Defaults.Exposed › Perbaikan › DMARC (Perlindungan Pemalsuan Email)

Cara memperbaiki DMARC (Perlindungan Pemalsuan Email)

DMARC adalah satu pengaturan yang sebenarnya memberi tahu penyedia email di seluruh dunia untuk MEMBLOKIR email yang memalsukan nama bisnis Anda. SPF dan DKIM memeriksa kunci; DMARC memutuskan apa yang terjadi ketika pemalsuan gagal pemeriksaan — buang, tandai, atau biarkan lewat. Diatur salah, domain Anda sepenuhnya bisa dipalsukan; diatur benar, peniruan berhenti di kotak masuk.

Intinya bagi bisnis Anda: Tanpa penegakan DMARC, kriminal bisa mengirim email yang terlihat persis seperti berasal dari bisnis Anda — ke pelanggan, staf, dan pemasok Anda — dan mendarat di kotak masuk mereka, bukan spam. Orang ditipu atas nama Anda, dan mereka menyalahkan Anda.

Kerugian yang dapat ditimbulkan

• Penipu mengirim email pelanggan Anda dengan faktur yang terlihat nyata 'dari tim akun Anda' dengan detail bank mereka sendiri. Pelanggan membayarnya. Anda mengetahuinya berminggu-minggu kemudian ketika mereka mengejar barang yang sudah mereka bayar — dan mereka memegang Anda bertanggung jawab.
• Email 'pembayaran mendesak' palsu pergi ke orang keuangan Anda sendiri, tampak berasal dari Anda, pemilik. Mereka mentransfer uang sebelum ada yang berpikir untuk memeriksa dua kali — dan begitu mendarat di rekening kriminal, hampir tidak pernah bisa dipulihkan.
• Tim IT calon pelanggan besar menjalankan pemeriksaan keamanan di domain Anda sebelum menandatangani. Hasilnya 'email tidak terlindungi — bisa dipalsukan.' Anda kehilangan kesepakatan ke kompetitor yang domainnya lulus.
• Domain Anda digunakan dalam gelombang phishing. Pelanggan yang tertipu meninggalkan ulasan marah dan memperingatkan orang lain. Kerusakan reputasi bertahan lebih lama dari serangan selama berbulan-bulan.
• Bahkan email asli Anda mulai masuk ke folder spam, karena Google dan Yahoo semakin tidak mempercayai — dan sekarang kadang menolak — domain tanpa DMARC yang ditegakkan.

Mengapa ini penting. Email tidak pernah dibangun untuk membuktikan siapa yang benar-benar mengirimnya, jadi memalsukan alamat 'dari' itu sepele. DMARC adalah satu-satunya kontrol yang mengubah 'kami bisa mendeteksi yang palsu' menjadi 'yang palsu diblokir' — dan itu juga memberi Anda laporan harian yang mengungkapkan siapa yang mengirim email sebagai merek Anda. Penyedia kotak masuk besar sekarang memperlakukan kebijakan DMARC yang hilang atau tidak ditegakkan sebagai sinyal kepercayaan yang melawan Anda, sehingga ini juga mempengaruhi apakah email Anda sendiri terkirim.

Apa DMARC itu, dalam bahasa sederhana

Email memiliki rahasia kotor: baris “dari” hanyalah teks yang diketikkan. Siapa pun, di mana saja, bisa menulis nama dan alamat bisnis Anda ke dalam field “dari” email dan mengirimkannya. Internet tidak pernah dirancang untuk menghentikan mereka.

Ada tiga pengaturan yang, bersama-sama, memperbaiki ini. Pikirkan mereka sebagai keamanan gedung:

• SPF adalah daftar siapa yang diizinkan masuk dari pintu depan (layanan email mana yang boleh mengirim sebagai Anda).
• DKIM adalah segel anti-manipulasi yang membuktikan pesan tidak diubah saat transit.
• DMARC adalah penjaga keamanan yang memeriksa daftar dan segel — dan, yang penting, memutuskan apa yang harus dilakukan ketika keduanya tidak cocok: biarkan lewat, kirim ke spam, atau tolak di pintu.

Anda bisa memiliki daftar (SPF) dan segel (DKIM) dan tetap tidak memiliki penjaga. Itulah situasi yang paling umum dan paling berbahaya: kunci ada, tapi tidak ada yang menegakkannya. DMARC adalah penegakan. Ini adalah perbedaan antara “kami bisa memberi tahu email ini palsu” dan “email palsu ini tidak pernah sampai ke pelanggan Anda.”

