Menentukan data DMARC

Melindungi dari spoofing & phishing, dan membantu mencegah pesan ditandai sebagai spam

Kebijakan Domain-based Message Authentication, Reporting, and Conformance (DMARC) ditentukan dalam baris nilai teks, yang disebut data DMARC. Data tersebut menjelaskan:

Seberapa ketat DMARC harus memeriksa pesan
Tindakan yang disarankan untuk server penerima, ketika menerima pesan yang gagal dalam pemeriksaan autentikasi

Opsi kebijakan DMARC

Kebijakan DMARC Anda merekomendasikan tindakan yang perlu dilakukan oleh server email penerima saat pesan dari domain Anda tidak lulus autentikasi DMARC.

Ini adalah contoh data kebijakan DMARC. Tag v dan p harus dicantumkan terlebih dahulu, tag lainnya dapat dicantumkan dalam urutan apa pun:

v=DMARC1; p=reject; rua=mailto:postmaster@solarmora.com, mailto:dmarc@solarmora.com; pct=100; adkim=s; aspf=s

Definisi dan nilai tag data DMARC

Tag	Deskripsi dan nilai
v	Versi DMARC. Harus berupa DMARC1. Tag ini wajib diisi.
p	Memberi tahu server email penerima tentang tindakan yang harus dilakukan terhadap pesan yang tidak lulus autentikasi. none—Tidak mengambil tindakan terhadap pesan dan mengirimnya ke penerima yang dimaksud. Mencatat pesan dalam laporan harian. Laporan dikirim ke alamat email yang ditentukan dengan opsi rua dalam data. quarantine— Menandai pesan sebagai spam dan mengirimnya ke folder spam penerima. Penerima dapat meninjau pesan spam untuk mengidentifikasi pesan yang sah. reject— Menolak pesan. Dengan opsi ini, server penerima biasanya mengirimkan pesan email tidak terkirim ke server pengirim. Tag ini wajib diisi. Catatan BIMI: Jika domain Anda menggunakan BIMI, opsi p DMARC harus ditetapkan ke quarantine atau reject. BIMI tidak mendukung kebijakan DMARC dengan opsi p yang ditetapkan ke none.
pct	Menentukan persentase pesan yang tidak diautentikasi yang tunduk pada kebijakan DMARC. Saat men-deploy DMARC secara bertahap, Anda dapat memulainya dengan men-deploy pesan dalam jumlah sedikit. Seiring makin banyak pesan dari domain Anda yang lulus autentikasi dengan server penerima, perbarui data dengan persentase yang lebih tinggi, hingga mencapai 100 persen. Harus berupa bilangan bulat dari 1 sampai 100. Jika opsi ini tidak digunakan di dalam data, kebijakan DMARC Anda akan diterapkan untuk 100% pesan yang dikirim dari domain. Tag ini bersifat opsional. Catatan BIMI: Jika domain Anda menggunakan BIMI, kebijakan DMARC Anda harus memiliki nilai pct sebesar 100. BIMI tidak mendukung kebijakan DMARC dengan nilai pct yang ditetapkan kurang dari 100.
rua	Alamat email untuk menerima laporan tentang aktivitas DMARC bagi domain Anda. Alamat email harus menyertakan mailto:. Misalnya: `mailto:laporan-dmarc@solarmora.com` Untuk mengirim laporan DMARC ke beberapa email, pisahkan setiap alamat email dengan koma dan tambahkan awalan mailto: sebelum setiap alamat email. Misalnya: `mailto:laporan-dmarc@solarmora.com, mailto:admin-dmarc@solarmora.com` Opsi ini berpotensi menghasilkan email laporan dalam jumlah besar. Sebaiknya jangan gunakan alamat email Anda sendiri. Sebagai gantinya, pertimbangkan untuk menggunakan kotak surat khusus, grup, atau layanan pihak ketiga yang memiliki spesialisasi dalam laporan DMARC. Tag ini bersifat opsional.
ruf	Tidak didukung. Gmail tidak mendukung tag ruf, yang digunakan untuk mengirim laporan kegagalan. Laporan kegagalan juga disebut laporan forensik.
sp	Menetapkan kebijakan untuk pesan dari subdomain dalam domain primer Anda. Gunakan opsi ini jika ingin menggunakan kebijakan DMARC yang berbeda untuk subdomain Anda. none—Take no action on the message and deliver it to the intended recipient. Log messages in a daily report. The report is sent to the email address specified with the rua option in the policy. quarantine—Menandai pesan sebagai spam dan mengirimnya ke folder spam penerima. Penerima dapat meninjau pesan spam untuk mengidentifikasi pesan yang sah. reject—Menolak pesan. Dengan opsi ini, server penerima harus mengirim pesan email tidak terkirim ke server pengirim Jika Anda tidak menggunakan opsi ini di dalam data, subdomain akan mewarisi kumpulan kebijakan DMARC dari domain induk. Tag ini bersifat opsional.
adkim	Menetapkan kebijakan penyelarasan untuk DKIM, yang menentukan seberapa ketat informasi pesan harus cocok dengan tanda tangan DKIM. Pelajari cara kerja penyelarasan. s—Penyelarasan ketat. Nama domain pengirim harus sama persis dengan d=domainname yang sesuai di header email DKIM. r—Relaxed alignment (default). Allows partial matches. Any valid subdomain of d=domain in the DKIM mail headers is accepted. Tag ini bersifat opsional.
aspf	Menetapkan kebijakan penyelarasan untuk SPF, yang menentukan seberapa ketat informasi pesan harus cocok dengan tanda tangan SPF. Pelajari cara kerja penyelarasan. s—Penyelarasan ketat. Header From: pada pesan harus sama persis dengan nama domain di perintah SMTP MAIL FROM r—Penyelarasan longgar (default). Memungkinkan pencocokan parsial. Semua subdomain yang valid dari nama domain dapat diterima. Tag ini bersifat opsional.

