DMARC: Apa Itu + Bagaimana Ini Membantu Melindungi Merek Anda dari Penipuan Email

Di dunia email, sangat mudah untuk berpura-pura menjadi seseorang yang bukan Anda. Hampir semua orang yang memiliki pemahaman dasar tentang cara kerja email dapat membuat pesan terlihat seperti berasal dari pengirim mana pun yang mungkin mereka pilih—dan tentu saja, penipu memanfaatkannya.

Ada banyak sekali contoh di mana penjahat menyamar sebagai merek, dan kemudian menggunakan reputasi tepercaya merek tersebut untuk mencuri informasi pribadi atau detail kartu kredit dari penerima email. Ini adalah mimpi buruk pemasar.

Untungnya, ada mekanisme yang membantu merek untuk menghindari penipuan email jenis ini: Protokol otentikasi email.

Otentikasi, Pelaporan & Kesesuaian Pesan Berbasis Domain—atau DMARC—adalah tambahan terbaru ke daftar protokol autentikasi email. Itu dibangun di atas dua kerangka kerja yang ada dan digunakan secara luas, protokol Kerangka Kebijakan Pengirim (SPF) dan DomainKeys Identified Mail (DKIM).

Tidak tahu DKIM Anda dari SPF Anda? Kami tahu ini bisa membingungkan! Pelajari dasar-dasar pengiriman email sebelum masuk ke detail seluk beluk DMARC. Pelajari dasar-dasarnya →

Apa yang membedakan DMARC dari protokol autentikasi email lainnya—dan membuatnya sangat berharga bagi setiap pemasar—adalah fungsi pelaporannya. Dengan DMARC, Anda dapat melihat siapa yang mengirim email atas nama domain Anda—merek Anda—dan mencegah spammer menggunakannya untuk mengirim email penipuan.

Memahami autentikasi email tidaklah mudah, dan dalam banyak kasus, ini bukanlah sesuatu yang dapat ditangani sendiri oleh pemasar email. Namun, sebagai suara merek Anda, setiap pemasar email harus memiliki pemahaman dasar tentang email otentikasi dan DMARC, dan cara menggunakan alat yang tersedia untuk membantu melindungi merek Anda dari penipuan email.

Untuk lebih memperjelas dunia autentikasi email yang membingungkan, kami duduk bersama Steven Jones, Direktur Eksekutif DMARC.org , dan menanyakan segala hal yang ingin kami ketahui tentang autentikasi email dan DMARC:

1. Apa itu otentikasi dan mengapa pemasar email harus memperhatikannya?
2. Apa itu DMARC, bagaimana cara kerjanya, dan apa yang membuatnya berbeda dari protokol otentikasi lainnya (DKIM dan SPF)? Bagaimana mereka bekerja sama?
3. Apa manfaat menyiapkan DMARC? Bagaimana cara membantu melindungi merek saya?
4. Apa yang bisa terjadi jika saya tidak mengaturnya?
5. Seperti apa laporan DMARC? Jenis informasi apa yang mereka sertakan?
6. Mengapa DMARC juga penting bagi Penyedia Kotak Masuk (ISP)?
7. Berapa banyak merek dan ISP yang sudah menggunakan DMARC?
8. Jika penyedia kotak masuk memeriksa email masuk untuk DMARC tetapi merek saya belum menyiapkannya, apakah ini dapat mengganggu tingkat pengiriman saya?
9. Apakah penyedia kotak masuk melampirkan peringatan keamanan ke email dari merek yang tidak diautentikasi? Apakah penerima email mengetahui kegagalan otentikasi?
10. Bagaimana dengan domain yang tidak mengirim email? Haruskah mereka diautentikasi juga?
11. Siapa yang biasanya bertanggung jawab untuk menyiapkan DMARC untuk sebuah merek—seseorang di perusahaan saya atau ESP saya? Siapa yang dapat membantu pelaksanaan teknis?
12. Berapa biaya untuk menyiapkan DMARC?
13. Selain DMARC, praktik lain apa yang Anda rekomendasikan untuk melindungi dari penipuan email?