Dampak finansial yang perlu diketahui

Ini bukan teori. Berikut adalah cara konkret domain yang tidak terlindungi berubah menjadi uang nyata dan kerusakan nyata:

1. Penipuan faktur palsu. Kriminal mengirim email pelanggan Anda apa yang terlihat persis seperti faktur asli dari tim akun Anda — nama yang sama, domain yang sama, tata letak yang profesional — tapi dengan detail bank mereka sendiri. Karena domain Anda tidak ditegakkan, mendarat di kotak masuk, bukan spam. Pelanggan membayar. Anda menemukannya berminggu-minggu kemudian ketika mereka bertanya ke mana pesanan mereka. Uang biasanya sudah pergi, dan pelanggan sering memegang Anda bertanggung jawab atas pelanggaran.

2. Transfer kawat penipuan CEO. Email tampak berasal dari Anda, pemilik, kepada orang keuangan Anda: “Bisakah Anda menyelesaikan pembayaran ini dengan mendesak, saya sedang dalam rapat.” Tampak benar-benar nyata karena itu adalah alamat Anda — hanya dipalsukan. Pembayaran keluar. Pola ini — Business Email Compromise — adalah salah satu penipuan yang paling mahal yang menimpa bisnis kecil, justru karena email benar-benar berasal dari domain Anda sendiri, sehingga langsung melewati kecurigaan.

3. Kontrak yang hilang. Calon pelanggan yang serius menjalankan pemeriksaan keamanan atau pengadaan sebelum menandatangani. Alat mereka melaporkan domain Anda sebagai “bisa dipalsukan — tidak ada penegakan autentikasi email.” Satu tanda merah itu bisa cukup untuk memberikan kontrak kepada kompetitor yang domainnya lulus. Anda bahkan tidak pernah mendengar alasan sebenarnya.

4. Kerusakan reputasi yang tidak bisa dibatalkan. Domain Anda tersapu dalam kampanye phishing. Lusinan orang yang ditipu atas nama Anda memposting peringatan dan ulasan. Serangan berlangsung seminggu; pertanyaan “apakah perusahaan ini bahkan aman?” bertahan berbulan-bulan.

5. Email Anda sendiri masuk ke spam. Google dan Yahoo sekarang secara aktif tidak mempercayai domain tanpa DMARC yang ditegakkan. Penawaran, faktur, dan balasan yang benar-benar Anda kirim mulai diam-diam mendarat di folder spam. Kesepakatan terhenti dan Anda tidak pernah mengetahui mengapa.

Apa sebenarnya itu (dan seperti apa “baik” itu)

DMARC tinggal sebagai satu baris teks di pengaturan domain Anda — record DNS “TXT” yang diterbitkan pada nama khusus _dmarc.yourdomain. Di dalamnya ada beberapa instruksi singkat. Dua di antaranya paling penting, dan mereka adalah persis dua hal yang diperiksa penilaian ini.

1. Kebijakan (p=) — perintah penjaga. Ini adalah bagian yang diberi bobot tinggi dalam pemeriksaan. Bisa menjadi salah satu dari tiga hal:

• p=none — pantau saja. Penjaga mencatat siapa yang lewat tapi tidak menghentikan siapa pun. Ini tidak melindungi Anda dari apa pun; ini adalah tahap pemantauan, bukan pengaturan yang selesai. (Mesin kami menilai ini sebagai kegagalan — lebih baik dari tidak ada DMARC sama sekali, tapi bukan perlindungan.)
• p=quarantine — kirim yang palsu ke spam. Perlindungan nyata, tapi penyerang yang bertekad mengandalkan orang yang memeriksa folder spam mereka. Batu loncatan yang solid — mendapat sekitar setengah nilai.
• p=reject — tolak yang palsu di pintu. Email palsu tidak pernah terkirim. Ini adalah satu-satunya pengaturan yang sepenuhnya melindungi Anda dan mendapat nilai penuh.

Seperti apa “baik” itu: p=reject. Apa pun yang kurang meninggalkan celah.