Saat mulai menggunakan DMARC, Anda sebaiknya membuat kebijakan dengan penerapan yang ditetapkan ke none. Setelah mempelajari cara server penerima mengautentikasi pesan Anda, perbarui kebijakan. Seiring waktu, ubah kebijakan penerima ke quarantine, dan terakhir ke reject. Untuk melihat contoh kebijakan DMARC yang diperbarui selama peluncuran DMARC, buka Tutorial: Rekomendasi peluncuran DMARC.

Kebijakan penerapan	Tindakan yang disarankan	Informasi selengkapnya
none	Tidak ada tindakan yang diambil untuk pesan yang tidak lulus pemeriksaan DMARC oleh server penerima. Pesan dikirimkan secara normal kepada penerima.	Sebaiknya Anda menggunakan opsi ini saat pertama kali menyiapkan DMARC. Dengan opsi none, pesan dari domain Anda dikirimkan secara normal. Meskipun kebijakan Anda ditetapkan ke none, tinjau laporan DMARC secara rutin untuk mempelajari cara email diautentikasi dan dikirim. Laporan DMARC yang dikirimkan kepada Anda oleh server penerima memuat detail tentang pesan yang tidak dapat diautentikasi SPF dan DKIM. Jika ada banyak pesan dari domain Anda yang dikirimkan ke spam, periksa konfigurasi SPF dan DKIM. Baca selengkapnya tentang Pemecahan Masalah DMARC. Jangan ubah opsi penerapan kebijakan ke quarantine atau reject sampai Anda mengetahui pesan mana saja yang tidak diautentikasi oleh server penerima. Catatan BIMI:Jika domain Anda menggunakan BIMI, kebijakan penerapan DMARC Anda (p) harus ditetapkan ke quarantine atau reject. BIMI tidak mendukung kebijakan DMARC dengan opsi p yang ditetapkan ke none.
quarantine	Pesan yang tidak diautentikasi dengan DMARC oleh server penerima akan dikirimkan ke folder spam penerima. Jika server email penerima telah mengonfigurasi karantina, pesan mungkin dikirim ke karantina, tidak langsung ke folder spam penerima.	Anda tetap mendapatkan laporan DMARC dengan opsi ini.
reject	Pesan yang tidak diautentikasi dengan DMARC oleh server penerima akan ditolak, dan tidak akan dikirimkan kepada penerima. Server penerima biasanya mengirimkan pesan email tidak terkirim kepada pengirim.	Kami merekomendasikan agar Anda memilih reject sebagai opsi final dan permanen untuk semua kebijakan DMARC. Anda tetap mendapatkan laporan DMARC dengan opsi ini. Perbarui kebijakan ke opsi ini jika laporan DMARC menampilkan semua pesan yang valid diautentikasi dan dikirimkan secara normal. Penolakan pesan yang tidak diautentikasi dapat membantu melindungi penerima dari spam, spoofing, dan phishing.

Opsi penyelarasan DMARC

DMARC meluluskan atau menggagalkan pesan berdasarkan kecocokan header Dari: pada pesan dengan domain pengiriman yang ditentukan oleh SPF atau DKIM. Tindakan ini disebut penyelarasan.

Anda dapat memilih dari dua mode penyelarasan: ketat dan longgar. Setel mode penyelarasan untuk SPF dan DKIM dalam data DMARC. Tag data DMARC aspf dan adkim berfungsi untuk menetapkan mode penyelarasan.

