Protokol DMARC (Domain-based Message Authentication, Reporting and Conformance) adalah salah satu dari tiga protokol internet yang mendukung metode autentikasi email. DMARC memberikan mekanisme bagi organisasi pengirim email untuk menginformasikan pedoman kepada organisasi penerima email mengenai cara menangani email yang gagal dalam proses validasi pengirimnya. Teknik autentikasi DMARC membantu server penerima email untuk meningkatkan keamanan email dengan membedakan email yang sah dari email yang fraud, seperti kompromi email bisnis dan phishing.
Bersama dengan DomainKeys Identified Mail (DKIM) dan Sender Policy Framework (SPF), DMARC membantu penyedia layanan email, perusahaan, dan entitas pengirim email lainnya untuk memvalidasi email. Validasi dan autentikasi dengan SPF dan DKIM membantu mencegah pencurian domain email dan penggunaannya untuk penipuan phishing, spoofing email dan serangan berbasis email lainnya.
Kebijakan DMARC diterbitkan oleh pemilik domain dalam sistem nama domain (DNS), dan catatan tersebut dapat diakses oleh penerima email melalui kueri DNS.
DMARC adalah protokol autentikasi email yang dijelaskan dalam RFC 7489: Domain-based Message Authentication, Reporting and Conformance (DMARC). Protokol ini merinci bagaimana organisasi pengirim email dapat mempublikasikan preferensi kebijakan mereka mengenai apa yang harus dilakukan oleh penerima email ketika sebuah pesan dianggap mencurigakan berdasarkan hal-hal berikut:
- Sumber email. Protokol SPF memungkinkan organisasi pengirim email untuk mengidentifikasi server email yang diizinkan untuk mengirim email untuk domain organisasi.
- Autentikasi pesan email. Protokol DKIM memungkinkan pengirim email menambahkan **tanda tangan kriptografis** ([digital signature](https://www.linuxid.net/istilah/digital-signature/)) pada header pesan email. Tanda tangan DKIM ini menghubungkan pemegang **public key** ([kunci publik](https://www.linuxid.net/istilah/public-key/)) dengan pesan tersebut dan memberikan jaminan bahwa pesan tersebut tidak dipalsukan.
Implementasi DMARC dilakukan dengan mempublikasikan kebijakan dalam **catatan TXT DNS**. Penerima email kemudian dapat melakukan kueri DNS untuk mengambil catatan DMARC TXT yang terkait dengan domain yang dilindungi oleh DMARC. Kueri tersebut mengembalikan kebijakan DMARC yang ditetapkan oleh pengirim dan memungkinkan penerima untuk mengambil tindakan yang diinginkan oleh pengirim.
Bagaimana cara kerja DMARC?
Catatan DMARC DNS adalah catatan nama domain yang digunakan oleh organisasi pengirim email untuk mempublikasikan kebijakan mereka mengenai bagaimana merespons email yang tidak terautentikasi yang dikirim dari domain yang dimiliki oleh organisasi tersebut. Catatan DMARC digunakan bersamaan dengan SPF dan DKIM untuk menentukan tindakan apa yang harus diambil oleh penerima ketika hal-hal berikut terjadi:
- Email diterima dari domain, **IP address** ([alamat IP](https://www.linuxid.net/istilah/IP-address-Internet-Protocol-Address/)) atau server yang tidak terdaftar dalam catatan SPF pemilik domain pengirim.
- Email diterima yang tidak dapat diautentikasi menggunakan kunci publik domain pengirim yang dipublikasikan dalam catatan DKIM mereka.
SPF memungkinkan organisasi untuk menentukan IP address yang terhubung dengan server email yang sah. DKIM memungkinkan organisasi pengirim untuk melampirkan tanda tangan kriptografis pada header email. Organisasi penerima email dapat memverifikasi tanda tangan ini dengan kunci publik organisasi pengirim.
Apa itu kebijakan DMARC?
Kebijakan DMARC menentukan tindakan yang harus diambil oleh server email penerima. Kebijakan yang sah meliputi hal-hal berikut:
- None (Tidak ada). Tidak ada tindakan yang perlu diambil. Kebijakan ini memungkinkan server pengirim untuk mencatat informasi tentang seberapa sering kebijakan ini diterapkan. Kebijakan ini biasanya digunakan untuk pengujian.