1. Apa itu otentikasi dan mengapa pemasar email harus memperhatikannya?

Otentikasi email mengacu pada mekanisme atau protokol yang memungkinkan Anda, atau server email Anda, untuk memverifikasi bahwa pesan yang menggunakan domain internet tertentu di bidang dari benar-benar diizinkan untuk menggunakan domain tersebut. Dengan kata lain, jika Anda mendapatkan pesan dengan alamat dari [email protected], apakah BigBank.com benar-benar mengotorisasi pesan tersebut?

Protokol otentikasi email yang berbeda telah diperkenalkan selama dekade terakhir. Protokol yang paling populer adalah:

• Kerangka Kebijakan Pengirim, atau SPF
• Pesan Teridentifikasi DomainKeys, atau DKIM
• Otentikasi, Pelaporan dan Kesesuaian Pesan Berbasis Domain, atau DMARC.

Banyak penyedia kotak surat di seluruh dunia menggunakan protokol ini untuk menyaring pesan masuk. Pemasar tidak perlu melihat lebih jauh dari Google, Yahoo, dan Microsoft untuk menemukan bahwa lebih dari setengah dari daftar rata-rata mereka sedang diperiksa untuk ketiga protokol.

Banyak pemasar email mengirim pesan atas nama klien, menggunakan domain klien di alamat dari, tetapi tidak mengirim pesan dari infrastruktur klien. Ini pada dasarnya apa yang spammer dan phisher lakukan, sehingga membutuhkan lebih banyak pekerjaan dari penyedia kotak surat untuk membedakan pelaku jahat dari pemasar yang sah.

Protokol otentikasi email bertujuan untuk membuat tugas itu lebih mudah, dan pemasar harus sangat termotivasi untuk memastikan pesan yang mereka kirim dapat diverifikasi sebagai pesan yang sah. Ini menghindari penundaan, atau dialihkan ke folder spam secara tidak sengaja.

2. Apa itu DMARC, bagaimana cara kerjanya, dan apa yang membuatnya berbeda dari protokol otentikasi lainnya (DKIM dan SPF)? Bagaimana mereka bekerja sama?

DMARC pada dasarnya adalah lapisan kebijakan dan pelaporan di atas DKIM dan SPF.

Sisi pelaporan berarti bahwa penerima yang mendukung DMARC akan memberi tahu Anda:

• Berapa banyak pesan yang mereka terima menggunakan domain internet Anda di alamat Dari:
• Dari mana pesan-pesan ini berasal
• Apakah pesan ini lulus pemeriksaan DKIM dan SPF.

Ini sangat berguna untuk organisasi yang memperkenalkan otentikasi email, dan memungkinkan mereka untuk melihat apakah ada penjahat yang meniru identitas mereka.

Sisi kebijakan DMARC memungkinkan pemilik domain meminta penanganan pesan tertentu yang menggunakan domain mereka di alamat dari, tetapi tidak lulus DKIM atau SPF. Dengan kata lain: Jika seseorang menggunakan domain Anda tetapi autentikasinya gagal, tindakan apa yang harus diambil oleh penyedia kotak masuk? Anda dapat menanyakan bahwa:

• Tidak ada tindakan yang diambil
• Pesan yang gagal dikarantina
• Pesan yang gagal akan ditolak.

Ini jelas sangat ampuh dalam memerangi penipuan, dan terobosan karena penyedia kotak masuk sebagian besar tidak mau melakukan ini ketika hanya SPF yang digunakan, dan untuk DKIM belum ada mekanisme kebijakan yang diterima secara luas.

Ada satu faktor tambahan yang diperkenalkan DMARC, dan itu dikenal sebagai penyelarasan alamat. Otentikasi DKIM dan SPF menggunakan nama domain tertentu untuk setiap pesan. Dengan SPF ini adalah domain dalam "alamat pentalan", lebih tepatnya RFC5321.MailFrom. Dengan DKIM, ini adalah domain yang disertakan dalam tanda tangan kriptografik yang dilampirkan DKIM ke pesan.

Bingung belum? Inilah masalahnya. Baik DKIM maupun SPF menggunakan pengidentifikasi domain yang tidak pernah dilihat pengguna akhir. Jadi aktor yang buruk dapat menyebabkan pesan melewati pemeriksaan DKIM atau SPF sederhana menggunakan domain yang mereka kontrol, sambil meletakkan apa pun yang mereka suka di alamat dari. Pengguna akan melihat “[email protected]” dan dengan senang hati memercayai pesan tersebut, padahal seharusnya tidak.

