SPF, DKIM, dan DMARC: Panduan Lengkap Autentikasi Email
Kuasai autentikasi email dengan panduan komprehensif ini tentang SPF, DKIM, dan DMARC. Pelajari apa yang dilakukan setiap protokol, cara mengatur record DNS, memecahkan masalah umum, dan meningkatkan deliverability email Anda.
Autentikasi email adalah fondasi pengiriman email yang andal. Tanpa konfigurasi SPF, DKIM, dan DMARC yang tepat, email yang Anda buat dengan hati-hati mungkin tidak pernah mencapai kotak masuk pelanggan Anda. Sebaliknya, email tersebut berakhir di folder spam atau ditolak sepenuhnya.
Panduan komprehensif ini menjelaskan apa yang dilakukan setiap protokol autentikasi email, memberikan instruksi pengaturan DNS langkah demi langkah, mencakup pemecahan masalah umum, dan menunjukkan cara memverifikasi bahwa konfigurasi Anda bekerja dengan benar.
Mengapa Autentikasi Email Penting
Email dirancang di era ketika keamanan bukan merupakan perhatian utama. Protokol SMTP asli tidak memiliki mekanisme verifikasi bawaan untuk mengonfirmasi bahwa email benar-benar berasal dari siapa yang diklaim. Kelemahan mendasar ini memungkinkan spoofing email, serangan phishing, dan spam.
Protokol autentikasi email memecahkan masalah ini dengan memungkinkan pemilik domain untuk menentukan:
- Server mana yang dapat mengirim email atas nama mereka (SPF)
- Bukti kriptografi bahwa pesan asli dan tidak diubah (DKIM)
- Apa yang harus dilakukan dengan pesan yang gagal autentikasi (DMARC)
Dampak Bisnis dari Autentikasi yang Buruk
Tanpa autentikasi email yang tepat:
- Kemampuan pengiriman yang lebih rendah: Penyedia utama seperti Gmail, Microsoft, dan Yahoo menyaring email yang tidak diautentikasi lebih agresif
- Tingkat spam yang lebih tinggi: Email sah Anda bersaing dengan pesan spoofed yang menggunakan domain Anda
- Kerusakan merek: Serangan phishing yang meniru merek Anda mengikis kepercayaan pelanggan
- Kehilangan pendapatan: Kampanye pemasaran gagal menjangkau pelanggan yang mendaftar untuk menerimanya
- Risiko kepatuhan: Banyak regulasi sekarang memerlukan autentikasi email yang tepat
Triad Autentikasi
SPF, DKIM, dan DMARC bekerja bersama sebagai sistem autentikasi yang lengkap:
| Protokol | Yang Dilakukannya | Analogi |
|---|---|---|
| SPF | Mencantumkan server pengiriman yang diizinkan | Kop surat perusahaan dengan kantor yang disetujui |
| DKIM | Menandatangani pesan secara kriptografi | Segel lilin yang membuktikan keaslian |
| DMARC | Menetapkan kebijakan untuk kegagalan + pelaporan | Instruksi tentang apa yang harus dilakukan dengan surat yang mencurigakan |
Setiap protokol mengatasi vektor serangan yang berbeda. SPF mencegah server yang tidak sah mengirim sebagai Anda. DKIM mencegah modifikasi pesan setelah dikirim. DMARC mengikat keduanya dan memberikan visibilitas ke dalam hasil autentikasi.
Memahami SPF (Sender Policy Framework)
SPF (Sender Policy Framework) adalah metode autentikasi email berbasis DNS yang menentukan server mail mana yang diizinkan untuk mengirim email atas nama domain Anda.
Cara Kerja SPF
Ketika email tiba di server penerima, server tersebut mencari catatan SPF domain pengirim. Kemudian memeriksa apakah alamat IP yang mengirim email terdaftar sebagai yang diizinkan. Jika IP cocok, SPF lulus. Jika tidak, SPF gagal.
