Defaults.Exposed › Perbaikan › DKIM

Cara memperbaiki DKIM

DKIM adalah segel anti-pemalsuan tak terlihat pada setiap email yang dikirim bisnis Anda. Segel ini memungkinkan penyedia email penerima mengonfirmasi bahwa email benar-benar berasal dari Anda dan tiba dalam kondisi tidak diubah. Tanpanya, email Anda lebih mudah dipalsukan, lebih mudah dimanipulasi saat transit, dan jauh lebih mungkin berakhir di spam atau ditolak sepenuhnya.

Intinya bagi bisnis Anda: Tanpa DKIM, email yang Anda kirim bisa dimanipulasi saat transit, lebih mudah ditiru kriminal, dan lebih mungkin disaring ke spam atau ditolak — secara diam-diam menggerus transaksi, pembayaran, dan kepercayaan yang tidak pernah Anda sadari hilang.

Kerugian yang dapat ditimbulkan

• Tagihan yang Anda kirim lewat email dicegat dan detail rekening bank diubah sebelum sampai ke pelanggan. Email itu masih tampak berasal dari Anda, pelanggan membayar ke rekening kriminal, dan ketika masalah terungkap Andalah yang disalahkan.
• Penawaran, kontrak, dan tagihan asli Anda terus masuk ke folder spam pelanggan. Anda mengira klien pergi begitu saja atau memilih orang lain — padahal mereka memang tidak pernah melihat email Anda.
• Tim keamanan atau pengadaan klien besar melakukan pemeriksaan cepat pada domain Anda sebelum menandatangani, melihat tidak ada DKIM, lalu menunda kesepakatan berminggu-minggu atau diam-diam memilih pemasok lain yang emailnya lolos pemeriksaan keamanan.
• Kriminal mengirim email palsu yang meyakinkan 'dari perusahaan Anda' ke pelanggan Anda. Karena tidak ada yang membuktikan email mana yang benar-benar milik Anda, yang palsu sama meyakinkannya dengan yang asli — dan nama Anda yang menanggung kerusakan ketika orang tertipu.
• Penyedia email besar dan bank semakin menganggap email tanpa tanda tangan sebagai mencurigakan. Seiring waktu semakin banyak email bisnis sehari-hari Anda yang dithrottle, dibuang, atau dipantulkan, dan jangkauan Anda perlahan berhenti bekerja.

Mengapa ini penting. Email tidak pernah dirancang untuk membuktikan siapa yang mengirimnya, dan memalsukan pengirim sangat mudah. DKIM menambahkan tanda tangan kriptografis yang diperiksa penyedia penerima secara otomatis — mengonfirmasi bahwa pesan benar-benar dari domain Anda dan tidak diubah dalam perjalanan. Ini adalah salah satu dari tiga hal yang dicari setiap penyedia email modern, langsung mempengaruhi apakah email Anda dipercaya atau dibuang, dan perbaikannya gratis.

Apa ini, dalam bahasa sederhana

Setiap email yang dikirim bisnis Anda melewati beberapa tangan sebelum sampai ke kotak masuk. Dengan sendirinya, email tidak membawa bukti siapa yang benar-benar mengirimnya atau apakah ada yang mengubahnya di sepanjang jalan — baris “from” hanyalah teks yang bisa diketik siapa pun.

DKIM memperbaiki itu. DKIM menempatkan segel anti-pemalsuan tak terlihat pada setiap pesan yang dikirim bisnis Anda. Ketika email tiba, penyedia email penerima memeriksa segel itu terhadap kunci yang Anda terbitkan di domain Anda. Jika cocok, penyedia mengetahui dua hal dengan pasti: email benar-benar berasal dari domain Anda, dan tidak satu karakter pun yang diubah saat transit. Jika tidak cocok — karena pesan dipalsukan atau diubah — segel gagal, dan penyedia memperlakukan email dengan kecurigaan.

Anda tidak mengelola ini secara manual. Setelah diaktifkan, penandatanganan dan pemeriksaan terjadi secara otomatis di setiap email, selamanya. Seluruh tujuan DKIM adalah membuat email asli Anda terbukti asli — sehingga dipercaya, dan sehingga yang palsu mudah terdeteksi.

Dampak finansial yang perlu diketahui

Ini bukan hal abstrak. Berikut adalah tampilan DKIM yang hilang atau lemah dalam praktik untuk bisnis kecil dan menengah.