- Quarantine (Karantina). Pesan ini dianggap mencurigakan, dan pesan tersebut harus dikirimkan tetapi diarahkan ke folder yang sesuai, seperti folder **junk** atau **spam** penerima.
- Reject (Tolak). Pesan ini harus ditolak dan tidak boleh dikirimkan.
Biasanya, pelaksana akan memulai dengan mengatur kebijakan mereka untuk pesan yang gagal menjadi **none** dan mengujinya untuk memastikan catatan DMARC mereka berfungsi dengan baik. Jika pengujian menunjukkan bahwa sedikit pesan sah yang gagal diautentikasi, kebijakan dapat diubah menjadi **quarantine**. Biasanya, jika pengujian dan pemantauan terus menunjukkan tingkat kesalahan yang rendah, kebijakan dapat diubah menjadi **reject**.
Apa itu catatan DMARC?
Catatan DMARC adalah catatan TXT DNS yang berisi kebijakan DMARC. Nama catatan DMARC memiliki format berikut:
_dmarc.example.comPrefix _dmarc. ditambahkan pada domain atau subdomain dalam catatan DNS.
Catatan itu sendiri biasanya terdiri dari satu atau lebih baris dengan setidaknya dua tag atau parameter. Versi protokol DMARC dan tag kebijakan DMARC wajib ada; tag lainnya bersifat opsional.
Tabel di bawah ini menunjukkan set tag DMARC asli, sebagaimana yang didefinisikan oleh kelompok kerja DMARC dari Internet Engineering Task Force di situs web DMARC.org.
| Tag | Wajib? | Nama tag dan tujuan | Contoh |
| adkim | OPSIONAL | DKIM alignment menunjukkan apakah domain yang mengautentikasi DKIM harus cocok dengan domain pengirim atau apakah subdomain bisa diterima. Nilai yang valid adalah r (untuk relaxed) dan s (untuk strict). | adkim=r |
| aspf | OPSIONAL | SPF alignment menunjukkan apakah domain yang diautentikasi SPF harus sesuai dengan tepat atau apakah subdomain dapat diterima. Nilai yang valid adalah r (untuk relaxed) dan s (untuk strict). | aspf=s |
| p | WAJIB | Kebijakan menentukan kebijakan untuk menangani email dari domain jika gagal autentikasi. Nilai yang valid adalah none, quarantine, dan reject. | p=reject |
| pct | OPSIONAL | Persentase dari pesan yang diterima dari domain pengirim yang kebijakan DMARC harus diterapkan. Menerapkan kebijakan pada kurang dari 100% email yang diterima dari sebuah domain berarti administrator domain pengirim dapat memperkenalkan kebijakan DMARC secara bertahap. | pct=20 |
| rf | OPSIONAL | Format laporan untuk laporan forensik yang dikirim setelah sebuah pesan gagal. Dua opsi saat ini adalah AFRF (Authentication Failure Reporting Using the Abuse Reporting Format) dan IODEF (Incident Object Description Exchange Format), yang merupakan dua standar format pesan untuk mengirimkan informasi penyalahgunaan atau insiden forensik. | rf=afrf |
| ri | OPSIONAL | Interval laporan mengatur waktu antara laporan agregat. Nilai ini adalah integer 32-bit yang mewakili jumlah detik antara laporan. Nilai default adalah 86400, atau 24 jam. | ri=86400 |
| rua | OPSIONAL | URI pelaporan untuk laporan agregat mencantumkan **Uniform Resource Identifier** yang berisi alamat email untuk pengiriman laporan agregat. Pelaporan agregat diaktifkan ketika tag ini termasuk dalam catatan DMARC. | rua=mailto:[email protected] |
| ruf | OPSIONAL | URI pelaporan untuk laporan forensik mencantumkan URI yang berisi alamat email untuk pengiriman laporan forensik. Pelaporan forensik diaktifkan ketika tag ini termasuk dalam catatan DMARC. | rua=mailto:[email protected] |
Berikut adalah contoh catatan DMARC:
v=DMARC1; p=quarantine; rua=mailto:[email protected]Tag pertama dalam contoh ini, v=DMARC1, mengidentifikasi catatan DMARC ini sesuai dengan protokol DMARC versi 1.
Tag kedua dalam contoh ini, p=quarantine, menentukan kebijakan DMARC untuk mengarantina pesan yang gagal dalam proses autentikasi.