Proses verifikasi SPF:
- Anda mengirim email dari platform pemasaran Anda
- Server penerima mengekstrak domain Anda dari Return-Path (pengirim amplop)
- Server menanyakan DNS untuk catatan SPF domain Anda
- Server membandingkan IP pengirim dengan daftar yang diizinkan dalam catatan SPF Anda
- Server mencatat hasil lulus, gagal, softfail, atau netral
Sintaks Catatan SPF
Catatan SPF diterbitkan sebagai catatan TXT di DNS domain Anda. Berikut adalah struktur dasar:
v=spf1 [mekanisme] [kualifikasi]allTag versi: Selalu dimulai dengan v=spf1
Mekanisme: Mendefinisikan siapa yang dapat mengirim
| Mekanisme | Deskripsi | Contoh |
|---|---|---|
| include: | Percayai SPF domain lain | include:spf.brevo.com |
| ip4: | Izinkan IPv4 tertentu | ip4:192.168.1.1 |
| ip6: | Izinkan IPv6 tertentu | ip6:2001:db8::1 |
| a | Izinkan IP catatan A domain | a |
| mx | Izinkan IP server mail domain | mx |
Kualifikasi: Mendefinisikan cara menangani kecocokan
| Kualifikasi | Arti | Hasil |
|---|---|---|
| + | Lulus (default) | Diizinkan |
| - | Gagal (keras) | Tidak diizinkan, tolak |
| ~ | SoftFail | Tidak diizinkan, terima tetapi tandai |
| ? | Netral | Tidak ada kebijakan |
Contoh Catatan SPF
Pengaturan dasar dengan satu penyedia email:
v=spf1 include:spf.brevo.com -allIni mengizinkan Brevo untuk mengirim email untuk domain Anda dan menolak semua pengirim lainnya.
Beberapa layanan email:
v=spf1 include:spf.brevo.com include:_spf.google.com include:spf.protection.outlook.com -allIni mengizinkan Brevo, Google Workspace, dan Microsoft 365.
Termasuk server mail Anda sendiri:
v=spf1 ip4:203.0.113.10 include:spf.brevo.com -allIni mengizinkan alamat IP tertentu (server Anda) ditambah Brevo.
Memulai dengan soft fail saat pengujian:
v=spf1 include:spf.brevo.com ~allMenggunakan ~all daripada -all menandai kegagalan tetapi tidak menolak. Berguna selama pengaturan awal.
Menyiapkan Catatan SPF
Langkah 1: Identifikasi sumber pengiriman Anda
Daftarkan setiap layanan yang mengirim email dari domain Anda:
- Platform email marketing (Brevo, Mailchimp, dll.)
- Layanan email transaksional
- Sistem CRM
- Software help desk
- Email perusahaan (Google Workspace, Microsoft 365)
- Server mail Anda sendiri
Langkah 2: Kumpulkan pernyataan SPF include
Setiap penyedia layanan email mendokumentasikan SPF include yang diperlukan. Contoh umum:
| Penyedia | SPF Include |
|---|---|
| Brevo | include:spf.brevo.com |
| Google Workspace | include:_spf.google.com |
| Microsoft 365 | include:spf.protection.outlook.com |
| Amazon SES | include:amazonses.com |
| SendGrid | include:sendgrid.net |
| Mailgun | include:mailgun.org |
Langkah 3: Buat catatan SPF Anda
Gabungkan semua include menjadi satu catatan:
v=spf1 include:spf.brevo.com include:_spf.google.com -allLangkah 4: Tambahkan catatan DNS
Di antarmuka manajemen DNS Anda:
- Jenis: TXT
- Host/Nama: @ (atau biarkan kosong untuk domain root)
- Nilai: Catatan SPF lengkap Anda
- TTL: 3600 (atau default)
Langkah 5: Verifikasi catatan
Gunakan alat pencarian DNS untuk konfirmasi:
dig TXT domainda.comAtau gunakan alat online seperti MXToolbox SPF Lookup.
Batasan dan Praktik Terbaik SPF
Batas 10 pencarian DNS:
SPF memiliki maksimum 10 pencarian DNS. Setiap include: dihitung sebagai satu pencarian, dan catatan yang disertakan mungkin berisi include sendiri, yang dihitung menuju batas Anda. Melebihi ini menyebabkan SPF permerror (kesalahan permanen), yang menggagalkan semua pemeriksaan.
Strategi untuk tetap di bawah batas:
- Gunakan alamat IP secara langsung jika memungkinkan (ip4: tidak dihitung sebagai pencarian)
- Konsolidasikan layanan menggunakan penyedia yang sama
- Gunakan layanan SPF flattening yang mengonversi include ke alamat IP
- Hapus include yang tidak digunakan dari layanan lama
Praktik terbaik SPF lainnya:
- Hanya satu catatan SPF per domain (beberapa catatan menyebabkan kegagalan)
- Mulai dengan
~all(softfail) selama pengaturan, pindah ke-allsetelah dikonfirmasi - Perbarui SPF saat mengubah penyedia email
- Jangan gunakan mekanisme
ptryang sudah tidak digunakan lagi
Memahami DKIM (DomainKeys Identified Mail)
DKIM (DomainKeys Identified Mail) menambahkan tanda tangan kriptografi ke email Anda, membuktikan bahwa pesan berasal dari domain Anda dan tidak dimodifikasi saat transit.
