Menyiapkan DMARC

Pengguna Gmail: Jika Anda menerima pesan spam atau phishing di Gmail, buka di sini. Jika Anda mengalami masalah saat mengirim atau menerima email di Gmail, buka di sini.

Sebagai administrator, setelah menyiapkan SPF dan DKIM, Anda dapat menyiapkan Domain-based Message Authentication, Reporting, and Conformance (DMARC). DMARC memungkinkan Anda memberi tahu server email penerima tindakan apa yang harus dilakukan ketika mereka mendapatkan pesan yang tidak lolos pemeriksaan autentikasi SPF atau DKIM. Anda juga bisa mendapatkan laporan yang membantu Anda mengidentifikasi kemungkinan masalah autentikasi dan aktivitas berbahaya untuk pesan yang dikirim dari domain Anda.

What is DMARC?

DMARC membantu melindungi pengguna dari pesan email palsu,
dan memungkinkan Anda mengelola pesan yang tidak lulus SPF atau DKIM.

Di halaman ini

Langkah 1: Aktifkan SPF & DKIM

Agar dapat menggunakan DMARC, Anda harus mengaktifkan SPF dan DKIM untuk domain Anda. Jika Anda belum menyiapkan SPF dan DKIM, buka Membantu mencegah spoofing, phishing, dan spam.

SPF, DKIM, dan DMARC diterapkan per domain. Jika mengelola lebih dari satu domain, Anda harus mengaktifkan SPF, DKIM, dan DMARC secara terpisah untuk setiap domain.

Penting:

  • Jika Anda tidak menyiapkan SPF dan DKIM sebelum mengaktifkan DMARC, pesan yang dikirim dari domain Anda mungkin memiliki masalah pengiriman.
  • Tunggu selama 48 jam setelah menyiapkan SPF dan DKIM sebelum menyiapkan DMARC.

Langkah 2: Periksa apakah DMARC sudah disiapkan

Jika Anda menggunakan Google Workspace, gunakan Toolbox Google Admin untuk memeriksa apakah DMARC telah disiapkan. Jika tidak, ikuti langkah-langkah untuk memeriksanya di penyedia domain Anda.

Memeriksa menggunakan Toolbox Google Admin:

  1. Buka Toolbox Google Admin.
  2. Buka Verifikasi masalah DNSlaluPeriksa MX.
  3. Masukkan nama domain di kolom Nama domain, lalu klik JALANKAN PEMERIKSAAN.
  4. Hasilnya menunjukkan apakah domain Anda memiliki data DMARC:
    • DMARC belum disiapkan—Domain Anda belum memiliki data DMARC.
    • Format kebijakan DMARC—Domain Anda memiliki data DMARC yang sudah ada.

Memeriksa di penyedia domain Anda:

  1. Login ke konsol pengelolaan untuk penyedia domain Anda.
  2. Buka halaman tempat Anda memperbarui data TXT DNS domain.
  3. Jika memiliki data DMARC, di subdomain _dmarc.example.com (dengan example adalah nama domain Anda), Anda akan melihat entri data TXT yang diawali dengan v=DMARC.

Melanjutkan berdasarkan hasil:

  • Jika DMARC sudah disiapkan, Anda harus meninjau laporan DMARC Anda untuk memastikan DMARC secara efektif mengautentikasi pesan dan pesan-pesan tersebut terkirim sesuai dengan yang seharusnya.
  • Jika DMARC belum disiapkan, lanjutkan ke Menyiapkan grup atau kotak surat untuk laporan (di halaman ini).

Langkah 3: Siapkan grup atau kotak surat untuk laporan

Jumlah laporan DMARC yang Anda terima melalui email dapat bervariasi dan bergantung pada jumlah email yang dikirim dari domain dan berapa banyak domain yang menjadi tujuan pengiriman Anda. Anda dapat menerima banyak laporan setiap hari. Organisasi besar mungkin mendapatkan hingga ratusan atau bahkan ribuan laporan setiap hari.

Laporan DMARC memberi tahu Anda pesan mana yang dikirim dari domain Anda yang terautentikasi SPF dan DKIM dan jika ada pesan yang secara konsisten gagal terautentikasi. Anda juga dapat menggunakan laporan untuk meninjau siapa saja yang mengirim email untuk domain Anda, dan mendapatkan peringatan potensi spammer. Memantau laporan DMARC sangat bermanfaat selama fase peluncuran. Lihat Rekomendasi peluncuran DMARC.

Google merekomendasikan agar Anda membuat grup atau kotak surat khusus untuk menerima dan mengelola laporan DMARC.