• Tagihan yang diubah. Anda mengirim tagihan ke pelanggan melalui email. Di suatu tempat antara server Anda dan server mereka, penyerang mencegatnya dan menukar detail rekening bank Anda dengan milik mereka sendiri. Email itu masih tampak berasal dari Anda, pelanggan membayar — ke rekening kriminal. Tanpa DKIM, tidak ada yang menandai bahwa pesan telah dimanipulasi. Dengan DKIM, perubahan diam-diam itu memutuskan segel dan tertangkap.
• Transaksi yang mati di spam. Penawaran, proposal, dan tindak lanjut Anda terus tergelincir ke folder sampah pelanggan. Anda tidak pernah mendapat balasan dan mengasumsikan mereka tidak tertarik. Faktanya, email yang tidak ditandatangani adalah sinyal spam yang kuat — email bisnis asli Anda sederhana tidak terlihat.
• Kontrak yang gagal. Tim pengadaan atau keamanan klien besar memverifikasi domain Anda sebelum mereka akan menandatangani. Mereka melihat tidak ada DKIM dan menganggapnya sebagai tanda bahaya — menunda kesepakatan berminggu-minggu sementara Anda memperbaikinya, atau diam-diam memilih pemasok yang keamanan emailnya lolos pemeriksaan.
• Nama Anda digunakan melawan pelanggan Anda sendiri. Penipu mengirim email palsu yang meyakinkan “dari perusahaan Anda” ke basis pelanggan Anda. Karena tidak ada yang membuktikan pesan mana yang benar-benar milik Anda, yang palsu terlihat sesah yang asli — dan reputasi Anda yang rusak ketika orang tertipu.
• Perlambatan bertahap email Anda. Bank, penyedia email besar, dan filter perusahaan semakin tidak mempercayai email tanpa tanda tangan. Efeknya merayap seiring waktu: lebih banyak throttling, lebih banyak dibuang, lebih banyak dipantulkan — hingga jangkauan sehari-hari Anda perlahan berhenti berhasil.

Penjelasan teknis

DKIM adalah singkatan dari DomainKeys Identified Mail. Berikut cara segel bekerja, tanpa jargon:

• Anda menerbitkan kunci publik di domain Anda (dalam pengaturan DNS Anda). Siapa pun bisa membacanya — itulah tujuannya.
• Penyedia email Anda menyimpan kunci privat yang cocok dan menggunakannya untuk menandatangani setiap email yang Anda kirim, menambahkan header tersembunyi.
• Ketika email tiba, penyedia penerima mengambil kunci publik Anda, memeriksa tanda tangan terhadap pesan, dan mengonfirmasi bahwa itu asli dan tidak diubah.

Beberapa istilah yang mungkin Anda dengar dari orang IT Anda:

• Selector — label yang menunjuk ke satu kunci spesifik, mis. selector1._domainkey.yourdomain. Memungkinkan Anda menjalankan dan merotasi beberapa kunci dengan bersih. Penyedia Anda yang mengaturnya.
• Kekuatan kunci — kunci DKIM hadir dalam berbagai ukuran. Dasar modern adalah RSA 2048-bit; kunci RSA 4096-bit atau Ed25519 bahkan lebih kuat. Kunci 1024-bit yang lebih lama masih berfungsi tapi dianggap lemah berdasarkan standar saat ini (NIST SP 800-131A / RFC 8301).

Seperti apa “baik” itu: kunci DKIM yang valid diterbitkan di selector untuk domain Anda, email keluar Anda ditandatangani dengannya, dan kuncinya 2048-bit atau lebih kuat. Itulah lulus penuh.

Catatan tentang cara ini dinilai. Pemeriksaan ini mencari kunci DKIM yang asli dan terbentuk dengan baik yang diterbitkan di selector yang umum digunakan penyedia email. Kunci yang diterbitkan valid adalah sinyal positif — pemindai pihak ketiga tidak bisa memutarkan ulang tanda tangan langsung Anda, jadi kehadiran kunci yang benar adalah yang diukur. Tidak ada kunci yang ditemukan gagal pemeriksaan (ini adalah kesenjangan tingkat tinggi). Kunci yang valid tapi lemah (RSA 1024-bit) mendapat sekitar setengah nilai — ini berfungsi tapi harus diupgrade. Kunci kuat (RSA 2048-bit atau lebih baik, atau Ed25519) mendapat nilai penuh.

Cara memperbaikinya (gratis, ~15 menit)

Bagian ini untuk siapa pun yang mengelola email atau domain Anda — jika bukan Anda, berikan bagian ini kepada mereka. Perbaikannya gratis. Kami hanya mengenakan biaya untuk memantau agar perlindungan Anda tetap sehat dari waktu ke waktu, bukan untuk mengaturnya.

Bentuk umumnya sama di mana pun: aktifkan DKIM di penyedia email Anda, ambil kunci yang dihasilkannya, terbitkan di DNS Anda, lalu konfirmasi sudah aktif. Langkah persisnya bergantung pada siapa yang menjalankan email Anda — berikut yang umum.

Google Workspace (Gmail)

1. Admin Console → Apps → Google Workspace → Gmail → Authenticate email.
2. Pilih domain Anda dan klik Generate new record (pilih panjang kunci 2048-bit).
3. Google memberi Anda DNS record. Tambahkan di host DNS Anda sebagai record TXT, host google._domainkey.yourdomain, dengan nilai yang diberikan Google.
4. Tunggu propagasi (menit hingga beberapa jam), lalu kembali ke layar yang sama dan klik Start authentication.

