Praktik terbaik untuk dukungan autentikasi pengirim

Artikel ini menyediakan praktik terbaik Pengiriman Email pada catatan DNS dan cara menggunakan metode autentikasi pengirim yang membantu mencegah penyerang mengirim pesan yang terlihat seperti berasal dari domain Anda.

Autentikasi email dan penyiapan DNS

Mengirim email memerlukan beberapa langkah yang mencakup memverifikasi pengirim email yang benar-benar memiliki domain, memeriksa reputasi domain, pemindaian virus, pemfilteran spam, upaya pengelabuan, malware, dan sebagainya. Mengonfigurasi autentikasi email yang tepat adalah prinsip dasar untuk membangun kepercayaan pada email dan melindungi reputasi domain Anda. Jika email melewati pemeriksaan autentikasi, domain penerima dapat menerapkan kebijakan ke email tersebut sesuai dengan reputasi yang sudah dibuat untuk identitas yang terkait dengan pemeriksaan autentikasi tersebut. Penerima dapat yakin bahwa identitas tersebut valid.

Catatan MX (Mail Exchange)

Catatan MX (Mail Exchange) digunakan untuk merutekan email ke server yang benar. Ini menentukan server email yang bertanggung jawab untuk menerima pesan email atas nama domain Anda. DNS perlu diperbarui dengan informasi terbaru dari catatan MX domain email Anda; jika tidak, ini dapat menyebabkan beberapa kegagalan pengiriman.

SPF (Kerangka Kerja Kebijakan Pengirim)

SPF RFC 7208 adalah mekanisme yang memungkinkan pemilik domain untuk menerbitkan dan memelihara, melalui catatan TXT DNS standar, daftar sistem yang berwenang untuk mengirim email atas nama mereka. Catatan ini digunakan untuk menentukan server email mana yang berwenang untuk mengirim email atas nama domain Anda. Ini membantu mencegah spoofing email dan meningkatkan pengiriman email.

DKIM (Pesan yang Diidentifikasi dengan Kunci Domain)

DKIM RFC 6376 memungkinkan organisasi untuk mengklaim tanggung jawab untuk mengirimkan pesan dengan cara yang dapat divalidasi oleh penerima. Catatan ini juga digunakan untuk mengautentikasi domain tempat email dikirim, dan membantu mencegah spoofing email dan meningkatkan pengiriman email.

DMARC (Autentikasi, Pelaporan, dan Kesamaan Pesan Berbasis Domain)

DMARC RFC 7489 adalah mekanisme yang dapat diskalakan di mana organisasi asal email dapat mengekspresikan kebijakan dan preferensi tingkat domain untuk validasi, disposisi, dan pelaporan pesan. Organisasi penerima email dapat menggunakan RFC 7489 untuk meningkatkan penanganan email. Anda juga dapat menggunakan RFC 7489 untuk menentukan bagaimana penerima email harus menangani pesan yang gagal pemeriksaan SPF dan DKIM. Ini meningkatkan pengiriman email dan membantu mencegah spoofing email.

ARC (Rantai Yang Diterima Terautentikasi)

Protokol ARC RFC 8617 menyediakan rantai pengamanan terautentikasi untuk pesan, memungkinkan setiap entitas yang menangani pesan untuk mengidentifikasi entitas apa yang menanganinya sebelumnya dan penilaian autentikasi pesan di setiap hop. ARC belum menjadi standar internet, tetapi adopsi meningkat.

Cara kerja autentikasi Email

Autentikasi email memverifikasi bahwa pesan email dari pengirim (misalnya, notification@contoso.com) sah dan berasal dari sumber yang diharapkan untuk domain email tersebut (misalnya, contoso.com).

Pesan email mungkin berisi beberapa alamat asal atau pengirim. Alamat ini digunakan untuk tujuan yang berbeda. Misalnya, pertimbangkan alamat-alamat ini:

• Alamat Email Dari mengidentifikasi pengirim dan menentukan tempat untuk mengirim pemberitahuan pengembalian jika ada masalah dengan pengiriman pesan, seperti pemberitahuan tidak terkirim. Pemberitahuan pengembalian muncul di bagian amplop pesan email dan tidak ditampilkan oleh aplikasi email Anda. Ini kadang-kadang disebut alamat 5321.MailFrom atau alamat jalur terbalik.