Penting: Biasanya, alamat email untuk laporan berada di domain yang sama dengan domain yang menghosting data DMARC Anda. Jika alamat email memiliki domain yang berbeda, Anda harus menambahkan data DNS di domain lain. Untuk mengetahui detailnya, buka Mengirim laporan ke alamat email di domain lain, di halaman Laporan DMARC.

Langkah 4: Pastikan layanan pihak ketiga diautentikasi

Jika Anda menggunakan layanan pihak ketiga guna mengirim email untuk organisasi Anda, pastikan bahwa pesan yang dikirim oleh layanan pihak ketiga telah terautentikasi dan lolos pemeriksaan SPF dan DKIM:

  • Hubungi penyedia pihak ketiga untuk memastikan DKIM disiapkan dengan benar.
  • Pastikan domain alamat pengembalian penyedia cocok dengan domain Anda. Tambahkan alamat IP server email pengirim penyedia ke data SPF untuk domain Anda.
  • Arahkan email keluar dari penyedia melalui Google menggunakan setelan layanan relai SMTP.

Langkah 5: Siapkan data DMARC

Kebijakan DMARC Anda ditentukan dalam baris nilai teks yang disebut data DMARC. Data tersebut menjelaskan:

  • Seberapa ketat DMARC harus memeriksa pesan
  • Tindakan yang disarankan untuk server penerima, ketika menerima pesan yang gagal dalam pemeriksaan autentikasi

Contoh data kebijakan DMARC (ganti example.com dengan domain Anda):

v=DMARC1; p=reject; rua=mailto:postmaster@example.com, mailto:dmarc@example.com; pct=100; adkim=s; aspf=s.

Tag v dan p harus dicantumkan terlebih dahulu. Tag lainnya dapat dicantumkan dalam urutan apa pun.

Saat Anda mulai menggunakan DMARC, sebaiknya tetapkan opsi kebijakan (p) ke none. Setelah mempelajari cara server penerima mengautentikasi pesan Anda, perbarui kebijakan. Seiring waktu, ubah kebijakan penerima ke quarantine (or reject). Lihat Rekomendasi peluncuran DMARC.

Definisi dan nilai tag data DMARC

Tag Deskripsi dan nilai
v

(Wajib) Versi DMARC. Harus berupa DMARC1.
p (Wajib) Menginstruksikan server email penerima tentang tindakan yang harus dilakukan terhadap pesan yang tidak lulus autentikasi.
  • none—Tidak mengambil tindakan terhadap pesan dan mengirimnya ke penerima yang dimaksud. Mencatat pesan dalam laporan harian. Laporan dikirim ke alamat email yang ditentukan dengan opsi rua dalam data.
  • quarantine— Menandai pesan sebagai spam dan mengirimnya ke folder spam penerima. Penerima dapat meninjau pesan spam untuk mengidentifikasi pesan yang sah.
  • reject— Menolak pesan. Dengan opsi ini, server penerima biasanya mengirimkan pesan email tidak terkirim ke server pengirim.

Catatan BIMI: Jika domain Anda menggunakan BIMI, opsi p DMARC harus ditetapkan ke quarantine atau reject. BIMI tidak mendukung kebijakan DMARC dengan opsi p yang ditetapkan ke none.
pct

Tag pct bersifat opsional, tetapi Google merekomendasikan untuk menyertakannya dalam data DMARC saat meluncurkan DMARC agar Anda dapat mengelola persentase email yang untuknya kebijakan DMARC diterapkan.

Menentukan persentase pesan yang tidak diautentikasi yang tunduk pada kebijakan DMARC. Saat men-deploy DMARC secara bertahap, Anda dapat memulainya dengan men-deploy pesan dalam jumlah sedikit. Seiring makin banyak pesan dari domain Anda yang lulus autentikasi dengan server penerima, perbarui data dengan persentase yang lebih tinggi, hingga mencapai 100 persen.

Harus berupa bilangan bulat dari 1 sampai 100. Jika opsi ini tidak digunakan di dalam data, kebijakan DMARC Anda akan diterapkan untuk 100% pesan yang dikirim dari domain.

Catatan BIMI: Jika domain Anda menggunakan BIMI, kebijakan DMARC Anda harus memiliki nilai pct sebesar 100. BIMI tidak mendukung kebijakan DMARC dengan nilai pct yang ditetapkan kurang dari 100.
rua

Tag rua bersifat opsional, tetapi Google merekomendasikan agar Anda selalu menyertakannya dalam data DMARC.

Mengirim laporan DMARC ke alamat email. Alamat email harus menyertakan mailto:.
Misalnya: mailto:laporan-dmarc@contoh.com (ganti contoh.com dengan domain Anda).