Dua detail teknis yang juga dilihat pemeriksaan kami, layak diketahui agar tidak terkejut:

• Kebijakan subdomain (sp=). Anda bisa mengatur kebijakan yang kuat untuk domain utama tapi secara tidak sengaja membiarkan subdomain (seperti mail.yourdomain atau news.yourdomain) terbuka lebar. Mesin kami menghukum ini dengan keras — domain dengan p=reject tapi sp=none mendapat skor mendekati tidak ada penegakan sama sekali, karena penyerang hanya akan memalsukan subdomain sebagai gantinya. Praktik baik adalah membiarkan sp mewarisi kebijakan utama yang kuat, atau mengaturnya ke reject secara eksplisit.
• Persentase (pct=). Selama peluncuran yang hati-hati Anda bisa menerapkan penegakan hanya pada sebagian email (misalnya pct=25). Itu adalah alat transisi yang sah, tapi peluncuran parsial hanya memberikan perlindungan parsial, dan skor kami mencerminkan itu — naik secara stabil saat Anda bergerak dari 25% menuju 100%, tapi nilai penuh membutuhkan cakupan penuh.

2. Alamat pelaporan (rua=) — visibilitas Anda. Ini adalah pemeriksaan kedua di halaman ini. Tag rua= meminta setiap penyedia email di dunia untuk mengirimkan ringkasan harian siapa yang mencoba mengirim email sebagai domain Anda — sistem Anda sendiri dan setiap penyusup. Tanpanya, Anda terbang buta: Anda tidak tahu siapa yang menyalahgunakan nama Anda. Dengannya, bisnis secara rutin menemukan antara 5 dan 50 pengirim tidak sah pada hari pertama.

Seperti apa “baik” itu untuk pelaporan: alamat rua=mailto: yang valid (atau URL layanan pelaporan https:) yang benar-benar menerima laporan. Pemeriksaan kami memvalidasi formatnya — alamat yang salah ketik atau salah format berarti laporan diam-diam tidak sampai ke mana pun, yang mendapat skor sebagai hasil parsial atau gagal meskipun tag secara teknis “ada.”

Cara memperbaikinya (gratis, ~30 menit tersebar selama dua minggu)

Berikan bagian ini kepada siapa pun yang mengelola domain, website, atau IT Anda — perbaikannya sepenuhnya gratis. Kami hanya mengenakan biaya untuk memantau bahwa itu tetap benar dari waktu ke waktu, untuk mengelola portofolio domain, atau untuk audit. Perubahan itu sendiri tidak ada biaya.

Aturan emas: jangan langsung melompat ke reject. Aktifkan pemantauan terlebih dahulu, perhatikan laporan, konfirmasi email asli Anda dikenali, lalu perketat. Dilakukan dalam urutan ini itu aman; dilakukan terburu-buru bisa membuat email Anda sendiri tidak terkirim.

Langkah 1 — Pastikan SPF dan DKIM sudah ada terlebih dahulu. DMARC mengandalkan keduanya. Jika salah satu hilang, atur dulu sebelum menegakkan DMARC (lihat halaman SPF dan DKIM).

Langkah 2 — Terbitkan record pemantauan dengan pelaporan diaktifkan. Tambahkan record TXT DNS:

• Host / nama: _dmarc.yourdomain (penyedia DNS Anda mungkin menampilkan ini hanya sebagai _dmarc)
• Tipe: TXT
• Nilai: v=DMARC1; p=none; rua=mailto:dmarc@yourdomain; adkim=s; aspf=s

Ini memantau dan melaporkan tanpa memblokir apa pun dulu. Bagian adkim=s; aspf=s meminta penyelarasan yang ketat — tinggalkan dulu jika Anda tidak yakin, dan tambahkan setelah email Anda dikonfirmasi bersih.

Langkah 3 — Baca laporan selama ~2 minggu. Laporan DMARC mentah adalah XML yang padat. Gunakan layanan pelaporan gratis (misalnya dmarcian atau alat DMARC gratis Postmark) untuk mengubahnya menjadi dasbor yang bisa dibaca. Konfirmasi bahwa setiap pengirim yang sah — penyedia kotak surat Anda, alat buletin, CRM, helpdesk, aplikasi faktur — lulus. Perbaiki pengirim asli mana pun yang tidak.

Langkah 4 — Pindah ke quarantine. Setelah email asli Anda bersih, ubah p=none menjadi p=quarantine. Perhatikan selama beberapa hari lagi.