Cara Kerja DKIM
DKIM menggunakan kriptografi kunci publik:
- Penyedia email Anda menghasilkan pasangan kunci publik/privat
- Anda mempublikasikan kunci publik di DNS
- Penyedia menandatangani email keluar dengan kunci privat
- Server penerima mengambil kunci publik Anda dari DNS
- Mereka menggunakan kunci publik untuk memverifikasi tanda tangan
- Tanda tangan yang valid membuktikan keaslian dan integritas
Apa yang DKIM tandatangani:
Tanda tangan DKIM biasanya mencakup header tertentu dan isi pesan:
- Header From (diperlukan)
- Header Subject
- Header Date
- Isi pesan
- Header lain sesuai konfigurasi
Ini mencegah penyerang memodifikasi elemen-elemen ini setelah dikirim.
Struktur Catatan DKIM
Catatan DKIM diterbitkan sebagai catatan TXT dengan format penamaan tertentu:
selector._domainkey.domainda.comSelektor adalah pengidentifikasi unik yang memungkinkan Anda memiliki beberapa kunci DKIM. Layanan email berbeda menggunakan selektor berbeda (misalnya, brevo, google, s1, s2).
Menyiapkan DKIM
Langkah 1: Hasilkan kunci DKIM
Penyedia layanan email Anda biasanya menghasilkan kunci untuk Anda. Di Brevo:
- Buka Pengaturan > Pengirim, Domain & IP Khusus
- Pilih domain Anda
- Navigasikan ke bagian DKIM
- Salin catatan DNS yang disediakan
Langkah 2: Tambahkan catatan DNS DKIM
Di manajemen DNS Anda:
- Jenis: TXT
- Host/Nama: selector._domainkey (misalnya, brevo._domainkey)
- Nilai: Catatan DKIM dari penyedia Anda
- TTL: 3600
Langkah 3: Aktifkan penandatanganan DKIM
Di pengaturan penyedia email Anda, aktifkan penandatanganan DKIM untuk domain Anda. Ini memberi tahu penyedia untuk menandatangani pesan keluar.
Langkah 4: Verifikasi pengaturan
Kirim email uji dan periksa header untuk DKIM-Signature. Gunakan alat seperti:
- mail-tester.com
- DKIM Validator
- MXToolbox DKIM Lookup
Praktik Terbaik DKIM
- Gunakan kunci RSA 2048-bit (minimum 1024-bit)
- Rotasi kunci secara berkala
- Pantau kompromi kunci
- Gunakan selektor berbeda untuk layanan berbeda
- Periksa propagasi DNS
Memahami DMARC (Domain-based Message Authentication, Reporting, and Conformance)
DMARC dibangun di atas SPF dan DKIM untuk memberikan penegakan kebijakan dan pelaporan. Ini memberi tahu server penerima apa yang harus dilakukan ketika autentikasi gagal dan mengirimkan laporan kepada Anda tentang hasil autentikasi.
Cara Kerja DMARC
DMARC menambahkan dua kemampuan kritis:
- Penegakan kebijakan: Tentukan bagaimana penerima harus menangani kegagalan autentikasi
- Pelaporan: Terima data tentang siapa yang mengirim email menggunakan domain Anda
Kebijakan DMARC:
| Kebijakan | Tindakan |
|---|---|
| p=none | Hanya pantau, tidak ada tindakan pada kegagalan |
| p=quarantine | Kirim kegagalan ke folder spam |
| p=reject | Blokir email yang gagal sepenuhnya |
Menyiapkan DMARC
Langkah 1: Pastikan SPF dan DKIM berfungsi
DMARC bergantung pada SPF dan DKIM. Verifikasi keduanya dikonfigurasi dengan benar sebelum menambahkan DMARC.