  • Untuk mengirim laporan DMARC ke beberapa email, pisahkan setiap alamat email dengan koma dan tambahkan awalan mailto: sebelum setiap alamat email. Misalnya: mailto:laporan-dmarc@contoh.com, mailto:admin-dmarc@contoh.com (ganti contoh.com dengan domain Anda).
  • Opsi ini berpotensi menghasilkan email laporan dalam jumlah besar. Sebaiknya jangan gunakan alamat email Anda sendiri. Sebagai gantinya, pertimbangkan untuk menggunakan kotak surat khusus, grup, atau layanan pihak ketiga yang memiliki spesialisasi dalam laporan DMARC.
  • Untuk mengirim laporan DMARC ke alamat email yang berada di domain yang berbeda dengan domain menghosting data DMARC Anda, tambahkan data TXT ke DNS domain email. Untuk mengetahui detailnya, Kirim laporan ke alamat email di domain lain, di halaman Laporan DMARC.
ruf

(Tidak didukung) Gmail tidak mendukung tag ruf, yang digunakan untuk mengirim laporan kegagalan. Laporan kegagalan juga disebut laporan forensik.
sp (Opsional) Menetapkan kebijakan untuk pesan dari subdomain dalam domain primer Anda. Gunakan opsi ini jika Anda ingin menggunakan kebijakan DMARC yang berbeda untuk subdomain Anda.
  • noneTake no action on the message and deliver it to the intended recipient. Log messages in a daily report. The report is sent to the email address specified with the rua option in the policy.
  • quarantineMenandai pesan sebagai spam dan mengirimnya ke folder spam penerima. Penerima dapat meninjau pesan spam untuk mengidentifikasi pesan yang sah.
  • rejectMenolak pesan. Dengan opsi ini, server penerima harus mengirim pesan email tidak terkirim ke server pengirim.

Jika Anda tidak menggunakan opsi ini di dalam data, subdomain akan mewarisi kumpulan kebijakan DMARC dari domain induk.
adkim (Opsional) Menetapkan kebijakan penyelarasan untuk DKIM, yang menentukan seberapa ketat informasi pesan harus cocok dengan tanda tangan DKIM. Pelajari cara kerja penyelarasan (nanti di halaman ini).
  • sPenyelarasan ketat. Nama domain pengirim harus sama persis dengan d=domainname yang sesuai di header email DKIM.
  • rRelaxed alignment (default). Allows partial matches. Any valid subdomain of d=domain in the DKIM mail headers is accepted.
aspf (Opsional) Menetapkan kebijakan penyelarasan untuk SPF, yang menentukan seberapa ketat informasi pesan harus cocok dengan tanda tangan SPF. Pelajari cara kerja penyelarasan (nanti di halaman ini).
  • sPenyelarasan ketat. Header From: pada pesan harus sama persis dengan nama domain di perintah SMTP MAIL FROM
  • rPenyelarasan longgar (default). Memungkinkan pencocokan parsial. Semua subdomain yang valid dari nama domain dapat diterima.

Penyelarasan DMARC

DMARC meluluskan atau menggagalkan pesan berdasarkan kecocokan domain di header From: dengan domain pengirim yang ditentukan oleh SPF atau DKIM. Tindakan ini disebut penyelarasan.

Anda dapat memilih dari dua mode penyelarasan: ketat atau longgar. Anda menetapkan mode penyelarasan untuk SPF dan DKIM dalam data DMARC menggunakan tag data DMARC aspf dan adkim.

Metode autentikasi Penyelarasan ketat Penyelarasan longgar
SPF Pencocokan persis antara domain di Alamat Pengembalian (juga disebut Return-Path atau alamat tolak) dan domain di alamat header From:. Domain di alamat header From: harus cocok atau merupakan subdomain dari domain di Alamat Pengembalian (juga disebut Return-Path atau alamat tolak).
DKIM Pencocokan persis antara domain DKIM yang relevan, dan domain di alamat header From: .

Dalam kasus tertentu, Google menyarankan agar Anda mempertimbangkan untuk mengubah ke penyelarasan ketat untuk meningkatkan perlindungan terhadap spoofing:

  • Email dikirimkan ke domain Anda dari subdomain yang ada di luar kendali Anda.
  • Anda memiliki subdomain yang dikelola oleh entitas lain.
Penting: Penyelarasan longgar biasanya memberikan perlindungan dari spoofing yang memadai. Penyelarasan ketat dapat mengakibatkan pesan dari subdomain terkait ditolak atau dikirim ke spam.

