Mematuhi protokol otentikasi DMARC di Amazon SES - Layanan Email Sederhana Amazon
Menyiapkan kebijakan DMARC di domain AndaMenerapkan DMARCMematuhi DMARC melalui SPFMematuhi DMARC melalui DKIM

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mematuhi protokol otentikasi DMARC di Amazon SES

Domain-based Message Authentication, Reporting and Conformance (DMARC) adalah protokol otentikasi email yang menggunakan Sender Policy Framework (SPF) dan DomainKeys Identified Mail (DKIM) untuk mendeteksi spoofing email dan phishing. Untuk mematuhi DMARC, pesan harus diautentikasi melalui SPF atau DKIM, tetapi idealnya, ketika keduanya digunakan dengan DMARC, Anda akan memastikan tingkat perlindungan tertinggi yang mungkin untuk pengiriman email Anda.

Mari kita tinjau secara singkat mana yang masing-masing lakukan dan bagaimana DMARC mengikat mereka semua:

  • SPF - Mengidentifikasi server email mana yang diizinkan untuk mengirim email atas nama domain MAIL FROM kustom Anda melalui catatan DNS TXT yang digunakan oleh DNS. Sistem surat penerima merujuk ke data SPF TXT untuk menentukan apakah pesan dari domain kustom Anda berasal dari server pesan resmi. Pada dasarnya, SPF dirancang untuk membantu mencegah spoofing, tetapi ada teknik spoofing yang rentan terhadap SPF dalam praktiknya dan inilah mengapa Anda juga perlu menggunakan DKIM bersama dengan DMARC.

  • DKIM - Menambahkan tanda tangan digital ke pesan keluar Anda di header email. Sistem email penerima dapat menggunakan tanda tangan digital ini untuk membantu memverifikasi apakah email masuk ditandatangani oleh kunci yang dimiliki oleh domain. Namun, ketika sistem email penerima meneruskan pesan, amplop pesan diubah dengan cara yang membatalkan otentikasi SPF. Karena tanda tangan digital tetap dengan pesan email karena merupakan bagian dari header email, DKIM berfungsi bahkan ketika pesan telah diteruskan antara server email (selama konten pesan belum diubah).

  • DMARC — Memastikan bahwa ada penyelarasan domain dengan setidaknya satu SPF dan DKIM. Menggunakan SPF dan DKIM saja tidak melakukan apa pun untuk memastikan bahwa alamat Dari diautentikasi (ini adalah alamat email yang dilihat penerima Anda di klien email mereka). SPF hanya memeriksa domain yang ditentukan dalam alamat MAIL FROM (tidak terlihat oleh penerima Anda). DKIM hanya memeriksa domain yang ditentukan dalam tanda tangan DKIM (juga, tidak terlihat oleh penerima Anda). DMARC mengatasi dua masalah ini dengan mewajibkan penyelarasan domain agar benar pada SPF atau DKIM:

    • Agar SPF meneruskan penyelarasan DMARC, domain di alamat Dari harus cocok dengan domain di alamat MAIL FROM (juga disebut sebagai alamat Return-Path dan Envelope-from). Ini jarang dimungkinkan dengan surat yang diteruskan karena akan dilucuti atau ketika mengirim email melalui penyedia email massal pihak ketiga karena Jalur Kembali (MAIL DARI) digunakan untuk pantulan dan keluhan yang dilacak oleh penyedia (SES) menggunakan alamat yang mereka miliki.

    • Agar DKIM dapat melewati perataan DMARC, domain yang ditentukan dalam tanda tangan DKIM harus cocok dengan domain di alamat Dari. Jika Anda menggunakan pengirim atau layanan pihak ketiga yang mengirim email atas nama Anda, hal ini dapat dilakukan dengan memastikan pengirim pihak ketiga dikonfigurasi dengan benar untuk penandatanganan DKIM dan Anda telah menambahkan catatan DNS yang sesuai dalam domain Anda. Menerima server email kemudian akan dapat memverifikasi email yang dikirim kepada mereka oleh pihak ketiga Anda seolah-olah itu adalah email yang dikirim oleh seseorang yang berwenang untuk menggunakan alamat dalam domain.