Langkah 2: Mulai dengan pemantauan (p=none)
Mulailah dengan kebijakan paling permisif untuk mengumpulkan data tanpa mempengaruhi pengiriman:
v=DMARC1; p=none; rua=mailto:[email protected]Langkah 3: Tambahkan catatan DNS
Di manajemen DNS Anda:
- Jenis: TXT
- Host/Nama: _dmarc
- Nilai: Catatan DMARC Anda
- TTL: 3600
Langkah 4: Analisis laporan selama 2-4 minggu
Laporan agregat DMARC tiba setiap hari sebagai file XML. Mereka menunjukkan:
- IP mana yang mengirim email menggunakan domain Anda
- Tingkat lulus/gagal SPF dan DKIM
- Hasil keselarasan DMARC
- Tindakan server penerima
Langkah 5: Perbaiki masalah autentikasi
Masalah umum yang terungkap oleh laporan:
- Layanan sah yang hilang dari SPF
- DKIM tidak diaktifkan untuk layanan pengiriman
- Layanan pihak ketiga yang mengirim tanpa autentikasi yang tepat
- Penerusan yang merusak keselarasan SPF
Langkah 6: Terapkan secara bertahap
Setelah sumber yang sah lulus secara konsisten:
- Pindah ke
p=quarantine; pct=10(karantina 10% kegagalan) - Tingkatkan pct ke 25, 50, 75, 100
- Pindah ke
p=reject; pct=10 - Tingkatkan ke penolakan penuh
Panduan Lengkap Pengaturan Catatan DNS
Menambahkan Catatan di Penyedia DNS Umum
Cloudflare:
- Masuk ke Dashboard Cloudflare
- Pilih domain Anda
- Buka DNS > Catatan
- Klik Tambah Catatan
- Untuk SPF: Jenis=TXT, Nama=@, Konten=catatan SPF Anda
- Untuk DKIM: Jenis=TXT, Nama=selector._domainkey, Konten=kunci DKIM
- Untuk DMARC: Jenis=TXT, Nama=_dmarc, Konten=catatan DMARC
GoDaddy:
- Buka Produk Saya > Domain
- Klik DNS di samping domain Anda
- Gulir ke bagian Catatan
- Klik Tambah untuk setiap catatan baru
- Pilih TXT untuk Jenis
- Masukkan Nama (@ untuk SPF, selector._domainkey untuk DKIM, _dmarc untuk DMARC)
- Masukkan Nilai
Namecheap:
- Buka Daftar Domain > Kelola
- Klik DNS Lanjutan
- Tambah Catatan Baru untuk masing-masing
- Pilih TXT Record
- Host: @ untuk SPF, selector._domainkey untuk DKIM, _dmarc untuk DMARC
- Nilai: Konten catatan Anda
Contoh Pengaturan Lengkap
Untuk domain yang menggunakan Brevo dan Google Workspace:
Catatan SPF (TXT di @):
v=spf1 include:spf.brevo.com include:_spf.google.com -allCatatan DKIM untuk Brevo (TXT di brevo._domainkey):
v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBA... [kunci dari dashboard Brevo]Catatan DMARC (TXT di _dmarc):
v=DMARC1; p=none; rua=mailto:[email protected]Pemecahan Masalah Umum
Pemecahan Masalah SPF
Catatan SPF tidak ditemukan: Verifikasi catatan ada dengan dig TXT domainda.com. Periksa bidang Nama/Host (harus @ atau kosong untuk domain root). Tunggu propagasi DNS.
SPF PermError (terlalu banyak pencarian): Audit include Anda dan hapus yang tidak digunakan. Ganti include dengan entri ip4: jika memungkinkan.
SPF SoftFail atau Fail untuk mail yang sah: Tambahkan include yang hilang untuk layanan pengiriman Anda. Periksa IP mana yang benar-benar mengirim email.
Beberapa catatan SPF: Gabungkan semua mekanisme menjadi satu catatan SPF.
Pemecahan Masalah DKIM
Tanda tangan DKIM hilang: Aktifkan DKIM di pengaturan penyedia Anda. Selesaikan langkah verifikasi domain.
Verifikasi DKIM gagal: Verifikasi catatan DNS ada di selector._domainkey.domain. Bandingkan selektor dalam header DKIM-Signature dengan DNS. Regenerasi kunci jika dicurigai ada ketidakcocokan.
Pemecahan Masalah DMARC
Kegagalan keselarasan DMARC: Pastikan penyedia email Anda menandatangani dengan domain Anda (DKIM khusus). Konfigurasi Return-Path/pengirim amplop kustom.
Tidak menerima laporan DMARC: Verifikasi sintaks rua: rua=mailto:[email protected]. Uji bahwa alamat pelaporan dapat menerima mail eksternal.
