Cara Memvalidasi Konfigurasi SPF, DKIM, dan DMARC dengan Mudah

Defensive
Cara Memvalidasi Konfigurasi SPF, DKIM, dan DMARC dengan Mudah

Mengapa Validasi SPF, DKIM, dan DMARC Itu Penting?

Kalau kamu sudah mengatur SPF, DKIM, dan DMARC di DNS, jangan langsung merasa aman dulu. Konfigurasi yang tidak valid bisa membuat email masuk ke folder spam atau bahkan ditolak oleh server penerima. Untuk itu, validasi sangat penting dilakukan agar konfigurasi yang sudah dibuat benar-benar berfungsi.

1. Cek SPF dengan dig

Dig adalah alat yang sangat berguna untuk memeriksa DNS record. Kamu bisa menggunakannya untuk mengecek SPF record dengan cara berikut:

Jika kamu menggunakan terminal atau server, kamu bisa menggunakan perintah dig seperti ini:

dig txt namadomainmu.com

Hasilnya akan menunjukkan record SPF yang aktif. Contohnya:

"v=spf1 include:spf.protection.outlook.com -all"

Pastikan hanya ada satu record SPF. Jika ada lebih dari satu, server penerima bisa menganggapnya sebagai konfigurasi tidak valid.

2. Cek DKIM dengan dig

Untuk DKIM, kamu perlu mengetahui selector yang digunakan. Format umum pencarian DKIM adalah:

dig txt selector._domainkey.namadomainmu.com

Contohnya jika menggunakan selector1, maka:

dig txt selector1._domainkey.namadomainmu.com

Jika konfigurasi benar, kamu akan mendapatkan output panjang yang berisi public key DKIM, umumnya selector berbeda-beda untuk layanan email yang digunakan, berikut adalah contoh jika menggunakan Outlook atau Office 365:

"v=DKIM1; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAsLX1L5ZnRfJM83ZePmzjYz0E3A7M3ATFVHB" "6uXR835Pm4yctv3MDlIK8+QgthlKpHb0kbnmsy+Ahd7UjTifUiEwxMTbMeH52oKDMuBDMWU9JNtE36GAuZ0BhWWVzLHTpDaDwNwbeHW0E54lL+JuR5VTcrPgQhpz/GMm" "mEoY+PuT1yGF1cxzTib66fJdsay4uHYRTCf3kt7dHvRjweJrB4Icqv2o+InrczO6TizowQp0ha3Vn5LnrdbTxDNcPPrsx/fRQdIIjmasj+kRFL/OuplOOWSybqp3A7sj" "PzV2T8xv4d7SRob9HWf1DlS85oHTUTUpuz5OjxyfDLCHE81J5swIDAQAB"

3. Cek DMARC dengan dig

DMARC bisa dicek dengan perintah berikut:

dig txt _dmarc.namadomainmu.com

Contoh hasil yang benar:

"v=DMARC1; p=reject; rua=mailto:[email protected]"

Jika belum yakin, kamu bisa mulai dari p=none untuk tahap pengujian, lalu meningkat ke quarantine atau reject.

4. Cek Propagasi DNS Global dengan WhatsMyDNS.net

WhatsMyDNS
WhatsMyDNS.net untuk Cek Propagasi DNS

Setelah melakukan perubahan, kita juga bisa cek apakah record DNS sudah tersebar ke seluruh dunia menggunakan whatsmydns, hal ini penting untuk memastikan bahwa perubahan yang kita lakukan sudah diterima oleh server DNS di seluruh dunia, sangat umum jika belum semua server DNS di seluruh dunia mendapatkan update terbaru dari perubahan yang kita lakukan, hal ini bisa terjadi karena TTL yang terlalu lama atau ada masalah di server DNS yang kita gunakan.

Langkah-langkahnya:

  1. Masukkan nama domain atau subdomain TXT record (contoh: _dmarc.namadomainmu.com atau konfigurasi SPF dan DKIM kamu)
  2. Pilih tipe record TXT
  3. Klik tombol pencarian

Jika hasilnya konsisten dan muncul di berbagai lokasi, berarti propagasi DNS berjalan dengan baik. Jika tidak, tunggu beberapa saat dan coba lagi, namun jika sudah lebih dari 24 jam dan masih tidak muncul, ada kemungkinan ada kesalahan dalam konfigurasi DNS kamu yang perlu diperbaiki. Umumnya hal ini terjadi karena DNS server yang kamu gunakan tidak reliable atau ada kesalahan konfigurasi di server DNS, untuk hal ini kita bisa cek konfigurasi DNS menggunakan alat lain seperti intoDNS.

Check Health DNS dengan intoDNS

Intodns
Intodns DNS Server Health Check

Untuk pengecekan DNS kita bisa menggunakan intodns.com untuk memastikan konfigurasi DNS kamu sehat dan tidak bermasalah.

Masukkan domain kamu, dan Intodns akan mendapatkan informasi lengkap seperti:

  • NS dan SOA record
  • Apakah email server kamu bisa dijangkau
  • Error umum dalam konfigurasi DNS

Umumnya konfigurasi yang kurang tepat yang sering terjadi adalah:

  • Terdapat Nameserver yang tidak valid atau server tidak bisa dijangkau
  • Server Master dan Slave tidak sinkron dengan benar, hal ini bisa dilihat dari perbedaan serial number pada SOA record

Hal ini pernah saya jumpai dan bisa dibaca di artikel It’s was DNS dan There is no way it’s DNS yang menjelaskan bagaimana kesalahan konfigurasi DNS bisa menyebabkan layanan tidak berjalan dengan baik.

Secara default jika ada kesalahan, intoDNS akan memberikan saran untuk perbaikannya.

Tips Tambahan

  • Gunakan hanya satu SPF record per domain.
  • Hindari kesalahan pengetikan dalam selector DKIM.
  • Gunakan email rua pada DMARC untuk menerima laporan (bisa dibuat khusus, misalnya [email protected]).
  • Selalu tunggu propagasi DNS sekitar 1–24 jam sebelum melakukan validasi ulang.
  • Simpan backup konfigurasi DNS kamu agar mudah rollback jika terjadi kesalahan.

Kesimpulan

Validasi SPF, DKIM, dan DMARC sangat penting untuk memastikan email kamu sampai ke tujuan dan tidak dianggap spam atau spoofing. Dengan bantuan dig, WhatsMyDNS, dan intoDNS, kamu bisa dengan mudah memastikan semuanya terpasang dengan benar.

FAQ

Q: Bagaimana jika saya tidak tahu selector DKIM saya?
A: Cek dokumentasi layanan email yang kamu gunakan setiap layanan mungkin memiliki nama selector yang berbeda. Biasanya mereka menyarankan nama selector default seperti selector1 atau default.

Q: Berapa lama propagasi DNS biasanya?
A: Umumnya antara 1 hingga 24 jam tergantung TTL dan provider DNS.

Q: Apakah saya harus pakai DMARC walaupun sudah ada SPF dan DKIM?
A: Sangat disarankan. DMARC memberikan kebijakan tambahan dan membantu kamu tahu jika domain kamu disalahgunakan.

Semoga panduan ini membantu kamu dalam memvalidasi SPF, DKIM, dan DMARC dengan mudah. Jika ada pertanyaan lebih lanjut, jangan ragu untuk bertanya!