Menyatukan semuanya dengan DMARC

Pemeriksaan penyelarasan DMARC yang kami bahas di atas menunjukkan bagaimana SPF, DKIM, dan DMARC semua bekerja sama untuk meningkatkan kepercayaan domain Anda dan pengiriman email Anda ke kotak masuk. DMARC menyelesaikan ini dengan memastikan bahwa alamat Dari, dilihat oleh penerima, diautentikasi oleh SPF atau DKIM:

  • Sebuah pesan melewati DMARC jika salah satu atau kedua pemeriksaan SPF atau DKIM yang dijelaskan lolos.

  • Pesan gagal DMARC jika kedua pemeriksaan SPF atau DKIM yang dijelaskan gagal.

Oleh karena itu, baik SPF maupun DKIM diperlukan agar DMARC memiliki peluang terbaik dalam mencapai otentikasi untuk email yang Anda kirim, dan dengan memanfaatkan ketiganya, Anda akan membantu memastikan Anda memiliki domain pengiriman yang sepenuhnya dilindungi.

DMARC juga memungkinkan Anda untuk menginstruksikan server email bagaimana menangani email ketika mereka gagal otentikasi DMARC melalui kebijakan yang Anda tetapkan. Ini akan dijelaskan di bagian berikut,Menyiapkan kebijakan DMARC di domain Anda, yang berisi informasi tentang cara mengkonfigurasi domain SES Anda sehingga email yang Anda kirim mematuhi protokol otentikasi DMARC melalui SPF dan DKIM.

Menyiapkan kebijakan DMARC di domain Anda

Untuk menyiapkan DMARC, Anda harus mengubah pengaturan DNS untuk domain Anda. Pengaturan DNS untuk domain Anda harus menyertakan catatan TXT yang menentukan pengaturan DMARC domain. Prosedur untuk menambahkan catatan TXT ke konfigurasi DNS Anda bergantung pada penyedia DNS atau hosting yang Anda gunakan. Jika Anda menggunakan Route 53, lihat Bekerja dengan Catatan di Panduan Developer Amazon Route 53. Jika Anda menggunakan penyedia lain, lihat dokumentasi konfigurasi DNS untuk penyedia Anda.

Nama catatan TXT yang Anda buat seharusnya _dmarc.example.com, dengan example.com adalah domain Anda. Nilai catatan TXT berisi kebijakan DMARC yang berlaku untuk domain Anda. Berikut ini adalah contoh catatan TXT yang berisi kebijakan DMARC:

Nama Tipe Nilai
_dmarc.example.com TXT "v=DMARC1;p=quarantine;rua=mailto:my_dmarc_report@example.com"

Dalam contoh kebijakan DMARC sebelumnya, kebijakan ini memberi tahu penyedia email untuk melakukan hal berikut:

  • Untuk setiap pesan yang gagal otentikasi, kirim ke folder Spam seperti yang ditentukan oleh parameter kebijakan,p=quarantine. Pilihan lain termasuk tidak melakukan apa-apa dengan menggunakanp=none, atau menolak pesan langsung dengan menggunakan. p=reject

    • Bagian selanjutnya membahas bagaimana dan kapan menggunakan ketiga pengaturan kebijakan ini — menggunakan yang salah pada waktu yang salah dapat menyebabkan email Anda tidak terkirim, lihatPraktik terbaik untuk menerapkan DMARC.

  • Kirim laporan tentang semua email yang gagal otentikasi dalam intisari (yaitu, laporan yang mengumpulkan data untuk jangka waktu tertentu, daripada mengirim laporan individual untuk setiap peristiwa) sebagaimana ditentukan oleh parameter pelaporan, rua=mailto:my_dmarc_report@example.com (rua singkatan dari URI Pelaporan untuk laporan Agregat). Penyedia email biasanya mengirimkan laporan gabungan ini satu kali per hari, meskipun kebijakan ini berbeda antara satu penyedia dengan penyedia lainnya.

Untuk mempelajari selengkapnya tentang mengonfigurasi DMARC untuk domain Anda, lihat Gambaran Umum di situs web DMARC.

Untuk spesifikasi lengkap sistem DMARC, lihat Internet Engineering Task Force (IETF) DMARC Draft.

