Defaults.Exposed › Perbaikan › Guides
Menyiapkan Email di Domain Baru: Daftar Periksa SPF, DKIM dan DMARC 20 Menit (2026)
Diterbitkan 2026-07-08
Angka per 2026-06-29 · metodologi v7. Data sensus agregat dari 261 juta domain yang dinilai. Lihat cara kami menilai.
Domain baru membutuhkan empat hal sebelum email pertamanya: pemindaian baseline, satu record SPF yang menyebutkan provider nyata Anda, penandatanganan DKIM domain kustom, dan record DMARC dengan pelaporan aktif dari hari pertama. Sebagian besar domain tidak pernah sampai ke sana — 46.4% (121,145,609 dari 261,086,232 domain yang dinilai) tidak memiliki SPF sama sekali, menurut sensus Defaults.Exposed (per 2026-06-29).
Menerbitkan semuanya membutuhkan sekitar 20 menit: pindai untuk baseline, tambahkan satu record SPF, aktifkan DKIM domain kustom provider Anda, terbitkan DMARC p=none dengan alamat pelaporan, opsional tambahkan MTA-STS, kemudian pindai ulang dan simpan laporan. Yang membutuhkan lebih lama adalah hal-hal yang tidak bisa dipercepat oleh daftar periksa mana pun — propagasi DNS dan reputasi pengiriman — dan panduan ini jujur tentang keduanya.
Apakah 20 menit benar-benar cukup?
Untuk menerbitkan record, ya — setiap langkah di bawah adalah entri DNS ditambah beberapa klik di konsol admin provider Anda. Dua hal membutuhkan lebih lama, dan berpura-pura sebaliknya adalah alasan domain baru berakhir di spam:
- Propagasi. Record baru biasanya ter-resolve dalam hitungan menit, tetapi resolver melakukan cache berdasarkan TTL dan domain yang baru didelegasikan bisa membutuhkan waktu berjam-jam untuk menjawab secara konsisten. Verifikasi dengan
dig; jangan panik-edit saat cache menyesuaikan diri. - Warm-up. Domain baru tidak memiliki reputasi pengiriman sama sekali, dan autentikasi adalah prasyarat reputasi, bukan penggantinya. Mulai dengan volume rendah yang wajar dan naikkan secara bertahap selama beberapa minggu.
Klaim yang jujur: 20 menit membeli autentikasi yang diterbitkan dengan benar. Beberapa minggu berikutnya dari pengiriman yang wajar membeli deliverability.
Daftar periksa 20 menit
- Jalankan pemindaian gratis di defaults.exposed terlebih dahulu. Pindai domain baru sebelum menyentuh DNS. Baseline “belum dikonfigurasi” yang dinilai hanya membutuhkan beberapa detik untuk diambil dan membuat laporan sesudahnya bermakna — Anda akan menginginkan pasangan sebelum-dan-sesudah (langkah 6).
