Panduan Lengkap DMARC, DKIM, SPF, dan ARC untuk Keamanan Email

Dalam era digital saat ini, email menjadi salah satu media komunikasi utama bagi bisnis dan individu. Namun, meningkatnya ancaman email spoofing dan phishing menuntut penerapan mekanisme autentikasi email yang kuat. Protokol SPF, DKIM, DMARC, dan ARC bekerja sebagai pelindung berlapis untuk memastikan pesan benar-benar berasal dari pengirim yang sah dan tidak diubah selama pengiriman.

Email spoofing terjadi saat pelaku jahat memalsukan alamat pengirim untuk menipu penerima. Sedangkan phishing memanfaatkan tautan atau lampiran berbahaya untuk mencuri data sensitif. Tanpa autentikasi yang memadai, serangan semacam ini mudah lolos dan merusak reputasi domain.

Table of Contents

Manfaat Autentikasi dalam Meningkatkan Deliverability

Penerapan SPF, DKIM, DMARC, dan ARC membawa manfaat signifikan:

Meningkatkan reputasi domain di mata ISP dan mailbox provider
Mengurangi risiko email masuk folder spam
Mencegah penipuan dan bertahan terhadap forwarding melalui mailing list
Memberi laporan dan insight lengkap tentang kegagalan autentikasi

Berdasarkan riset, lebih dari 91% penyedia layanan email telah mendukung DMARC, menjadikannya standar de facto untuk proteksi dan pelaporan autentikasi email.

SPF (Sender Policy Framework): Mencegah Email Spoofing

SPF adalah standar autentikasi yang mengizinkan pemilik domain menentukan server mana saja yang berhak mengirim email atas nama domain itu. Ketika email diterima, penyedia mailbox akan melakukan pencocokan alamat pengirim dengan record SPF di DNS.

Proses SPF dimulai dari pemeriksaan header MAIL FROM, kemudian lookup DNS record tipe TXT. Contoh record SPF:

v=spf1 mx include:mail.domain.com -all

1	v=spf1 mx include:mail.domain.com -all

v=spf1: Versi protokol.
mx: Mengizinkan server yang tercantum pada record MX.
include:mail.domain.com: Mengizinkan juga server milik domain lain.
-all: Menolak server di luar yang diizinkan.

Untuk memasang SPF, tambahkan record TXT di panel DNS domain. Beberapa tips implementasi:

Hindari lebih dari satu record SPF, gabungkan mekanisme jika perlu.
Perhatikan batas 10 lookup DNS untuk include/mx/ptr.
Gunakan ~all (softfail) saat testing sebelum beralih ke -all (fail).
Uji konfigurasi dengan tools online seperti MXToolbox atau Kitterman.

DKIM (DomainKeys Identified Mail): Mengamankan Integritas Email

DKIM menggunakan kriptografi kunci publik untuk menandatangani header dan isi email di sisi pengirim. Penerima kemudian memverifikasi tanda tangan menggunakan kunci publik yang disimpan di DNS, sehingga integritas pesan terjaga.

Record DKIM berupa TXT pada subdomain selector._domainkey.domain.com. Contoh:

selector1._domainkey IN TXT "v=DKIM1; k=rsa; p=MIGfMA0G...AB"

1	selector1._domainkey IN TXT "v=DKIM1; k=rsa; p=MIGfMA0G...AB"

v=DKIM1: Versi protokol.
k=rsa: Algoritma kunci.
p=...: Kunci publik RSA (base64).

Implementasi DKIM mencakup beberapa langkah:

Buat pasangan kunci publik-privat (minimal 1024 bit, direkomendasikan 2048 bit).
Publikasikan kunci publik di DNS sebagai record TXT.
Konfigurasi mail server (Postfix, Exim, Exchange) dengan kunci privat untuk menandatangani setiap email.
Rotasi selector secara berkala (misalnya setiap 6 bulan) untuk mencegah key compromise.
Verifikasi penggunaan tanda tangan dengan tools seperti DKIMValidator.

Tips troubleshooting: pastikan DNS telah terpropagasi, periksa panjang kunci maksimum, dan hindari pemformatan ganda pada record TXT.

DMARC dan ARC: Kebijakan dan Pemulihan Keaslian

DMARC (Domain-based Message Authentication, Reporting & Conformance) adalah lapisan kebijakan yang menyatukan hasil SPF dan DKIM. DMARC memungkinkan pemilik domain menentukan tindakan terhadap email yang gagal autentikasi dan menerima laporan terperinci dari mailbox provider.

Record DMARC ditambahkan di _dmarc.domain.com sebagai TXT. Contoh konfigurasi:

v=DMARC1; p=quarantine; sp=reject; rua=mailto:rua@domain.com; ruf=mailto:ruf@domain.com; adkim=s; aspf=r; pct=100

1	v=DMARC1; p=quarantine; sp=reject; rua=mailto:rua@domain.com; ruf=mailto:ruf@domain.com; adkim=s; aspf=r; pct=100

p: Kebijakan utama (none, quarantine, reject).
sp: Kebijakan untuk subdomain (opsional).
rua: Alamat email laporan agregat.
ruf: Alamat email laporan forensik.
adkim / aspf: Alignment mode strict (s) atau relaxed (r).
pct: Persentase email yang diperlakukan sesuai kebijakan.

Apa Itu ARC dan Perbedaannya dengan DMARC

ARC (Authenticated Received Chain) dirancang untuk mempertahankan hasil autentikasi ketika email diteruskan melalui layanan pihak ketiga seperti mailing list, forwarder, atau gateway. Tanpa ARC, email yang valid bisa gagal DMARC setelah forwarding.

Proses ARC melibatkan tiga header utama:

ARC-Seal: Tanda tangan kriptografi terhadap set ARC-Authentication-Results.
ARC-Message-Signature: Mirip DKIM untuk pesan yang diteruskan.
ARC-Authentication-Results: Menyimpan hasil autentikasi SPF, DKIM, dan DMARC dari perantara.

Dengan menggabungkan SPF, DKIM, DMARC, dan ARC, Anda membangun sistem autentikasi email yang komprehensif. Setiap lapisan saling melengkapi untuk mengurangi risiko penipuan, memastikan deliverability tinggi, dan menjaga reputasi domain di mata penyedia layanan email.