Di bawah DMARC, domain ini harus cocok (atau "sejajar" dengan) alamat di header from. Inilah yang kami sebut penyelarasan alamat atau domain, dan ini membantu mencegah bentuk phishing yang paling mudah dan efektif.

3. Apa manfaat menyiapkan DMARC? Bagaimana cara membantu melindungi merek saya?

Tak seorang pun ingin dikaitkan dengan penipuan terhadap pelanggan mereka, atau pelanggan potensial mereka. Namun jika Anda tidak melindungi domain Anda—merek Anda—dengan autentikasi email, Anda mempermudah penjahat untuk memanfaatkan reputasi baik yang Anda bangun dengan hati-hati dengan membiarkan mereka meniru identitas domain Anda.

Untuk pemilik merek, manfaat pertama adalah pelaporan DMARC memberi Anda gambaran tentang aktivitas email menggunakan domain Anda. Anda bisa mendapatkan ini meskipun Anda belum menerapkan DKIM dan SPF untuk melihat apakah spammer dan phisher meniru identitas Anda. Selain itu, Anda akan mendapatkan gambaran tentang semua entitas internal yang mengirim email menggunakan domain Anda: Misalnya, Anda mungkin menemukan bahwa pemasaran telah menyewa dua perusahaan untuk mengirim email ke pelanggan, HR telah mengontrak sebuah perusahaan untuk memberi tahu karyawan tentang manfaat, dan Pembelian memiliki vendor yang menangani pesanan.

Namun, Anda tetap harus menerapkan DKIM dan SPF. Mempermudah penerima untuk memverifikasi pesan sah Anda berarti lebih sedikit penundaan menganalisis konten setiap pesan yang Anda kirim, karena semuanya berpotensi mencurigakan. Artinya, pesan Anda akan ditangani lebih konsisten di setiap penyedia kotak masuk, daripada sebagian dikirim ke folder spam, tergantung pada properti unik setiap kampanye.

4. Apa yang bisa terjadi jika saya tidak mengaturnya?

Jika Anda tidak menyiapkan DMARC, mungkin tidak terjadi apa-apa. Atau mungkin seseorang mengirim sejuta pesan menggunakan domain Anda, mencoba membuat orang menyerahkan detail rekening bank mereka. Tanpa pelaporan DMARC, Anda mungkin tidak akan pernah mendengarnya. Dengan DMARC dan protokol lainnya, Anda memiliki kesempatan untuk mencegah pesan tersebut menjangkau konsumen—yang, jika terjadi penipuan, secara alami akan memiliki hubungan yang buruk dengan domain atau merek yang digunakan untuk menjadi korban mereka.

Saat bekerja untuk mantan majikan saya, kami menerapkan DMARC untuk domain yang sudah pensiun, dan tidak ada yang terjadi selama sebulan. Kemudian pada suatu akhir pekan, seorang penipu mengirim hampir dua juta pesan menggunakan domain itu. Untungnya hampir semuanya (99%) diblokir karena kebijakan DMARC yang telah kami terbitkan, tetapi tanpa DMARC kami tidak akan pernah tahu—kecuali itu membuat surat kabar, yang bukan cara orang ingin mengetahui hal seperti itu.

Apakah data DMARC Anda disiapkan dengan benar? Pengujian Spam Litmus membantu Anda memastikan bahwa autentikasi email Anda—termasuk DMARC, DKIM, dan SPF—disiapkan untuk sukses Jelajahi Pengujian Spam →

5. Seperti apa laporan DMARC? Jenis informasi apa yang mereka sertakan?

Ada dua jenis laporan. Yang biasanya kita bicarakan disebut laporan agregat, di mana setiap penyedia kotak masuk menyertakan informasi ringkasan tentang semua pesan yang mereka lihat menggunakan domain Anda. Jadi itu jumlah pesan, alamat IP asalnya, apakah diautentikasi dengan DKIM atau SPF, apakah ada "pass" DMARC, apa yang dilakukan dengan pesan itu, dan sebagainya. Ini seperti baris database atau spreadsheet, dikemas sebagai teks menggunakan format yang disebut XML. Laporan bisa puluhan atau ratusan kilobyte, itu semua tergantung pada ukuran penyedia kotak masuk dan jumlah sumber lalu lintas, dll.

