Membuat data
Setelah SPF dan DKIM berada di posisi yang sesuai, Anda mengonfigurasi DMARC dengan menambahkan kebijakan ke data DNS domain Anda dalam bentuk data TXT (seperti halnya dengan SPF atau ADSP).
Penting: Sebelum membuat data DMARC untuk domain G Suite, Anda harus menyiapkan autentikasi DKIMterlebih dahulu. Jika Anda tidak dapat menyiapkan DKIM terlebih dahulu, email dari layanan seperti Google Kalender akan menggagalkan autentikasi email dan tidak akan dikirimkan kepada pengguna.
Ikuti petunjuk untuk membuat data TXT dengan nama dan nilai yang tepat, menggunakan petunjuk khusus untuk host domain populer. Nama data TXT harus berupa "_dmarc.domain_anda.com." dengan "domain_anda.com" digantikan dengan nama domain Anda yang sebenarnya. Anda juga dapat meninjau pembatasan terkait beberapa host domain.
Berikut adalah tag umum yang digunakan dalam data TXT DMARC:
| Nama Tag | Wajib | Tujuan | Contoh |
|---|---|---|---|
v |
wajib | Versi protokol | v=DMARC1 |
p |
wajib | Kebijakan untuk domain | p=quarantine |
pct |
opsional | % pesan yang harus difilter | pct=20 |
rua |
opsional | URI Pelaporan dari laporan gabungan | rua=mailto:aggrep@example.com |
sp |
opsional | Kebijakan untuk subdomain dari domain | sp=reject |
aspf |
opsional | Modus penyelarasan untuk SPF | aspf=r |
Lihat Registri Tag DMARC untuk tag lain yang tersedia.
Google tidak mendukung tag ruf DMARC untuk pendistribusian laporan forensik.
Hanya tag v (versi) dan p (kebijakan) yang diperlukan. Tiga setelan kebijakan yang mungkin, atau disposisi pesan, tersedia:
- tidak ada - Tidak melakukan tindakan apa pun. Catat pesan yang terkena dampak hanya pada laporan harian.
- karantina - Tandai pesan yang terkena dampak sebagai spam.
- tolak - Batalkan pesan pada lapisan SMTP.
Modus penyelarasan merujuk pada ketepatan dalam data pengirim yang dibandingkan dengan tanda tangan SPF dan DKIM, dengan dua kemungkinan nilai bebas atau terikat. Digambarkan masing-masing dengan "r" dan "s". Singkatnya, nilai bebas memungkinkan pencocokan parsial, seperti subdomain dari domain yang ditentukan, sementara nilai terikat memerlukan pencocokan tepat.
Pastikan untuk menyertakan alamat email dengan tag rua opsional untuk menerima laporan harian.
Berikut ini adalah beberapa contoh data TXT DMARC (_dmarc.domain_anda.com IN TXT) yang dapat Anda ubah untuk penggunaan Anda sendiri. Tentu saja, ganti "domain_anda.com" dan "postmaster@domain_anda.com" dengan domain dan alamat email Anda yang sebenarnya.
Dalam contoh data TXT berikut, jika pesan mengklaim berasal dari domain.com dan gagal dalam pemeriksaan DMARC, Anda tidak perlu melakukan apa pun. Sebaliknya, semua pesan ini muncul dalam laporan gabungan harian yang dikirim ke "postmaster@domain_anda.com."
"v=DMARC1; p=none; rua=mailto:postmaster@domain_anda.com"
Dalam contoh data TXT berikutnya, jika pesan mengklaim berasal dari domain_anda.com dan gagal dari pemeriksaan DMARC, karantina pesan selama 5% dari waktunya. Lalu kirimkan laporan gabungan harian melalui email ke "postmaster@domain_anda.com."
"v=DMARC1; p=quarantine; pct=5; rua=mailto:postmaster@domain_anda.com"
Dalam contoh terakhir, jika pesan mengklaim berasal dari "domain_anda.com" dan gagal dari pemeriksaan DMARC, tolak 100% waktunya. Lalu kirimkan laporan gabungan harian melalui email ke "postmaster@domain_anda.com" dan "dmarc@domain_anda.com."