- Terbitkan satu record SPF untuk provider nyata Anda. Tepat satu record TXT yang dimulai
v=spf1, berisi include provider Anda — misalnyav=spf1 include:_spf.google.com ~alluntuk Google Workspace, atauinclude:spf.protection.outlook.comuntuk Microsoft 365; jika DNS Anda ada di panel registrar, panduan GoDaddy mencakup keanehan UI-nya. Satu record saja: dua recordv=spf1adalah error permanen yang membatalkan SPF sepenuhnya — kondisi yang 1,013,416 domain terjebak di dalamnya, kira-kira satu dari 138 domain yang mencoba SPF (sensus per 2026-06-29), biasanya sisa migrasi. Jangan tambahkan include “untuk berjaga-jaga”: SPF membatasi lookup DNS di 10, dan setidaknya 797,263 domain telah membatalkan record mereka karena melampaui batas itu. Dan ketahui apa yang sebenarnya diperiksa SPF: penerima mengevaluasinya terhadap domain Return-Path (RFC5321.MailFrom) — alamat bounce — bukan header From yang dilihat penerima Anda. - Aktifkan penandatanganan DKIM domain kustom. Provider Anda menandatangani email bagaimanapun juga; pertanyaannya adalah domain mana yang disebutkan tanda tangan. Sampai Anda menyelesaikan langkah ini, Google Workspace menandatangani dengan default
gappssmtp.com-nya dan Microsoft 365 denganonmicrosoft.com— tanda tangan yang lulus DKIM tetapi tidak selaras dengan domain Anda, sehingga DMARC masih gagal. Buat kunci di konsol admin dan terbitkan apa yang diberikan provider: record TXT 2048-bit untuk Google, dua CNAME (selector1/selector2) untuk Microsoft 365. Jika record tidak muat di panel DNS Anda, lihat perbaiki DKIM — kunci panjang yang dirusak UI adalah hal klasik. - Terbitkan DMARC dari hari pertama —
p=nonedengan alamat pelaporan. Satu record TXT di_dmarc.yourdomain.com:v=DMARC1; p=none; rua=mailto:[email protected]. Jelaskan apa yang dilakukan ini:p=nonebelum melindungi apapun — ini adalah mode pemantauan. Tetapi tidak ada biayanya, dan laporan agregat kemudian mencakup riwayat pengiriman domain Anda dari pesan pertama. Domain yang sudah mapan menghabiskan berminggu-minggu pelaporan hanya untuk menemukan pengirim yang mereka lupakan; Anda mendapatkan visibilitas itu secara gratis, dari hari nol. Lihat perbaiki DMARC untuk anatomi record. - Opsional tapi murah di domain baru: MTA-STS dan TLS-RPT. MTA-STS memberi tahu server pengirim bahwa domain Anda memerlukan TLS untuk email masuk (record DNS ditambah file kebijakan kecil yang di-host); TLS-RPT melaporkan kegagalan enkripsi pengiriman. Di domain yang sudah mapan ini memerlukan kehati-hatian; di domain baru dengan satu provider email tidak ada yang bisa rusak, dan
mode: testinghampir tanpa risiko. Siapkan sekarang atau lewati — tetapi putuskan, jangan biarkan mengambang. - Pindai ulang dan simpan laporan. Jalankan pemindaian lagi — SPF, DKIM dan DMARC semuanya harus menampilkan hijau. Simpan laporan yang dinilai: bukti bertanggal tentang kondisi domain saat diluncurkan, dan persis apa yang akan ditanyakan penanggung asuransi atau kuesioner klien.
Berapa banyak domain yang benar-benar menyelesaikan daftar periksa ini?
Sangat sedikit — dan kebanyakan gagal di rintangan pertama. Dari 261,086,232 domain yang dinilai dalam sensus Defaults.Exposed (per 2026-06-29):
| Pencapaian daftar periksa | Realitas sensus (dari 261,086,232 domain yang dinilai, per 2026-06-29) |
|---|---|
| Langkah 2 — terbitkan record SPF apapun | 46.4% tidak pernah melakukannya: 121,145,609 domain tidak memiliki SPF sama sekali |
| Langkah 4+ — DMARC dengan kebijakan menegakkan | 10.59% (27,640,987 domain); 89.41% tidak memiliki kebijakan yang ditegakkan |
| Triad penuh — SPF + DKIM + DMARC yang ditegakkan | 3.87% (10,092,481 domain) |
20 menit yang dijelaskan halaman ini menempatkan domain yang baru saja dibuat di depan sekitar 96% internet pada triad penuh. Model kematangan adopsi SPF menguraikan setiap tingkat tangga tersebut.
Seberapa cepat domain baru bisa mencapai p=reject?
Berminggu-minggu, bukan berbulan-bulan — keunggulan nyata dari memulai dari awal. Yang membuat penegakan DMARC lambat di domain yang sudah mapan adalah warisan: konektor CRM yang terlupakan, alat faktur yang seseorang pasang pada 2019, platform newsletter yang tidak ada yang mendokumentasikan. Masing-masing harus ditemukan dalam laporan dan diperbaiki sebelum kebijakan bisa diperketat — itulah mengapa peluncuran standar membutuhkan berbulan-bulan.