Jenis laporan lainnya adalah laporan kegagalan, yang tidak dikirim oleh semua penyedia kotak masuk. Microsoft's Hotmail mungkin adalah penyedia kotak surat AS paling terkenal yang mengirimkannya. Dalam hal ini, jika pemilik domain meminta mereka melalui kebijakan DMARC mereka, penyedia kotak masuk akan mengirimkan satu laporan kegagalan untuk setiap pesan yang mereka terima yang menggunakan domain Anda, tetapi gagal untuk diautentikasi.

Ingatlah bahwa meminta laporan kegagalan dapat menghasilkan banyak pesan. Tetapi laporan tersebut dapat berisi detail tentang sistem pengiriman, dan URL atau tautan apa pun dalam pesan, sehingga dapat sangat berguna baik bagi orang yang menggunakan otentikasi email dan pemecahan masalah, atau untuk staf keamanan yang mencoba memahami apa yang dilakukan scammer.

Kedua laporan ini sangat berharga, tetapi membacanya—khususnya laporan gabungan—bukanlah sesuatu yang dinikmati kebanyakan orang. Pemilik domain atau pengirim email biasanya ingin memproses laporan secara otomatis. Format didokumentasikan dalam standar, sehingga Anda memiliki pilihan untuk menulis alat Anda sendiri. Ada beberapa paket sumber terbuka untuk membantu Anda memulai, tetapi sebagian besar organisasi cenderung menggunakan salah satu dari beberapa layanan untuk mendapatkan bantuan. Agari, dmarcian, dan Return Path telah melakukannya paling lama, tetapi baru-baru ini perusahaan seperti 250ok, Easy Solutions, Fraudmarc, dan ValiMail menawarkan layanan ini dan banyak lagi.

6. Kami telah berbicara tentang pengirim dan mengapa mereka harus mengadopsi dan bertindak berdasarkan DMARC. Tetapi mengapa DMARC juga penting bagi Penyedia Kotak Masuk (ISP)?

Menerapkan DMARC sebagai penyedia kotak masuk bisa jadi mahal. Bayangkan memelihara database tentang semua domain individu yang mengirim email ke perusahaan Anda. Sekarang bayangkan Anda menjadi tuan rumah bagi seratus perusahaan. Masih bersamaku? Sekarang bayangkan Anda menghosting semua perusahaan yang menggunakan Google Apps, atau Office 365. Ini adalah investasi waktu, staf, dan sumber daya yang signifikan.

Tapi ada manfaat untuk ISP juga. Otentikasi email sangat terprogram jika dibandingkan dengan menentukan apakah ada sesuatu yang spam, atau phish, berdasarkan isi pesan. Yang pertama adalah serangkaian perhitungan cepat, sedangkan yang terakhir sangat subjektif, melibatkan penguraian bahasa alami, menafsirkan penggunaan gambar, menganalisis ke mana tautan dalam pesan pergi, dll.

Semakin canggih analisis yang Anda miliki untuk tunduk pada setiap pesan, semakin mahal biaya yang diperoleh ISP untuk menjaga kotak masuk pengguna tetap bersih. Otentikasi email, dan reputasi yang dibangun oleh pengirim lebih cepat saat mereka menggunakannya, dapat membuat penentuan awal tersebut jauh lebih cepat dan karenanya lebih murah. ISP masih harus memindai virus dan semacamnya, tetapi mengetahui pesan itu berasal dari pengirim yang memiliki reputasi baik membuat perbedaan besar.

Untuk membantu pemilik domain dan pengirim membuat pesan mereka lebih mudah untuk diautentikasi, ISP dan penerima DMARC lainnya menerima overhead kompilasi dan pengiriman laporan agregat tersebut. Idenya adalah bahwa pengirim akan menggunakan laporan tersebut untuk memastikan pesan sah mereka mengautentikasi 100% dari waktu, yang membantu menahan biaya operasional untuk penerima. Semua orang diuntungkan—terutama pengguna akhir yang memiliki lebih sedikit pesan penipuan di kotak masuk mereka.