Praktik terbaik untuk menerapkan DMARC

Yang terbaik adalah menerapkan penegakan kebijakan DMARC Anda secara bertahap dan bertahap sehingga tidak mengganggu sisa alur email Anda. Buat dan implementasikan rencana peluncuran yang mengikuti langkah-langkah ini. Lakukan setiap langkah ini terlebih dahulu dengan masing-masing sub-domain Anda, dan terakhir dengan domain tingkat atas di organisasi Anda sebelum melanjutkan ke langkah berikutnya.

  1. Memantau dampak penerapan DMARC (p=none).

    • Mulailah dengan catatan mode pemantauan sederhana untuk sub-domain atau domain yang meminta organisasi penerima email mengirimi Anda statistik tentang pesan yang mereka lihat menggunakan domain tersebut. Rekaman mode pemantauan adalah catatan DMARC TXT yang kebijakannya ditetapkan ke none. p=none

    • Laporan yang dihasilkan melalui DMARC akan memberikan nomor dan sumber pesan yang lulus pemeriksaan ini, dibandingkan yang tidak. Anda dapat dengan mudah melihat berapa banyak lalu lintas sah Anda atau tidak tercakup oleh mereka. Anda akan melihat tanda-tanda penerusan, karena pesan yang diteruskan akan gagal SPF dan DKIM jika konten diubah. Anda juga akan mulai melihat berapa banyak pesan penipuan yang dikirim, dan dari mana mereka dikirim.

    • Tujuan dari langkah ini adalah untuk mempelajari email apa yang akan terpengaruh ketika Anda menerapkan salah satu dari dua langkah berikutnya, dan agar pengirim pihak ketiga atau pengirim resmi mendapatkan kebijakan SPF atau DKIM mereka ke dalam keselarasan.

    • Terbaik untuk domain yang ada.

  2. Minta agar sistem surat eksternal mengkarantina surat yang gagal DMARC (p=karantina).

    • Ketika Anda yakin bahwa semua atau sebagian besar lalu lintas sah Anda mengirimkan domain yang selaras dengan SPF atau DKIM, dan Anda memahami dampak penerapan DMARC, Anda dapat menerapkan kebijakan karantina. Kebijakan karantina adalah catatan DMARC TXT yang memiliki kebijakan yang ditetapkan untuk karantina. p=quarantine Dengan melakukan ini, Anda meminta penerima DMARC untuk memasukkan pesan dari domain Anda yang gagal DMARC ke dalam folder spam yang setara dengan folder spam, bukan kotak masuk pelanggan Anda.

    • Terbaik untuk mentransisikan domain yang telah menganalisis laporan DMARC selama Langkah 1.

  3. Meminta agar sistem surat eksternal tidak menerima pesan yang gagal DMARC (p=reject).

    • Menerapkan kebijakan penolakan biasanya merupakan langkah terakhir. Kebijakan penolakan adalah catatan DMARC TXT yang memiliki kebijakan yang ditetapkan untuk ditolak. p=reject Ketika Anda melakukan ini, Anda meminta penerima DMARC untuk tidak menerima pesan yang gagal dalam pemeriksaan DMARC — ini berarti mereka bahkan tidak akan dikarantina ke folder spam atau sampah, tetapi akan langsung ditolak.

    • Saat menggunakan kebijakan penolakan, Anda akan tahu persis pesan mana yang gagal dalam kebijakan DMARC karena penolakan akan menghasilkan pantulan SMTP. Dengan karantina, data agregat memberikan informasi tentang persentase email yang lewat atau kegagalan pemeriksaan SPF, DKIM, dan DMARC.

    • Terbaik untuk domain baru atau domain yang sudah ada yang telah melalui dua langkah sebelumnya.

Mematuhi DMARC melalui SPF

Agar email dapat mematuhi DMARC berdasarkan SPF, kedua persyaratan berikut harus dipenuhi:

  • Pesan harus melewati pemeriksaan SPF berdasarkan memiliki catatan SPF (tipe TXT) yang valid yang harus dipublikasikan ke konfigurasi DNS domain MAIL FROM kustom Anda.

