Panduan Konfigurasi Email DNS Security (SPF, DKIM, DMARC)

Defensive
Panduan Konfigurasi Email DNS Security (SPF, DKIM, DMARC)

Email adalah salah satu metode komunikasi yang paling banyak digunakan, tetapi juga rentan terhadap serangan seperti spoofing, phishing, dan spam. Oleh karena itu, penerapan SPF, DKIM, dan DMARC sangat penting untuk meningkatkan keamanan email yang kita miliki, berikut adalah panduan konfigurasi SPF, DKIM, dan DMARC untuk meningkatkan keamanan email.

Sender Policy Framework (SPF)

Apa itu SPF?

Sender Policy Framework atau SPF adalah mekanisme autentikasi email yang memungkinkan domain menentukan server mana yang diizinkan mengirim email atas nama domain yang dimiliki, konfigurasi ini memungkinkan server penerima untuk memverifikasi bahwa email yang diterima berasal dari server yang diizinkan oleh domain pengirim dan konfigurasi ini diterapkan pada record DNS txt dari domain pengirim.

Cara Konfigurasi SPF:

  1. Akses DNS Domain Console (Cloudflare, AWS Route 53, atau penyedia DNS lainnya).
  2. Tambahkan atau perbarui rekaman SPF di DNS dengan format berikut:
    v=spf1 include:_spf.google.com ~all
    • v=spf1 → Menunjukkan bahwa ini adalah record SPF.
    • include:_spf.google.com → Mengizinkan server Google (Gmail) untuk mengirim email atas nama domain yang kita miliki (tentunya sesuai dengan penyedia email yang digunakan/IP Address yang digunakan sebagai SMTP Sender).
    • ~all → Menandakan bahwa email dari server yang tidak sah akan diberi status soft fail.
  3. Simpan perubahan dengan TTL default atau sesuai kebutuhan dan tunggu propagasi DNS (biasanya butuh waktu beberapa jam).

DomainKeys Identified Mail (DKIM)

Apa itu DKIM?

DomainKeys Identified Mail atau DKIM adalah metode autentikasi email yang memungkinkan domain menandatangani email yang dikirim dari server pengirim, proses ini dilakukan dengan menggunakan kunci publik dan kunci privat, kunci publik disimpan di DNS dan kunci privat disimpan di server pengirim, sehingga setiap email yang dikirim akan ditandatangani oleh server pengirim dan server penerima akan memverifikasi tanda tangan tersebut dengan kunci publik yang ada di DNS.

Cara Konfigurasi DKIM:

  1. Aktifkan DKIM di Penyedia Email yang digunakan (misalnya Gmail, Microsoft 365, Mailgun atau Zimbra).
  2. Dapatkan kunci publik DKIM yang disediakan oleh layanan email yang digunakan.
  3. Tambahkan record TXT di DNS dengan format berikut:
    default._domainkey.example.com TXT "v=DKIM1; k=rsa; p=MIGfMA0..."
    • default._domainkey → Selector yang diberikan oleh penyedia email (sesuaikan dengan konfigurasi penyedia email).
    • v=DKIM1 → Menunjukkan bahwa ini adalah record DKIM.
    • p=MIGfMA0... → Public key yang digunakan untuk verifikasi.
  4. Simpan perubahan dengan TTL default atau sesuai kebutuhan dan tunggu propagasi DNS (biasanya butuh waktu beberapa jam).

Domain-based Message Authentication, Reporting, and Conformance (DMARC)

Apa itu DMARC?

Domain-based Message Authentication, Reporting, and Conformance atau DMARC adalah standar autentikasi email yang memadukan SPF dan DKIM, hal ini terjadi dengan menambahkan record DMARC di DNS, sesuai dengan konfigurasi yang diberikan oleh pemilik domain, umumnya konfigurasi DMARC digunakan untuk menentukan kebijakan tindakan yang akan diambil oleh server penerima jika email gagal autentikasi SPF atau DKIM.

Cara Konfigurasi DMARC:

  1. Tambahkan record TXT di DNS dengan format berikut:
    _dmarc.example.com TXT "v=DMARC1; p=quarantine; rua=mailto:[email protected]; ruf=mailto:[email protected]; pct=100"
    • v=DMARC1 → Menunjukkan bahwa ini adalah record DMARC.
    • p=quarantine → Email yang gagal autentikasi akan dikarantina.
    • rua=mailto:[email protected] → Alamat email untuk menerima laporan DMARC.
    • ruf=mailto:[email protected] → Alamat email untuk laporan kegagalan otentikasi.
    • pct=100 → Berlaku untuk 100% email yang dikirim.
  2. Simpan perubahan dengan TTL default atau sesuai kebutuhan dan tunggu propagasi DNS (biasanya butuh waktu beberapa jam).
Gophish Dashboard
Zimbra SPF DKIM DMARC Flow (Read from Right)

Gambar di atas menjelaskan bagaimana email dikirim dan diverifikasi menggunakan SPF, DKIM, dan DMARC:

  1. Pengiriman Email:
  • Email dikirim dari Sending MTA Server dengan header SPF/DKIM.
  • Server penerima memeriksa DNS untuk validasi SPF & DKIM apakah sesuai dengan konfigurasi yang ada pada DNS Server.
  1. Verifikasi Email:
  • Jika SPF & DKIM valid, email diteruskan ke Receiving Email Server.
  • Jika gagal, kebijakan DMARC yang telah dibuat akan diterapkan.
  1. Penerapan DMARC:
  • Jika email lolos DMARC, email masuk ke Inbox penerima.
  • Jika gagal, tindakan seperti quarantine atau reject diterapkan.
  • Laporan DMARC dikirim kembali ke pengirim untuk analisis keamanan.

Kesimpulan

Dengan menerapkan SPF, DKIM, dan DMARC, kita bisa:

  • Mencegah email spoofing dan phishing
  • Memastikan email yang dikirim akan diterima dengan baik oleh server penerima
  • Melindungi reputasi domain email dari blacklist dan spam

Pastikan untuk mengecek konfigurasi menggunakan tools seperti:

Atau kalian bisa membaca artikel ini untuk memvalidasi konfigurasi SPF, DKIM, dan DMARC yang telah dibuat: Validasi Konfigurasi SPF, DKIM, DMARC.

Dengan konfigurasi yang tepat, keamanan email akan meningkat dan risiko serangan phishing akan berkurang serta reputasi domain email akan terjaga.