7. Berapa banyak merek dan ISP yang sudah menggunakan DMARC?

Akan sangat sulit untuk memberikan jawaban yang akurat untuk pertanyaan itu. Tidak setiap organisasi yang menggunakan DMARC untuk memfilter pesan masuk mengiklankan bahwa mereka menggunakannya, dan beberapa gerbang email komersial sekarang melakukan pemfilteran tetapi belum mendukung pelaporan. Di sisi pengirim, saya dapat mengatakan bahwa satu kumpulan data menunjukkan lebih dari 100.000 domain telah menerbitkan data DMARC yang valid, dan itu adalah kumpulan data terbatas—tidak mencakup apa pun yang dekat dengan seluruh internet.

Jika pembaca mencoba memahami apakah ada cukup penggunaan DMARC yang harus mereka adopsi lebih cepat daripada nanti, maka jawaban saya adalah ya. Dalam istilah pemasaran, pertimbangkan berapa banyak pelanggan klien Anda yang dicakup oleh AOL, Comcast, GMail, Microsoft, dan Yahoo. Mereka semua menggunakan DMARC, jadi Anda juga ingin memastikannya. Dan sementara itu semua mungkin tampak sangat spesifik untuk Amerika Utara dan mungkin Eropa, salah satu penyedia kotak surat Cina terbesar, NetEase; LaPoste di Prancis; Mail.ru dan Yandex di Rusia; dan banyak penyedia kotak surat lainnya besar dan kecil di seluruh dunia menggunakan DMARC.

8. Jika penyedia kotak masuk memeriksa email masuk untuk DMARC tetapi merek saya belum menyiapkannya, apakah ini dapat mengganggu tingkat pengiriman saya?

Semakin mudah untuk menentukan bahwa pesan tidak buruk, semakin besar kemungkinan mereka terkirim dengan cepat dan tanpa kesalahan. Bukannya Anda merusak tingkat pengiriman Anda ketika Anda tidak memiliki otentikasi email, karena Anda dapat menghindari diperlakukan secara tidak benar ketika Anda memilikinya.

Misalnya, Anda mengirim pesan dan berisi frasa atau tautan yang menyerupai sesuatu dalam kampanye spam skala besar baru-baru ini. Jika penyedia kotak surat harus mengandalkan pemfilteran konten dan pencocokan pola, dan mereka tidak memiliki bukti bahwa pesan Anda berasal dari aktor yang dikenal baik, ada kemungkinan lebih tinggi beberapa atau semua pesan tersebut mungkin dikirim ke folder spam. Kasus terbaik, pesan menjadi sasaran pemindaian dan pemeriksaan lebih lanjut, yang menunda pengiriman pesan Anda.

Atau—dan ini semakin umum—jika Anda tidak lulus pemeriksaan autentikasi, Anda mungkin membuat tautan dalam pesan Anda dihapus atau dinonaktifkan, atau gambarnya mungkin diblokir, semua karena sumber pesan tidak dapat diverifikasi.

9. Apakah penyedia kotak masuk melampirkan peringatan keamanan ke email dari merek yang tidak diautentikasi? Apakah penerima email mengetahui kegagalan otentikasi?

Faktanya, beberapa penyedia kotak surat teratas sedang bereksperimen dengan menunjukkan kepada pengguna indikator yang berbeda ketika pesan yang tidak diautentikasi muncul di kotak masuk mereka. Gmail khususnya telah melakukan ini, sama seperti yang mereka lakukan untuk pesan yang tidak dikirim melalui koneksi terenkripsi.

10. Bagaimana dengan domain yang tidak mengirim email? Haruskah mereka diautentikasi juga?

Ini adalah kasus khusus, dan harus ditangani dengan otentikasi. Jika Anda memiliki domain yang tidak mengirim email sekarang atau dalam waktu dekat—misalnya domain telah dipesan atau “diparkir”—Anda dapat dengan mudah menyetel data SPF sehingga tidak ada yang meniru identitasnya dapat mencapai kotak masuk, dan menyetel data DMARC untuk menerima laporan ketika ada yang mencoba.

Ini adalah sesuatu yang harus dilakukan untuk setiap domain terparkir, hanya untuk menjaga potensi ekuitas merek domain tersebut. Jika domain yang Anda pesan telah disalahgunakan dan memiliki reputasi buruk pada saat Anda ingin menggunakannya, Anda telah membuang waktu dan uang Anda. Lebih baik melindunginya dari awal.