Alat Pemecahan Masalah Umum
Validator online:
- MXToolbox (mxtoolbox.com) - Pencarian SPF, DKIM, DMARC
- Mail Tester (mail-tester.com) - Kirim email uji untuk analisis lengkap
- DMARC Analyzer - Visualisasi laporan
Alat baris perintah:
# Periksa SPFdig TXT domainda.com
# Periksa DKIMdig TXT selector._domainkey.domainda.com
# Periksa DMARCdig TXT _dmarc.domainda.comAutentikasi Email dan Brevo
Brevo menyediakan dukungan autentikasi email yang komprehensif, memudahkan konfigurasi SPF, DKIM, dan DMARC untuk domain pengiriman Anda.
Menyiapkan Autentikasi di Brevo
- Masuk ke akun Brevo Anda
- Navigasikan ke Pengaturan > Pengirim, Domain & IP Khusus
- Klik Tambah Domain
- Masukkan nama domain Anda
- Ikuti petunjuk untuk menambahkan catatan SPF dan DKIM ke DNS Anda
- Brevo secara otomatis memeriksa catatan DNS Anda — tanda centang hijau menunjukkan konfigurasi yang berhasil
Manfaat Integrasi Tajo
Menggunakan Tajo untuk menghubungkan toko Shopify Anda dengan Brevo memberikan keuntungan tambahan:
- Sinkronisasi pelanggan otomatis: Data pelanggan mengalir mulus untuk email yang dipersonalisasi
- Pelacakan peristiwa: Peristiwa pembelian, penelusuran, dan keranjang memicu email transaksional yang diautentikasi
- Koordinasi multi-channel: Pertahankan autentikasi yang konsisten di seluruh email, SMS, dan WhatsApp
- Analitik terpadu: Lacak kinerja email bersama metrik pemasaran lainnya
Pertanyaan yang Sering Diajukan
Apa perbedaan antara SPF, DKIM, dan DMARC?
SPF menentukan server mana yang dapat mengirim email untuk domain Anda. DKIM menambahkan tanda tangan kriptografi yang membuktikan keaslian pesan. DMARC menetapkan kebijakan tentang bagaimana penerima harus menangani kegagalan autentikasi dan memberikan pelaporan. Ketiganya bekerja bersama untuk autentikasi email yang lengkap.
Apakah saya memerlukan ketiganya (SPF, DKIM, dan DMARC)?
Untuk kemampuan pengiriman dan keamanan yang optimal, ya. SPF saja rentan terhadap spoofing. DKIM saja tidak menentukan kebijakan. DMARC memerlukan SPF atau DKIM untuk berfungsi. Bersama-sama, mereka memberikan perlindungan komprehensif dan tingkat penempatan kotak masuk terbaik.
Berapa lama untuk autentikasi email berfungsi?
Perubahan DNS biasanya disebarkan dalam 30 menit hingga 48 jam. Setelah disebarkan, autentikasi berlaku segera. Namun, membangun reputasi pengirim berdasarkan autentikasi yang konsisten membutuhkan waktu berminggu-minggu hingga berbulan-bulan.
Apakah menyiapkan DMARC dengan p=reject akan memblokir email sah saya?
Bisa, jika dikonfigurasi tidak benar. Inilah mengapa Anda harus selalu memulai dengan p=none (pemantauan), menganalisis laporan selama 2-4 minggu, memperbaiki masalah apa pun, kemudian secara bertahap pindah ke karantina dan tolak. Jangan pernah melewatkan fase pemantauan.
Kesimpulan
Autentikasi email melalui SPF, DKIM, dan DMARC bukan lagi opsional bagi bisnis yang mengandalkan komunikasi email. Protokol-protokol ini melindungi merek Anda dari spoofing, meningkatkan kemampuan pengiriman, dan membangun kepercayaan yang diperlukan untuk email marketing yang efektif.
Poin utama:
- SPF mengizinkan server pengiriman melalui DNS
- DKIM membuktikan keaslian pesan dengan tanda tangan kriptografi
- DMARC menegakkan kebijakan dan memberikan visibilitas melalui laporan
- Mulai dengan pemantauan (p=none) sebelum menegakkan penolakan
- Semua sumber pengiriman yang sah harus dikonfigurasi dengan benar
- Pemantauan reguler mencegah drift konfigurasi
Pelajari cara Tajo terintegrasi dengan Brevo untuk memberikan autentikasi email yang mulus bersama sinkronisasi data pelanggan real-time untuk toko Shopify Anda.