Kebijakan Domain-based Message Authentication, Reporting, and Conformance (DMARC) ditentukan dalam baris nilai teks, yang disebut data DMARC. Data tersebut menjelaskan:
- Seberapa ketat DMARC harus memeriksa pesan
- Tindakan yang disarankan untuk server penerima, ketika menerima pesan yang gagal dalam pemeriksaan autentikasi
Opsi kebijakan DMARC
Kebijakan DMARC Anda merekomendasikan tindakan yang perlu dilakukan oleh server email penerima saat pesan dari domain Anda tidak lulus autentikasi DMARC.
Ini adalah contoh data kebijakan DMARC. Tag v dan p harus dicantumkan terlebih dahulu, tag lainnya dapat dicantumkan dalam urutan apa pun:
v=DMARC1; p=reject; rua=mailto:postmaster@solarmora.com, mailto:dmarc@solarmora.com; pct=100; adkim=s; aspf=s
Definisi dan nilai tag data DMARC
Tag | Deskripsi dan nilai |
v |
Versi DMARC. Harus berupa DMARC1. Tag ini wajib diisi. |
p | Memberi tahu server email penerima tentang tindakan yang harus dilakukan terhadap pesan yang tidak lulus autentikasi.
Tag ini wajib diisi. Catatan BIMI: Jika domain Anda menggunakan BIMI, opsi p DMARC harus ditetapkan ke quarantine atau reject. BIMI tidak mendukung kebijakan DMARC dengan opsi p yang ditetapkan ke none. |
pct |
Menentukan persentase pesan yang tidak diautentikasi yang tunduk pada kebijakan DMARC. Saat men-deploy DMARC secara bertahap, Anda dapat memulainya dengan men-deploy pesan dalam jumlah sedikit. Seiring makin banyak pesan dari domain Anda yang lulus autentikasi dengan server penerima, perbarui data dengan persentase yang lebih tinggi, hingga mencapai 100 persen. Harus berupa bilangan bulat dari 1 sampai 100. Jika opsi ini tidak digunakan di dalam data, kebijakan DMARC Anda akan diterapkan untuk 100% pesan yang dikirim dari domain. Tag ini bersifat opsional. Catatan BIMI: Jika domain Anda menggunakan BIMI, kebijakan DMARC Anda harus memiliki nilai pct sebesar 100. BIMI tidak mendukung kebijakan DMARC dengan nilai pct yang ditetapkan kurang dari 100. |
rua |
Alamat email untuk menerima laporan tentang aktivitas DMARC bagi domain Anda. Alamat email harus menyertakan mailto:. Untuk mengirim laporan DMARC ke beberapa email, pisahkan setiap alamat email dengan koma dan tambahkan awalan mailto: sebelum setiap alamat email. Misalnya: Opsi ini berpotensi menghasilkan email laporan dalam jumlah besar. Sebaiknya jangan gunakan alamat email Anda sendiri. Sebagai gantinya, pertimbangkan untuk menggunakan kotak surat khusus, grup, atau layanan pihak ketiga yang memiliki spesialisasi dalam laporan DMARC. Tag ini bersifat opsional. |
ruf |
Tidak didukung. Gmail tidak mendukung tag ruf, yang digunakan untuk mengirim laporan kegagalan. Laporan kegagalan juga disebut laporan forensik. |
sp | Menetapkan kebijakan untuk pesan dari subdomain dalam domain primer Anda. Gunakan opsi ini jika ingin menggunakan kebijakan DMARC yang berbeda untuk subdomain Anda.
Jika Anda tidak menggunakan opsi ini di dalam data, subdomain akan mewarisi kumpulan kebijakan DMARC dari domain induk. Tag ini bersifat opsional. |
adkim | Menetapkan kebijakan penyelarasan untuk DKIM, yang menentukan seberapa ketat informasi pesan harus cocok dengan tanda tangan DKIM. Pelajari cara kerja penyelarasan.