Agar lulus DMARC, pesan harus lulus dari setidaknya salah satu pemeriksaan berikut:

  • Autentikasi SPF dan penyelarasan SPF 
  • Autentikasi DKIM dan penyelarasan DKIM

Pesan akan gagal melewati pemeriksaan DMARC jika pesan tersebut gagal dalam:

  • SPF (atau penyelarasan SPF)
  • DKIM (atau penyelarasan DKIM)

Langkah 6: Tambahkan data DMARC

Setelah menyiapkan teks data DMARC, tambahkan atau perbarui data TXT DMARC DNS di penyedia domain Anda. Setiap kali mengubah kebijakan DMARC dan memperbarui data, Anda juga harus memperbarui data TXT DMARC di penyedia domain.

Menambahkan atau memperbarui data

Penting: Pastikan Anda menyiapkan DKIM dan SPF terlebih dahulu sebelum menyiapkan DMARC. DKIM dan SPF harus mengautentikasi pesan setidaknya selama 48 jam sebelum mengaktifkan DMARC.

  1. Siapkan baris atau file teks untuk data DMARC Anda.
  2. Login ke host domain Anda, biasanya tempat Anda membeli nama domain. Jika tidak yakin siapa host domain Anda, lihat mengidentifikasi registrar domain.
  3. Buka halaman tempat Anda memperbarui data TXT DNS untuk domain. Untuk mendapatkan bantuan menemukan halaman ini, periksa dokumentasi untuk domain Anda.

  4. Tambahkan atau perbarui data TXT dengan informasi ini (lihat dokumentasi untuk domain Anda):

    Nama kolom Nilai yang perlu dimasukkan
    Jenis Jenis datanya adalah TXT.
    Host (Nama, Nama Host, Alias) Nilai ini harus berupa _dmarc.example.com (ganti example.com dengan nama domain Anda).
    Nilai String yang membentuk data TXT. Misalnya: v=DMARC1; p=none; rua=mailto:postmaster@example.com, mailto:dmarc@example.com; pct=100; adkim=s; aspf=s. Untuk mengetahui detailnya, lihat Menyiapkan data DMARC (di awal halaman ini).
    Catatan: Beberapa host domain menambahkan nama domain secara otomatis. Setelah menambahkan atau memperbarui data TXT, verifikasi nama domain dalam data DMARC untuk memastikan formatnya sudah benar.
  5. Simpan perubahan.
  6. Jika Anda menyiapkan DMARC untuk lebih dari satu domain, selesaikan langkah-langkah ini untuk setiap domain. Setiap domain dapat memiliki kebijakan yang berbeda dan opsi laporan yang berbeda, sebagaimana ditentukan dalam data.

Langkah 7: Verifikasi data DMARC Anda

Penting: Domain yang digunakan pada langkah-langkah di bawah hanyalah contoh. Ganti contoh domain ini dengan domain Anda sendiri.

Beberapa host domain akan menambahkan nama domain Anda secara otomatis ke bagian akhir nama data TXT. Ini dapat menyebabkan nama data TXT DMARC salah diformat. Misalnya, jika Anda memasukkan _dmarc.example.com dan host domain menambahkan nama domain Anda secara otomatis, nama data TXT akan salah diformat sebagai _dmarc.example.com.example.com.

Setelah menambahkan data TXT DMARC sesuai dengan langkah-langkah dalam Menambahkan atau memperbarui data, periksa nama data TXT untuk memastikan bahwa formatnya sudah benar.

Di Toolbox Google Admin, Anda dapat menggunakan fitur Dig untuk melihat dan memverifikasi data TXT DMARC:

  1. Buka Toolbox Google Admin dan pilih fitur Dig.
  2. Di kolom Name, masukkan _dmarc. diikuti dengan nama domain lengkap Anda. Misalnya, jika nama domain Anda adalah example.com, masukkan _dmarc.example.com.
  3. Di bawah kolom Name, klik TXT.
  4. Verifikasi nama data TXT DMARC Anda di hasil. Cari baris teks yang diawali dengan _dmarc.

Topik terkait


Google, Google Workspace, serta merek dan logo yang terkait adalah merek dagang Google LLC. Semua nama perusahaan dan produk lainnya adalah merek dagang masing-masing perusahaan yang terkait.

Apakah ini membantu?

Bagaimana cara meningkatkannya?

Perlu bantuan lain?

Coba langkah-langkah selanjutnya berikut:

Posting ke komunitas bantuan Dapatkan jawaban dari anggota komunitas
Hubungi kami Beri tahu kami selengkapnya dan kami akan membantu Anda
true
Mulailah uji coba gratis 14 hari Anda

Email profesional, penyimpanan online, kalender bersama, rapat video, dan lainnya. Mulailah uji coba gratis G Suite sekarang.

Telusuri
Hapus penelusuran
Tutup penelusuran
Menu utama
11839969279635059810
true
Pusat Bantuan Penelusuran
true
true
true
true
true
73010
false
false