"v=DMARC1; p=reject; rua=mailto:postmaster@domain_anda.com, mailto:dmarc@domain_anda.com"
Laporan harian hadir dalam format XML. Bacalah laporan tersebut agar dapat lebih bamemahami alur email Anda.Laporan membantu Anda memastikan sumber email keluar Anda diautentikasi dengan benar. Pastikan beragam IP pengirim email yang mengklaim berasal dari domain Anda memang sah, konfigurasikan dengan benar menggunakan DKIM atau tambahkan ke rentang SPF. Laporan juga membantu administrator mengambil tindakan cepat saat mereka telah menerapkan kebijakan pemblokiran jika sumber email baru menjadi online atau konfigurasi sumber email yang ada rusak.
Berikut adalah kutipan dari laporan yang menampilkan hasil untuk pesan yang dikirimkan dari sejumlah alamat IP, satu pesan dikirim langsung dan pesan lain diteruskan. Kedua pesan lolos:
<record> <row> <source_ip>207.126.144.129</source_ip> <count>1</count> <policy_evaluated> <disposition>none</disposition> </policy_evaluated> </row> <identities> <header_from>stefanomail.com</header_from> </identities> <auth_results> <dkim> <domain>stefanomail.com</domain> <result>pass</result> <human_result></human_result> </dkim> <spf> <domain>stefanomail.com</domain> <result>pass</result> </spf> </auth_results> </record> <record> <row> <source_ip>207.126.144.131</source_ip> <count>1</count> <policy_evaluated> <disposition>none</disposition> <reason> <type>forwarded</type> <comment></comment> </reason> </policy_evaluated> </row> <identities> <header_from>stefanomail.com</header_from> </identities> <auth_results> <dkim> <domain>stefanomail.com</domain> <result>pass</result> <human_result></human_result> </dkim> <spf> <domain>stefanomail.com</domain> <result>pass</result> </spf> </auth_results> </record>
Menerapkan secara perlahan
Kami sangat menyarankan peningkatan penggunaan DMARC secara perlahan dengan menerapkan kebijakan tersebut dalam urutan ini. Pertama, pantau lalu lintas Anda dan cari keganjilan dalam laporan, seperti pesan yang belum ditandatangani atau mungkin dipalsukan. Lalu, bila Anda merasa puas dengan hasilnya, ubah setelan kebijakan data TXT dari "tidak ada" menjadi "karantina". Sekali lagi, tinjau hasilnya, kali ini tinjau di tangkapan spam dan di laporan DMARC harian. Terakhir, setelah Anda benar-benar yakin semua pesan Anda telah ditandatangani, ubah setelan kebijakan menjadi "tolak" guna memanfaatkan DMARC sepenuhnya. Kunjungi lagi laporan untuk memastikan hasil Anda dapat diterima.
Demikian pula, tag pct opsional dapat digunakan untuk melancarkan dan mengambil sampel penerapan DMARC Anda. Karena 100% adalah setelan default, menyampaikan "pct=20" pada data TXT DMARC Anda akan menghasilkan seperlima dari semua pesan yang terpengaruh oleh kebijakan tersebut sebenarnya menerima disposisi, bukan semuanya. Setelan ini sangat berguna sekali setelah Anda memilih untuk mengarantina dan menolak email. Mulai dengan persentase yang lebih rendah dan tingkatkan setiap beberapa harin.
Jadi siklus penerapan konservatif akan menyerupai:
- Pantau semua.
- Karantina 1%.
- Karantina 5%.
- Karantina 10%.
- Karantina 25%.
- Karantina 50%.
- Karantina semua.
- Tolak 1%.
- Tolak 5%.
- Tolak 10%.
- Tolak 25%.
- Tolak 50%.
- Tolak semua.
Cobalah hapus persentase secepat mungkin guna menyelesaikan penerapan.
Seperti biasa, tinjau laporan harian Anda.