Tag ini bersifat opsional. |
aspf | Menetapkan kebijakan penyelarasan untuk SPF, yang menentukan seberapa ketat informasi pesan harus cocok dengan tanda tangan SPF. Pelajari cara kerja penyelarasan.
Tag ini bersifat opsional. |
Saat mulai menggunakan DMARC, Anda sebaiknya membuat kebijakan dengan penerapan yang ditetapkan ke none. Setelah mempelajari cara server penerima mengautentikasi pesan Anda, perbarui kebijakan. Seiring waktu, ubah kebijakan penerima ke quarantine, dan terakhir ke reject. Untuk melihat contoh kebijakan DMARC yang diperbarui selama peluncuran DMARC, buka Tutorial: Rekomendasi peluncuran DMARC.
Kebijakan penerapan | Tindakan yang disarankan | Informasi selengkapnya |
none | Tidak ada tindakan yang diambil untuk pesan yang tidak lulus pemeriksaan DMARC oleh server penerima. Pesan dikirimkan secara normal kepada penerima. |
Sebaiknya Anda menggunakan opsi ini saat pertama kali menyiapkan DMARC. Dengan opsi none, pesan dari domain Anda dikirimkan secara normal. Meskipun kebijakan Anda ditetapkan ke none, tinjau laporan DMARC secara rutin untuk mempelajari cara email diautentikasi dan dikirim. Laporan DMARC yang dikirimkan kepada Anda oleh server penerima memuat detail tentang pesan yang tidak dapat diautentikasi SPF dan DKIM. Jika ada banyak pesan dari domain Anda yang dikirimkan ke spam, periksa konfigurasi SPF dan DKIM. Baca selengkapnya tentang Pemecahan Masalah DMARC. Jangan ubah opsi penerapan kebijakan ke quarantine atau reject sampai Anda mengetahui pesan mana saja yang tidak diautentikasi oleh server penerima. Catatan BIMI:Jika domain Anda menggunakan BIMI, kebijakan penerapan DMARC Anda (p) harus ditetapkan ke quarantine atau reject. BIMI tidak mendukung kebijakan DMARC dengan opsi p yang ditetapkan ke none. |
quarantine | Pesan yang tidak diautentikasi dengan DMARC oleh server penerima akan dikirimkan ke folder spam penerima. Jika server email penerima telah mengonfigurasi karantina, pesan mungkin dikirim ke karantina, tidak langsung ke folder spam penerima. | Anda tetap mendapatkan laporan DMARC dengan opsi ini. |
reject | Pesan yang tidak diautentikasi dengan DMARC oleh server penerima akan ditolak, dan tidak akan dikirimkan kepada penerima. Server penerima biasanya mengirimkan pesan email tidak terkirim kepada pengirim. |
Kami merekomendasikan agar Anda memilih reject sebagai opsi final dan permanen untuk semua kebijakan DMARC. Anda tetap mendapatkan laporan DMARC dengan opsi ini. Perbarui kebijakan ke opsi ini jika laporan DMARC menampilkan semua pesan yang valid diautentikasi dan dikirimkan secara normal. Penolakan pesan yang tidak diautentikasi dapat membantu melindungi penerima dari spam, spoofing, dan phishing. |
Opsi penyelarasan DMARC
DMARC meluluskan atau menggagalkan pesan berdasarkan kecocokan header Dari: pada pesan dengan domain pengiriman yang ditentukan oleh SPF atau DKIM. Tindakan ini disebut penyelarasan.
Anda dapat memilih dari dua mode penyelarasan: ketat dan longgar. Setel mode penyelarasan untuk SPF dan DKIM dalam data DMARC. Tag data DMARC aspf dan adkim berfungsi untuk menetapkan mode penyelarasan.