Domain baru tidak memiliki pengirim lama: Anda mengonfigurasi setiap sumber pengiriman sendiri, minggu ini, dan laporan di langkah 4 akan mengkonfirmasinya. Jalankan p=none selama dua hingga empat minggu pengiriman nyata, periksa apakah laporan mencakup semua yang benar-benar Anda gunakan (kotak surat, faktur, tanda terima, formulir kontak situs web), kemudian pindah ke p=quarantine dan lanjut ke p=reject setelah laporan berjalan bersih. Mekanika bertahap — ramp pct, kebijakan subdomain, apa yang dipantau — ada di dari p=none ke p=reject; di domain baru Anda akan bergerak cepat, menuju tempat yang hanya 10.59% domain yang dinilai telah capai.
Bagaimana dengan domain lama yang Anda ganti?
Jika domain baru ini adalah bagian dari rebranding, domain yang Anda tinggalkan sekarang adalah risiko email terbesar Anda: masih milik Anda, masih dipercaya oleh mitra bisnis, tidak lagi diawasi. Jangan abaikan — kunci secara eksplisit. Itu adalah pekerjaan singkat tersendiri: domain lama dari rebrand Anda adalah pintu yang Anda tinggalkan terbuka.
Pertanyaan yang Sering Diajukan
Bisakah saya menerbitkan record ini sebelum memilih provider email?
DMARC, ya — p=none dengan rua tidak bergantung pada provider, jadi terbitkan di hari Anda mendaftar. SPF membutuhkan include provider Anda; sampai Anda memilihnya, terbitkan v=spf1 -all (tidak ada yang diizinkan untuk mengirim) dan ganti di langkah 2. Itu jauh lebih baik dari kondisi tanpa-record tempat 121,145,609 domain berada (46.4% dari 261,086,232 yang dinilai, per 2026-06-29).
Apakah saya butuh DKIM jika SPF sudah lulus? Ya. SPF rusak saat penerusan secara desain, dan ia memvalidasi domain Return-Path, yang untuk banyak alat bukan domain Anda — DKIM yang selaras adalah leg yang bertahan dalam keduanya. Hanya 3.87% domain yang dinilai menyelesaikan triad penuh SPF+DKIM+DMARC-yang-ditegakkan (sensus per 2026-06-29); DKIM adalah langkah yang paling sering dilewati. Mulai di perbaiki DKIM jika pemindaian menandainya.
Haruskah domain baru menggunakan ~all atau -all?
Di domain yang sudah mapan, ~all adalah pilihan hati-hati saat Anda mencari pengirim yang terlupakan. Domain baru tidak memilikinya: setelah include provider Anda masuk dan DKIM menandatangani, -all aman jauh lebih cepat. Ingin ekstra yakin? Konfirmasi dengan dua minggu bersih dari laporan DMARC terlebih dahulu.
Ketiga record lulus — mengapa email saya masih masuk spam? Karena autentikasi dan reputasi adalah dua hal berbeda: record yang lulus berarti penerima dapat memverifikasi email itu memang dari Anda, bukan berarti mereka mempercayai Anda dulu. Domain baru mendapatkan kepercayaan dengan mengirim email yang konsisten, diinginkan, volume rendah dan meningkat secara bertahap. Jika email gagal pemeriksaan bukan sekadar mendarat di spam, mulai di perbaiki SPF dan kerjakan hasil pemindaian.
Kirimkan laporan kepada pemilik
Jika Anda menyiapkan domain ini untuk klien, tutup pekerjaan dengan bukti. Jalankan ulang pemindaian gratis setelah langkah 6 dan teruskan laporan yang dinilai kepada pemilik bisnis: SPF, DKIM dan DMARC lulus, dalam bahasa yang mudah dipahami, bertanggal saat peluncuran. Itulah artefak yang mereka butuhkan untuk perpanjangan asuransi siber dan kuesioner keamanan pemasok berikutnya — dan itu membuktikan domain dimulai dengan cara yang 96% internet tidak pernah berhasil lakukan.
Periksa domain Anda → · Dari p=none ke p=reject tanpa kehilangan email sah → · Hanya data agregat. Data disimpan dan diproses di EU.