  • Domain di alamat Dari header email harus sejajar (cocok) dengan domain, atau subdomain dari, yang ditentukan dalam alamat MAIL FROM. Untuk mencapai penyelarasan SPF dengan SES, kebijakan DMARC domain tidak boleh menentukan kebijakan SPF yang ketat (aspf=s).

Untuk memenuhi persyaratan ini, selesaikan langkah berikut:

  • Siapkan domain MAIL FROM kustom dengan menyelesaikan prosedur di Menggunakan domain MAIL FROM kustom.

  • Pastikan domain pengiriman Anda menggunakan kebijakan yang longgar untuk SPF. Jika Anda belum mengubah penyelarasan kebijakan domain Anda, ia menggunakan kebijakan santai secara default seperti halnya SES.

    catatan

    Anda dapat menentukan penyelarasan DMARC domain Anda untuk SPF dengan mengetikkan perintah berikut di baris perintah, mengganti example.com dengan domain Anda:

    dig -type=TXT _dmarc.example.com

    Di output perintah ini, di bawah Jawaban nonotoritatif, cari catatan yang diawali dengan v=DMARC1. Jika catatan ini termasuk string aspf=r, atau jika string aspf tidak ada sama sekali, maka domain Anda menggunakan keselarasan yang longgar untuk SPF. Jika catatan termasuk string aspf=s, maka domain Anda menggunakan keselarasan ketat untuk SPF. Administrator sistem Anda harus menghapus tanda ini dari catatan DMARC TXT di konfigurasi DNS domain Anda.

    Atau, Anda dapat menggunakan alat pencarian DMARC berbasis web, seperti DMARC Inspector dari situs web dmarcian atau alat DMARC Check Tool dari situs web, untuk menentukan penyelarasan kebijakan domain Anda untuk SPF. MxToolBox

Mematuhi DMARC melalui DKIM

Agar email dapat mematuhi DMARC berdasarkan DKIM, kedua persyaratan berikut harus dipenuhi:

  • Pesan harus memiliki tanda tangan DKIM yang valid dan lolos cek DKIM.

  • Domain yang ditentukan dalam tanda tangan DKIM harus sejajar (cocok) dengan domain di alamat Dari. Jika kebijakan DMARC domain menentukan keselarasan ketat untuk DKIM, domain ini harus sama persis (SES menggunakan kebijakan DKIM yang ketat secara default).

Untuk memenuhi persyaratan ini, selesaikan langkah berikut:

  • Siapkan Easy DKIM dengan menyelesaikan prosedur di Easy DKIM di Amazon SES. Saat Anda menggunakan Easy DKIM, Amazon SES akan secara otomatis menandatangani email Anda.

    catatan

    Daripada menggunakan Easy DKIM, Anda juga dapat menandatangani pesan Anda secara manual. Namun, berhati-hatilah jika Anda memilih untuk melakukannya, karena Amazon SES tidak memvalidasi tanda tangan DKIM yang Anda bangun. Untuk alasan ini, kami sangat merekomendasikan penggunaan Easy DKIM.

  • Pastikan domain yang ditentukan dalam tanda tangan DKIM disejajarkan dengan domain di alamat Dari. Atau, jika mengirim dari subdomain domain di alamat Dari, pastikan bahwa kebijakan DMARC Anda disetel ke penyelarasan santai.

    catatan

    Anda dapat menentukan penyelarasan DMARC domain Anda untuk DKIM dengan mengetikkan perintah berikut di baris perintah, mengganti example.com dengan domain Anda:

    dig -type=TXT _dmarc.example.com

    Di output perintah ini, di bawah Jawaban nonotoritatif, cari catatan yang diawali dengan v=DMARC1. Jika catatan ini termasuk string adkim=r, atau jika string adkim tidak ada sama sekali, maka domain Anda menggunakan keselarasan yang longgar untuk DKIM. Jika catatan termasuk string adkim=s, maka domain Anda menggunakan keselarasan ketat untuk DKIM. Administrator sistem Anda harus menghapus tanda ini dari catatan DMARC TXT di konfigurasi DNS domain Anda.

    Atau, Anda dapat menggunakan alat pencarian DMARC berbasis web, seperti DMARC Inspector dari situs web dmarcian atau alat DMARC Check Tool dari situs web, untuk menentukan penyelarasan kebijakan domain Anda untuk DKIM. MxToolBox