Dalam kasus berikut, sebaiknya Anda mempertimbangkan untuk beralih ke penyelarasan ketat guna meningkatkan perlindungan terhadap spoofing:
- Email dikirimkan ke domain Anda dari subdomain yang ada di luar kendali Anda
- Anda memiliki subdomain yang dikelola oleh entitas lain
Agar lulus DMARC, pesan harus lulus dari setidaknya salah satu pemeriksaan berikut:
- Autentikasi SPF dan penyelarasan SPF
- Autentikasi DKIM dan penyelarasan DKIM
Pesan akan gagal melewati pemeriksaan DMARC jika pesan tersebut gagal dalam:
- SPF (atau penyelarasan SPF)
- DKIM (atau penyelarasan DKIM)
Memahami alamat pengembalian dan alamat From:
Pesan email memiliki dua jenis alamat yang menunjukkan pengirim. Anda harus memahami perbedaan kedua alamat ini saat menyiapkan SPF, DKIM, dan DMARC.
Alamat pengembalian dan alamat From: untuk pesan dapat berbeda atau sama.
Alamat pengembalian—Alamat email yang menunjukkan asal pesan. Pemberitahuan pesan yang tidak terkirim, atau dikembalikan, akan dikirimkan ke alamat ini. Alamat Pengembalian juga disebut sebagai alamat Jalur-Kembali, atau alamat Envelope-Sender. Penerima pesan tidak melihat alamat pengembalian.
SPF biasanya menggunakan alamat pengembalian pesan untuk autentikasi.
Alamat From:—Alamat email di header pesan. Pesan memiliki dua bagian: header pesan dan isi pesan. Header memuat informasi tentang pesan, termasuk: nama pengirim dan alamat email, subjek pesan, dan tanggal pengiriman. Header From: mencakup alamat email, dan biasanya nama orang yang mengirimkan pesan.
DKIM menggunakan alamat From: pesan untuk autentikasi.
Contoh penyelarasan SPF
Dengan SPF, penyelarasan membandingkan domain yang diautentikasi oleh SPF (biasanya alamat pengembalian) dengan domain di alamat header From: pesan. Berikut adalah beberapa contoh penyelarasan dengan hasil pemeriksaan SPF-nya.
Alamat pengembalian | Alamat header From: | Penyelarasan ketat | Penyelarasan longgar |
jon@solarmora.com |
jon@solarmora.com |
Lulus | Lulus |
jon@mail.solarmora.com |
jon@solarmora.com |
Gagal | Lulus |
jon@solarmora.org |
jon@solarmora.com |
Gagal | Gagal |
Contoh penyelarasan DKIM
Dengan DKIM, penyelarasan membandingkan nilai di kolom domain tanda tangan DKIM (d=) dalam header pesan dengan domain di header Dari: pada pesan.
Berikut adalah beberapa contoh penyelarasan dengan hasil pemeriksaan DKIM-nya:
Header From: | d=domain DKIM | Penyelarasan ketat | Penyelarasan longgar |
jon@solarmora.com |
solarmora.com |
Lulus | Lulus |
jon@mail.solarmora.com |
solarmora.com |
Gagal | Lulus |
jon@solarmora.org |
solarmora.com |
Gagal | Gagal |
Opsi laporan DMARC
Anda dapat menyiapkan DMARC untuk meminta laporan rutin dari server email yang menerima email dari domain Anda.
Laporan DMARC memberi tahu Anda:
- Server atau pengirim pihak ketiga yang mengirim email untuk domain Anda
- Persentase pesan dari domain Anda yang lulus DMARC
- Server atau layanan yang mengirim pesan yang tidak lulus DMARC
- Tindakan DMARC yang dilakukan server penerima terhadap pesan yang tidak diautentikasi dari domain Anda: none, quarantine, atau reject.
Untuk mulai mendapatkan laporan DMARC, gunakan rua tag data DMARC di data DMARC Anda.
Pelajari laporan DMARC lebih lanjut.