11. Siapa yang biasanya bertanggung jawab untuk menyiapkan DMARC untuk sebuah merek—seseorang di perusahaan saya atau ESP saya? Siapa yang dapat membantu pelaksanaan teknis?

Setiap perusahaan tampaknya mengatur tanggung jawab ini secara berbeda. Terkadang tim pemasaran mengembangkan nama dan mendaftarkannya, bekerja dengan tim internal atau vendor untuk operasi. Di lain waktu satu departemen mengelola domain, grup yang berbeda menangani email, dan pemasaran adalah pelanggan internal yang berkoordinasi dengan beberapa ESP. Salah satu dari kelompok tersebut mungkin ditugaskan untuk mencegah penyalahgunaan, atau mungkin berasal dari keamanan informasi atau tim manajemen risiko.

Saran terbaik yang bisa saya tawarkan adalah:

1. Perusahaan yang memiliki merek harus menjadi pemilik domain terdaftar, dan
2. Mereka harus menentukan siapa yang bertanggung jawab atas manajemen domain di seluruh perusahaan, serupa dengan bagaimana manajemen merek biasanya diatur di seluruh perusahaan.

Pastikan eksekutif Anda memahami risiko tidak melindungi domain Anda, dan menetapkan kebijakan yang jelas dan pihak atau departemen yang bertanggung jawab dengan wewenang untuk menyelesaikan pekerjaan. Kemudian tentukan tim mana yang perlu dilibatkan dalam mengembangkan rencana untuk melindungi domain tersebut dan menjalankannya.

Ketika sampai pada pertanyaan tentang teknologi dan operasi, jika perusahaan tidak memiliki keahlian internal, ada vendor yang dapat membantu. Kami telah mencantumkan beberapa penyedia untuk dukungan implementasi dan analitik di situs web DMARC.

12. Berapa biaya untuk menyiapkan DMARC?

Ini tidak memberikan jawaban yang mudah, karena skala proyek akan sangat bervariasi dari perusahaan ke perusahaan. Sebagai contoh:

• Berapa banyak domain yang terlibat?
• Berapa banyak departemen internal yang berbeda mengirim email?
• Berapa banyak vendor luar?
• Apakah akan ada biaya jika vendor tersebut harus mengubah aspek pesan yang mereka kirim?
• Siapa yang bertanggung jawab atas proyek tersebut, dan dapatkah mereka memaksa departemen lain untuk melakukan perubahan operasional jika diperlukan?
• Apakah keahlian teknis yang dibutuhkan tersedia di rumah, atau apakah itu perlu bersumber?

Berbekal pertanyaan-pertanyaan itu—yang hanya menggores permukaan—seseorang yang mengetahui organisasi target mungkin mulai melakukan upaya tersebut. Pada saat yang sama, dan untuk mendapatkan gambaran tentang apa yang dapat dilakukan DMARC, memublikasikan data DNS untuk satu domain dan meninjau laporan adalah cara mudah untuk memulai, dan mungkin menunjukkan perlunya proyek nyata berdasarkan apa yang ditunjukkan oleh laporan tersebut.

13. Selain DMARC, praktik lain apa yang Anda rekomendasikan untuk melindungi dari penipuan email?

Lakukan apa pun yang Anda bisa untuk memudahkan mengidentifikasi pesan Anda. Gunakan domain Anda secara konsisten dari waktu ke waktu, idealnya menggunakan satu domain atau subdomain di seluruh pesan untuk alamat, gambar, tautan, dll. Sangat mudah dan menggoda untuk menarik aset dari domain yang berbeda—vendor dan mitra Anda, misalnya—tetapi itu bisa tampak sama seperti ketika phisher menarik aset dari domain yang tidak terkait dengan alamat dari. Setidaknya batasi kumpulan domain lain yang Anda gunakan, dan jaga agar tetap stabil dari waktu ke waktu.

Semakin mudah untuk memberi tahu bahwa pesan Anda berasal dari Anda, semakin mudah untuk mengetahui kapan pesan yang menggunakan identitas Anda berasal dari tempat lain, dan tidak boleh dikirim ke kotak masuk.

Masuk ke inbox, bukan ke folder spam Identifikasi masalah yang mungkin menghalangi Anda dari kotak masuk dan dapatkan bantuan yang dapat ditindaklanjuti untuk cara memperbaikinya dengan Pengujian Spam Litmus. Coba Lakmus gratis →