Tag terakhir dalam contoh ini, rua=mailto:[email protected], menunjukkan bahwa laporan agregat akan dikirim ke alamat email yang tercantum dalam URI yang disertakan. URI digunakan dalam catatan DMARC sebagai pengganti alamat email langsung.
Karena tidak ada interval pelaporan yang diatur dalam contoh ini, penerima email diharapkan mengirimkan laporan setiap 24 jam ke alamat yang ditentukan oleh pemilik domain.
Apa itu pemeriksaan DMARC?
Ketika pesan email gagal dalam autentikasi sebagai berasal dari sumber yang terdaftar dalam SPF atau ketika tanda tangan header DKIM gagal dalam proses autentikasi, penerima email harus melakukan pemeriksaan DMARC untuk menentukan bagaimana mereka harus merespons.
Pemeriksaan DMARC melibatkan pengambilan catatan DMARC TXT dari DNS dan meninjau kebijakan yang tercantum untuk pengirim email. Banyak organisasi yang mengimplementasikan DKIM dan SPF secara bertahap, sehingga pada tahap awal, organisasi pengirim mungkin tidak mengharuskan untuk diberi tahu ketika email tertentu gagal dalam autentikasi.
Apa itu laporan DMARC?
Partisipasi DMARC dapat mengharuskan penerima email untuk menghasilkan laporan forensik mengenai email yang gagal autentikasi DKIM dan SPF, serta laporan agregat yang dikirim secara berkala oleh penerima kepada pemilik domain untuk merangkum semua email yang dikirim dari domain tersebut.
Laporan forensik DMARC
Laporan forensik berisi informasi tentang bagaimana pesan gagal dan mengenai pesan itu sendiri. Ini termasuk hal-hal berikut:
- bagaimana pesan gagal dalam autentikasi;
- alamat IP pengirim;
- alamat email yang ada pada header To: dan From:.
Laporan forensik diminta dalam catatan DMARC TXT dengan menggunakan tag rua bersama dengan satu atau lebih URI yang berisi alamat email untuk pengiriman laporan. Untuk meminta laporan forensik dari penerima email, tag ruf dalam catatan DMARC akan terlihat seperti ini:
ruf=mailto:[email protected]Setidaknya satu URI diperlukan, namun tag ini dapat mencakup daftar email URI yang dipisahkan koma.
Laporan agregat DMARC
Laporan agregat mencakup informasi tentang entitas yang mengirim email, termasuk domain dan informasi kontak, domain tempat kebijakan dipublikasikan, serta periode waktu yang tercakup dalam laporan. Laporan agregat juga mencakup informasi tentang pesan yang gagal autentikasi SPF dan DKIM:
- alamat IP sumber untuk pesan yang gagal;
- domain dari mana email berasal, yang diambil dari header email From:;
- kebijakan atau kebijakan yang diterapkan karena kegagalan tersebut; dan
- apakah pesan gagal dalam autentikasi dengan SPF, DKIM, atau keduanya.
Untuk mendukung DMARC, penerima email harus dapat menghasilkan laporan agregat harian dan harus dapat menghasilkan laporan secara per jam.
Ketika pengirim email menambahkan tag rua pada catatan DMARC mereka, itu berarti semua server penerima email diminta untuk mengirim laporan agregat ke pengirim.
URI digunakan sebagai pengganti alamat email langsung, yang tidak diperbolehkan. Untuk meminta laporan agregat dari penerima email, tag rua dalam catatan DMARC akan terlihat seperti ini:
rua=mailto:[email protected]Setidaknya satu URI diperlukan, namun tag ini dapat mencakup daftar email URI yang dipisahkan koma.
Manfaat DMARC
DMARC, bersama dengan SPF dan DKIM, memberikan manfaat sebagai berikut:
- memungkinkan pengirim dan penerima email untuk mengidentifikasi, mengautentikasi, dan melaporkan email yang berpotensi berbahaya;
- mengurangi aliran email berbahaya yang digunakan oleh spammer dan penyerang lainnya untuk mendistribusikan spam, malware, dan pesan phishing; dan
- memberikan perlindungan secara waktu nyata untuk membantu mengurangi dampak pada pengiriman email saat serangan aktif sedang berlangsung.
DMARC, SPF, dan DKIM memberikan fondasi yang sangat baik untuk melindungi terhadap serangan di saluran email. Cari tahu lebih lanjut tentang beberapa protokol keamanan email lainnya.