Dalam kasus berikut, sebaiknya Anda mempertimbangkan untuk beralih ke penyelarasan ketat guna meningkatkan perlindungan terhadap spoofing:

Email dikirimkan ke domain Anda dari subdomain yang ada di luar kendali Anda
Anda memiliki subdomain yang dikelola oleh entitas lain

Agar lulus DMARC, pesan harus lulus dari setidaknya salah satu pemeriksaan berikut:

Autentikasi SPF dan penyelarasan SPF
Autentikasi DKIM dan penyelarasan DKIM

Pesan akan gagal melewati pemeriksaan DMARC jika pesan tersebut gagal dalam:

SPF (atau penyelarasan SPF)
DKIM (atau penyelarasan DKIM)

Penting: Penyelarasan longgar biasanya memberikan perlindungan dari spoofing yang memadai. Penyelarasan ketat dapat mengakibatkan pesan dari subdomain terkait ditolak atau dikirim ke spam.

Metode autentikasi	Penyelarasan ketat	Penyelarasan longgar
SPF	Pencocokan persis antara domain yang diautentikasi SPF dan domain di alamat header Dari:.	Domain di alamat header From: harus cocok dengan atau merupakan subdomain dari domain yang diautentikasi SPF.
DKIM	Pencocokan persis antara domain DKIM yang relevan, dan domain di alamat header Dari:.	Domain di alamat header Dari: harus cocok atau merupakan subdomain dari domain yang ditentukan dalam tag d= tanda tangan DKIM.

Memahami alamat pengembalian dan alamat From:

Pesan email memiliki dua jenis alamat yang menunjukkan pengirim. Anda harus memahami perbedaan kedua alamat ini saat menyiapkan SPF, DKIM, dan DMARC.

Alamat pengembalian dan alamat From: untuk pesan dapat berbeda atau sama.

Alamat pengembalian—Alamat email yang menunjukkan asal pesan. Pemberitahuan pesan yang tidak terkirim, atau dikembalikan, akan dikirimkan ke alamat ini. Alamat Pengembalian juga disebut sebagai alamat Jalur-Kembali, atau alamat Envelope-Sender. Penerima pesan tidak melihat alamat pengembalian.

SPF biasanya menggunakan alamat pengembalian pesan untuk autentikasi.

Alamat From:—Alamat email di header pesan. Pesan memiliki dua bagian: header pesan dan isi pesan. Header memuat informasi tentang pesan, termasuk: nama pengirim dan alamat email, subjek pesan, dan tanggal pengiriman. Header From: mencakup alamat email, dan biasanya nama orang yang mengirimkan pesan.

DKIM menggunakan alamat From: pesan untuk autentikasi.

Contoh penyelarasan SPF

Dengan SPF, penyelarasan membandingkan domain yang diautentikasi oleh SPF (biasanya alamat pengembalian) dengan domain di alamat header From: pesan. Berikut adalah beberapa contoh penyelarasan dengan hasil pemeriksaan SPF-nya.

Alamat pengembalian	Alamat header From:	Penyelarasan ketat	Penyelarasan longgar
`jon@solarmora.com`	`jon@solarmora.com`	Lulus	Lulus
`jon@mail.solarmora.com`	`jon@solarmora.com`	Gagal	Lulus
`jon@solarmora.org`	`jon@solarmora.com`	Gagal	Gagal

Contoh penyelarasan DKIM

Dengan DKIM, penyelarasan membandingkan nilai di kolom domain tanda tangan DKIM (d=) dalam header pesan dengan domain di header Dari: pada pesan.

Berikut adalah beberapa contoh penyelarasan dengan hasil pemeriksaan DKIM-nya:

Header From:	d=domain DKIM	Penyelarasan ketat	Penyelarasan longgar
`jon@solarmora.com`	`solarmora.com`	Lulus	Lulus
`jon@mail.solarmora.com`	`solarmora.com`	Gagal	Lulus
`jon@solarmora.org`	`solarmora.com`	Gagal	Gagal

Opsi laporan DMARC

Anda dapat menyiapkan DMARC untuk meminta laporan rutin dari server email yang menerima email dari domain Anda.

Laporan DMARC memberi tahu Anda:

Server atau pengirim pihak ketiga yang mengirim email untuk domain Anda
Persentase pesan dari domain Anda yang lulus DMARC
Server atau layanan yang mengirim pesan yang tidak lulus DMARC
Tindakan DMARC yang dilakukan server penerima terhadap pesan yang tidak diautentikasi dari domain Anda: none, quarantine, atau reject.

Untuk mulai mendapatkan laporan DMARC, gunakan rua tag data DMARC di data DMARC Anda.

Pelajari laporan DMARC lebih lanjut.

Apakah ini membantu?

Bagaimana cara meningkatkannya?