di sini di Bird, kami percaya bahwa seiring industri beralih ke IPv6, hampir pasti akan bergeser dari model reputasi berbasis IP ke model reputasi berbasis domain. Reputasi berbasis domain akan memerlukan autentikasi berbasis domain, dan DMARC, bekerja sama dengan DKIM dan SPF, akan membantu domain membangun reputasi berbasis domain jauh sebelum itu mungkin benar-benar diperlukan.
Dalam posting ini, kami akan memberi tahu Anda semua yang perlu Anda ketahui tentang memanfaatkan DMARC untuk melindungi reputasi email Anda dan memberikan Anda petunjuk tentang cara mengaturnya untuk domain Anda.
Istilah yang Perlu Diketahui
Bagaimana DMARC Bekerja untuk Melindungi Reputasi Email Anda
Membuat DMARC Bekerja untuk Domain Anda
Sekarang setelah kita menjelaskan mekanika DMARC, mari kita bicarakan tentang bagaimana membuat DMARC bekerja untuk kita, yang melibatkan tiga langkah berikut:
Mempersiapkan untuk menerima laporan DMARC
Memutuskan kebijakan DMARC yang akan digunakan untuk domain Anda
menerbitkan catatan DMARC Anda
Kami akan membahas masing-masing ini secara rinci di bawah, tetapi kami akan memberi tahu Anda langsung bahwa langkah 1 di atas akan menghabiskan sekitar 95% dari waktu persiapan Anda.
Mempersiapkan untuk Menerima Laporan DMARC
Setiap domain yang menerbitkan kebijakan DMARC harus terlebih dahulu mempersiapkan diri untuk menerima laporan mengenai domainnya. Laporan ini akan dihasilkan oleh domain mana pun yang melakukan validasi DMARC dan melihat email yang mengaku berasal dari domain kami, dan akan dikirim kepada kami setidaknya secara harian. Laporan akan datang dalam dua format:
Laporan agregat, yang merupakan dokumen XML yang menunjukkan data statistik tentang seberapa banyak email yang dilihat oleh pelapor dari setiap sumber, apa hasil autentikasi yang diperoleh, dan bagaimana pesan tersebut diperlakukan oleh pelapor. Laporan agregat dirancang untuk diparse oleh mesin, dengan data mereka disimpan di suatu tempat untuk memungkinkan analisis lalu lintas secara keseluruhan, audit aliran pesan di domain kami, dan mungkin juga untuk mengidentifikasi tren dalam sumber-sumber email yang tidak terautentikasi dan mungkin bersifat penipuan.
Laporan forensik, yang merupakan salinan individu dari pesan yang gagal autentikasi, masing-masing dibungkus dalam satu pesan email lengkap yang menggunakan format yang disebut AFRF. Laporan forensik seharusnya mengandung header lengkap dan badan pesan, tetapi banyak pelapor yang menghapus atau menyunting beberapa informasi karena kekhawatiran privasi. Meskipun demikian, laporan forensik masih bisa berguna baik untuk memecahkan masalah autentikasi domain kami sendiri maupun untuk mengidentifikasi, dari URI dalam badan pesan, domain dan situs web jahat yang digunakan untuk menipu pelanggan pemilik domain kami.
Persiapan untuk menerima laporan-laporan ini melibatkan pertama-tama membuat dua kotak surat di domain kami untuk menangani laporan ini, seperti agg_reports@ourdomain.com dan afrf_reports@ourdomain.com. Perlu dicatat bahwa nama-nama kotak surat tersebut sepenuhnya sewenang-wenang, dan tidak ada persyaratan untuk penamaan bagian lokal dari kotak surat; kami bebas memilih nama-nama apa pun yang kami inginkan, tetapi tetaplah memisahkan keduanya untuk memudahkan pemrosesan.
Setelah nama kotak surat dipilih dan dibuat di domain kami, hal selanjutnya yang perlu dilakukan di sini adalah menempatkan alat untuk membaca kotak surat ini dan memanfaatkan data tersebut, terutama laporan data agregat, yang sekali lagi dirancang untuk diparse oleh mesin, bukan dibaca oleh manusia. Laporan forensik, di sisi lain, mungkin dapat dikelola hanya dengan membacanya sendiri, tetapi kemampuan kami untuk melakukannya akan bergantung baik pada pemahaman klien email kami tentang cara menampilkan pesan dalam format AFRF dan pada volume laporan yang kami terima.
Sementara itu mungkin bagi kami untuk menulis alat kami sendiri untuk memproses laporan DMARC, sampai saat Bird menyediakan layanan semacam itu untuk pelanggan bird.com (sesuatu yang sedang kami pertimbangkan, tetapi belum bisa dijanjikan), kami merekomendasikan agar kami memanfaatkan alat yang sudah tersedia untuk tugas tersebut.
Kebijakan DMARC Mana yang Harus Digunakan
Spesifikasi DMARC menyediakan tiga pilihan bagi pemilik domain untuk menentukan perlakuan yang mereka pilih terhadap email yang gagal pemeriksaan validasi DMARC. Mereka adalah:
tidak ada, yang berarti perlakukan email sama seperti yang akan diperlakukan terlepas dari pemeriksaan validasi DMARC
karantina, yang berarti terima email tetapi tempatkan di tempat lain selain Kotak Masuk penerima (biasanya di folder spam)
tolak, yang berarti menolak pesan secara langsung
Penting untuk diingat bahwa pemilik domain hanya dapat meminta perlakuan seperti itu dalam catatan DMARC mereka; terserah kepada penerima pesan untuk memutuskan apakah akan menghormati kebijakan yang diminta atau tidak. Beberapa akan melakukannya, sementara yang lain mungkin lebih longgar dalam menerapkan kebijakan, seperti hanya memindahkan email ke folder spam ketika kebijakan domain ditolak.
Kami merekomendasikan kepada semua pelanggan kami agar mereka memulai dengan kebijakan tidak ada, hanya untuk lebih aman. Meskipun kami yakin dengan kemampuan kami untuk mengautentikasi email Anda dengan benar melalui penandatanganan DKIM, tetap yang terbaik adalah meluangkan waktu untuk memeriksa laporan tentang domain Anda sebelum menjadi lebih agresif dengan kebijakan DMARC Anda.
menerbitkan Kebijakan DMARC Anda
Ringkasan
Ada banyak yang perlu dipahami dari informasi di atas! Kami berharap Anda menemukan panduan untuk membuat catatan kebijakan DMARC bermanfaat. Kami juga berharap penjelasan kami tentang mengapa DMARC itu penting membantu menjelaskan mengapa Anda harus mulai menggunakan alat penting ini untuk melindungi reputasi email Anda.
Tentu saja, ini bukan dokumen yang lengkap atau otoritatif tentang subjek tersebut. Jika Anda ingin menyelami lebih dalam atau membutuhkan bantuan lebih lanjut, tempat yang baik untuk memulai adalah FAQ DMARC resmi. Dan, tidak perlu dikatakan bahwa tim dukungan MessageBird siap membantu Anda mengonfigurasi akun MessageBird Anda untuk DMARC juga.
Terima kasih telah membaca—dan mulai lindungi domain Anda dengan DMARC hari ini!