• Alamat Dari adalah alamat yang ditampilkan sebagai Alamat Dari oleh aplikasi email Anda. Alamat ini mengidentifikasi penulis email. Artinya, kotak surat orang atau sistem yang bertanggung jawab untuk menulis pesan. Ini kadang-kadang disebut alamat 5322.From.

• Kerangka Kebijakan Pengirim (SPF) membantu memvalidasi email keluar yang dikirim dari domain pengirim email Anda (berasal dari sumber yang sesuai dengan yang dinyatakan).

• DomainKeys Identified Mail (DKIM) membantu memastikan bahwa sistem email tujuan mempercayai pesan yang dikirim keluar dari email Anda dari domain.

• Autentikasi, Pelaporan, dan Kesesuaian Pesan berbasis domain (DMARC) berfungsi dengan Sender Policy Framework (SPF) dan DomainKeys Identified Mail (DKIM) untuk mengautentikasi pengirim email. Pendekatan ini memastikan bahwa sistem email tujuan mempercayai pesan yang dikirim dari domain Anda.

Menerapkan DMARC

Menerapkan DMARC dengan SPF dan DKIM memberikan perlindungan yang kaya terhadap spoofing dan email phishing. SPF menggunakan catatan DNS TXT untuk menyediakan daftar alamat IP pengiriman resmi untuk domain tertentu. Biasanya, pemeriksaan SPF hanya dilakukan terhadap alamat 5321.MailFrom. Ini berarti bahwa alamat 5322.From tidak diautentikasi saat Anda menggunakan SPF dengan sendirinya. Ini memungkinkan skenario di mana pengguna dapat menerima pesan, yang melewati pemeriksaan SPF tetapi memiliki alamat pengirim 5322.From yang dipalsukan.

Seperti catatan DNS untuk SPF, catatan untuk DMARC adalah catatan teks DNS (TXT) yang membantu mencegah spoofing dan phishing. Anda menerbitkan catatan TXT DMARC di DNS. Catatan DMARC TXT memvalidasi asal pesan email dengan memverifikasi alamat IP penulis email terhadap dugaan pemilik domain pengirim. Catatan DMARC TXT mengidentifikasi server email keluar resmi. Sistem email tujuan kemudian dapat memverifikasi bahwa pesan yang mereka terima berasal dari server email keluar yang diotorisasi. Ini memaksa ketidakcocokan antara alamat 5321.MailFrom dan 5322.From di semua email yang dikirim dari domain Anda, yang mengakibatkan DMARC gagal untuk email tersebut. Untuk menghindari hal ini, Anda perlu menyiapkan DKIM untuk domain Anda.

Catatan kebijakan DMARC memungkinkan domain mengumumkan bahwa email mereka menggunakan autentikasi. Catatan kebijakan menyediakan alamat email untuk mengumpulkan umpan balik tentang penggunaan domain mereka. Catatan kebijakan juga menentukan kebijakan yang diminta untuk penanganan pesan yang tidak lulus pemeriksaan autentikasi. Kami menyarankan bahwa:

• Pernyataan kebijakan domain yang menerbitkan rekaman DMARC adalah "p=reject" jika memungkinkan, "p=quarantine" jika tidak.
• Perlakukan pernyataan kebijakan "p=none", "sp=none", dan pct<100 sebagai status transisi, dengan tujuan menghapusnya secepat mungkin.
• Setiap catatan kebijakan DMARC yang diterbitkan harus mencakup, minimal, rua tag yang menunjuk ke kotak surat untuk menerima laporan agregat DMARC dan tidak boleh mengirim balasan kembali saat menerima laporan karena masalah privasi.

Langkah berikutnya

• Praktik terbaik untuk menerapkan DMARC

• Mengatasi masalah implementasi DMARC Anda

• Domain email dan autentikasi pengirim untuk Azure Communication Services

• Mulai membuat dan mengelola Email Communication Service di Azure Communication Service

• Memulai dengan menyambungkan Email Communication Service dengan sumber daya Azure Communication Service

Artikel terkait

• Biasakan diri Anda dengan pustaka klien Email.
• Bagaimana cara mengirim email dengan domain terverifikasi kustom? Tambahkan domain kustom.
• Bagaimana cara mengirim email dengan Azure Managed Domains? Tambahkan domain Terkelola Azure.