Langkah 5 — Pindah ke reject. Akhirnya ubah p=quarantine menjadi p=reject. Anda sekarang sepenuhnya terlindungi. Record akhir terlihat seperti:

v=DMARC1; p=reject; rua=mailto:dmarc@yourdomain; adkim=s; aspf=s

Langkah 6 — Jangan lupa subdomain. Pastikan Anda tidak membiarkan sp=none di tempat. Jika Anda tidak menerbitkan sp sama sekali, subdomain mewarisi kebijakan p= utama Anda, yang merupakan apa yang Anda inginkan.

Catatan per platform umum:

• Google Workspace / Microsoft 365: Keduanya sepenuhnya mendukung DMARC. Record DMARC itu sendiri masuk ke penyedia DNS Anda, bukan di konsol admin Google atau Microsoft — pastikan SPF dan DKIM diaktifkan di konsol admin terlebih dahulu, kemudian terbitkan record TXT DMARC di host registrar/DNS Anda.
• Cloudflare: DNS > Records > Add record > TXT, nama _dmarc, tempelkan nilainya. Cloudflare juga menawarkan manajemen DMARC bawaan yang bisa mengatur ini dan mengumpulkan laporan untuk Anda.
• Host / registrar umum (GoDaddy, Namecheap, dll.): Cari “DNS”, “DNS Zone”, atau “Advanced DNS”, tambahkan record TXT dengan nama _dmarc dan nilai di atas. Propagasi biasanya membutuhkan waktu beberapa menit hingga satu jam.

Kesalahan umum

• Berhenti pada p=none. Kesalahan paling umum sejauh ini. Pemantauan adalah awal, bukan akhir — domain yang terjebak pada none masih sepenuhnya bisa dipalsukan. Mesin kami menilainya sebagai kegagalan untuk alasan yang tepat ini.
• Langsung ke reject tanpa pemantauan. Kesalahan sebaliknya. Tanpa tahap pelaporan Anda mungkin tidak menyadari bahwa pengirim yang sah (sering alat buletin atau faktur) tidak selaras — dan Anda akan mulai memblokir email Anda sendiri.
• Melupakan kebijakan subdomain. p=reject yang kuat dengan sp=none meninggalkan pintu samping terbuka; penyerang hanya memalsukan subdomain sebagai gantinya.
• Alamat pelaporan yang rusak. rua= yang salah ketik (atau yang tidak memiliki awalan mailto:) berarti laporan tidak sampai ke mana pun dan Anda tetap buta tanpa menyadarinya. Formatnya harus URI mailto: atau https: yang valid, atau laporan tidak pernah terkirim.
• “Kami tidak mengirim email jadi kami akan melewatinya.” Domain yang tidak mengirim adalah target utama justru karena tidak ada yang mengawasinya. Terbitkan kebijakan reject yang ketat untuk menguncinya sepenuhnya.

Catatan tentang penilaian

Pemeriksaan kebijakan (p=) adalah salah satu item yang paling berbobot dalam seluruh penilaian — karena ini adalah faktor tunggal terbesar apakah bisnis Anda bisa ditiru. reject mendapat skor penuh; quarantine mendapat sekitar setengah; none dan record yang hilang mendapat skor sebagai kegagalan. Kebijakan subdomain yang lebih lemah atau peluncuran pct= parsial menarik skor turun sesuai dengan tingkat perlindungan yang benar-benar Anda miliki.

Pemeriksaan pelaporan (rua=) juga membawa bobot nyata, tapi pikirkan lebih sebagai alat yang memungkinkan Anda mencapai reject dengan aman daripada kotak centang untuk dicentang. Atur pada waktu yang sama dengan record pemantauan Anda, dan itu membayar sendiri dalam visibilitas pada hari pertama.

Atur di host Anda

Langkah demi langkah untuk penyedia populer:

• Atur DMARC di GoDaddy
• Atur DMARC di Namecheap
• Atur DMARC di Cloudflare
• Atur DMARC di Google Workspace
• Atur DMARC di Microsoft 365
• Atur DMARC di Squarespace
• Atur DMARC di Wix
• Atur DMARC di AWS Route 53
• Atur DMARC di Hostinger
• Atur DMARC di Porkbun
• Atur DMARC di IONOS
• Atur DMARC di Bluehost

FAQ