Microsoft 365 (Outlook / Exchange Online)

1. Buka portal Microsoft Defender → Email & collaboration → Policies & rules → Threat policies → Email authentication settings → DKIM.
2. Pilih domain Anda. Microsoft menampilkan dua CNAME record untuk diterbitkan (selector1 dan selector2).
3. Tambahkan kedua record CNAME di host DNS Anda persis seperti yang ditampilkan.
4. Kembali ke layar DKIM, alihkan penandatanganan DKIM ke Enabled untuk domain.

Zoho Mail

1. Control Panel → Email Authentication → DKIM.
2. Buat kunci (gunakan selector seperti zoho), lalu tambahkan record TXT yang disediakan di zoho._domainkey.yourdomain di DNS Anda.
3. Verifikasi di panel Zoho setelah record sudah aktif.

Penyedia lain / server email sendiri Polanya identik: penyedia (atau perangkat lunak email Anda) menghasilkan pasangan kunci, menandatangani email keluar dengan kunci privat, dan memberi Anda record publik untuk diterbitkan. Biasanya terlihat seperti:

Host:  selector1._domainkey.yourdomain
Type:  TXT (atau CNAME, tergantung penyedia)
Value: (string kunci panjang yang diberikan penyedia Anda)

Di mana DNS record ditambahkan: di pengaturan DNS domain Anda — biasanya di registrar domain atau host DNS Anda (mis. Cloudflare, GoDaddy, panel kontrol hosting Anda). Jika penyedia email Anda memberikan CNAME, itu menunjuk ke record yang mereka host, sehingga Anda tidak pernah melihat kunci mentahnya — itu normal dan tidak masalah.

Konfirmasi berfungsi: kirim email uji ke akun Gmail, buka, pilih Show original, dan periksa bahwa DKIM: PASS muncul. Kemudian periksa ulang domain Anda di sini untuk mengonfirmasi kunci masuk sebagai 2048-bit atau lebih kuat, bukan 1024-bit yang lemah.

Kesalahan umum

• Mengasumsikan penyedia besar sudah mengaktifkannya secara default. Banyak domain di Google atau Microsoft masih perlu DKIM diaktifkan dan record diterbitkan. “Kami menggunakan Microsoft 365” tidak sama dengan “DKIM sudah diaktifkan.”
• Menghasilkan kunci 1024-bit yang lemah. Beberapa penyedia masih default ke atau menawarkan 1024-bit. Pilih 2048-bit saat diberi opsi — kunci lemah hanya mendapat setengah nilai dan ditandai oleh penerima yang lebih ketat.
• Menerbitkan record tapi tidak mengaktifkan penandatanganan. Menambahkan DNS record hanya setengah pekerjaan. Jika Anda tidak mengaktifkan penandatanganan di penyedia (toggle akhir), email Anda masih keluar tanpa tanda tangan.
• Salah ketik atau memotong kunci. Kunci DKIM panjang. Copy-paste yang menghilangkan karakter atau memecah nilai dengan salah menghasilkan segel rusak yang gagal di setiap email. Tempel nilainya persis seperti yang diberikan.
• Melupakan pengirim lain Anda. Jika Anda mengirim email melalui alat newsletter, CRM, aplikasi faktur, atau platform e-commerce, masing-masing mungkin membutuhkan kunci DKIM dan selector sendiri. Tandatangani email dari semua layanan yang mengirim atas nama Anda, bukan hanya kotak masuk Anda.

Catatan tentang DKIM, SPF, dan DMARC

DKIM jarang bekerja sendiri. Ini adalah salah satu dari tiga pengaturan yang bersama-sama membuat email Anda dapat dipercaya:

• SPF menentukan server mana yang diizinkan mengirim email untuk domain Anda.
• DKIM (halaman ini) adalah segel anti-pemalsuan yang membuktikan pesan benar-benar milik Anda dan tidak diubah.
• DMARC adalah instruksi yang memberi tahu penyedia apa yang harus dilakukan dengan apa pun yang gagal — dan ini bergantung pada DKIM dan SPF untuk membuat keputusan itu.

Jika Anda memperbaiki DKIM, ada baiknya memeriksa SPF dan DMARC pada saat yang sama. Bersama-sama mereka adalah yang menghentikan bisnis Anda dari ditiru dan yang menjaga email asli Anda mendarat di tempat yang seharusnya.

Atur di host Anda

Langkah demi langkah untuk penyedia populer:

• Atur DKIM di GoDaddy
• Atur DKIM di Namecheap
• Atur DKIM di Cloudflare
• Atur DKIM di Google Workspace
• Atur DKIM di Microsoft 365
• Atur DKIM di Squarespace
• Atur DKIM di Wix
• Atur DKIM di AWS Route 53
• Atur DKIM di Hostinger
• Atur DKIM di Porkbun
• Atur DKIM di IONOS
• Atur DKIM di Bluehost

FAQ