Praktik terbaik untuk dukungan autentikasi pengirim di Email Azure Communication Services
Artikel ini menyediakan praktik terbaik Pengiriman Email pada catatan DNS dan cara menggunakan metode autentikasi pengirim yang membantu mencegah penyerang mengirim pesan yang terlihat seperti berasal dari domain Anda.
Autentikasi email dan penyiapan DNS
Mengirim email memerlukan beberapa langkah yang mencakup dalam memastikan pengirim email benar-benar memiliki domain, memeriksa reputasi domain, pemindaian virus, memfilter spam, upaya pengelabuan, malware dll. Mengonfigurasi autentikasi email yang tepat adalah prinsip dasar untuk membangun kepercayaan pada email dan melindungi reputasi domain Anda. Jika email lolos pemeriksaan autentikasi, domain penerima dapat menerapkan kebijakan ke email tersebut sesuai dengan reputasi yang telah ditetapkan untuk identitas yang terkait dengan pemeriksaan autentikasi tersebut, dan penerima dapat merasa yakin bahwa identitas tersebut valid.
Catatan MX (Mail Exchange)
Catatan MX (Mail Exchange) digunakan untuk merutekan email ke server yang benar. Ini menentukan server email yang bertanggung jawab untuk menerima pesan email atas nama domain Anda. DNS perlu diperbarui dengan informasi terbaru catatan MX domain email Anda jika tidak, dns akan mengakibatkan beberapa kegagalan pengiriman.
SPF (Kerangka Kebijakan Pengirim)
SPF RFC 7208 adalah mekanisme yang memungkinkan pemilik domain menerbitkan dan memelihara, melalui data DNS TXT standar, daftar sistem yang diizinkan untuk mengirim email atas nama pemilik domain. Catatan ini digunakan untuk menentukan server email mana yang berwenang untuk mengirim email atas nama domain Anda. Ini membantu mencegah spoofing email dan meningkatkan pengiriman email.
DKIM (Domain Keys Identified Mail)
DKIM RFC 6376 memungkinkan organisasi untuk mengklaim tanggung jawab untuk mengirimkan pesan dengan cara yang dapat divalidasi oleh penerima. Catatan ini juga digunakan untuk mengautentikasi domain tempat email dikirim, dan membantu mencegah spoofing email dan meningkatkan pengiriman email.
DMARC (Autentikasi, Pelaporan, dan Kesesuaian Pesan Berbasis Domain)
DMARC RFC 7489 adalah mekanisme yang scalable yang digunakan organisasi pengirim email untuk mengekspresikan kebijakan dan preferensi tingkat domain untuk validasi pesan, disposisi, dan pelaporan yang dapat digunakan organisasi penerima email untuk meningkatkan penanganan email. Ini juga digunakan untuk menentukan bagaimana penerima email harus menangani pesan yang gagal pemeriksaan SPF dan DKIM. Ini meningkatkan pengiriman email dan membantu mencegah spoofing email.
ARC (Authenticated Received Chain)
Protokol ARC RFC 8617 menyediakan rantai pengamanan terautentikasi untuk pesan, memungkinkan setiap entitas yang menangani pesan untuk mengidentifikasi entitas apa yang menangani pesan sebelumnya serta penilaian autentikasi pesan di setiap hop. ARC belum menjadi standar internet, tetapi adopsi ARC semakin meningkat.
Cara kerja autentikasi Email
Autentikasi email memverifikasi bahwa pesan email dari pengirim (misalnya, notification@contoso.com) adalah sah dan berasal dari sumber yang diharapkan untuk domain email tersebut (misalnya, contoso.com.) Pesan email mungkin berisi beberapa alamat asal atau pengirim. Alamat ini digunakan untuk tujuan yang berbeda. Misalnya, pertimbangkan alamat berikut:
Alamat Mail From mengidentifikasi pengirim dan menentukan ke mana harus mengirim pemberitahuan pengembalian jika terjadi masalah dengan pengiriman pesan, seperti pemberitahuan tidak terkirim. Ini muncul di bagian amplop pesan email dan tidak ditampilkan oleh aplikasi email Anda. Ini kadang-kadang disebut alamat 5321.MailFrom atau alamat jalur balik.
Alamat From adalah alamat yang ditampilkan sebagai alamat From oleh aplikasi email Anda. Alamat ini mengidentifikasi penulis email. Artinya, kotak surat orang atau sistem yang bertanggung jawab untuk menulis pesan. Ini kadang-kadang disebut alamat 5322.From.
Kerangka Kebijakan Pengirim (SPF) membantu memvalidasi email keluar yang dikirim dari email Anda dari domain (berasal dari siapa yang dikatakan).
DomainKeys Identified Mail (DKIM) membantu memastikan bahwa sistem email tujuan memercayai pesan yang dikirim keluar dari email Anda dari domain.
Autentikasi, Pelaporan, dan Kesesuaian Pesan Berbasis Domain (DMARC) berfungsi dengan Kerangka Kebijakan Pengirim (SPF) dan DomainKeys Identified Mail (DKIM) untuk mengautentikasi pengirim email dan memastikan bahwa sistem email tujuan mempercayai pesan yang dikirim dari domain Anda.
Menerapkan DMARC
Menerapkan DMARC dengan SPF dan DKIM memberikan perlindungan yang kaya terhadap email spoofing dan pengelabuan. SPF menggunakan data DNS TXT untuk memberikan daftar alamat IP pengirim resmi untuk domain tertentu. Biasanya, pemeriksaan SPF hanya dilakukan terhadap alamat 5321.MailFrom. Hal ini berarti bahwa alamat 5322.From tidak diautentikasi saat Anda menggunakan SPF itu sendiri. Hal ini memungkinkan skenario di mana pengguna dapat menerima pesan, yang melewati pemeriksaan SPF tetapi memiliki alamat pengirim 5322.From palsu.
Seperti data DNS untuk SPF, data untuk DMARC adalah data teks DNS (TXT) yang membantu mencegah spoofing dan pengelabuan. Anda menerbitkan data DMARC TXT di DNS. Data DMARC TXT memvalidasi asal pesan email dengan memverifikasi alamat IP penulis email terhadap dugaan pemilik domain pengirim. Data DMARC TXT mengidentifikasi server email keluar yang diotorisasi. Sistem email tujuan kemudian dapat memverifikasi bahwa pesan yang mereka terima berasal dari server email keluar yang diotorisasi. Hal ini memaksa ketidakcocokan antara alamat 5321.MailFrom dan 5322.From di semua email yang dikirim dari domain Anda dan DMARC akan gagal untuk email tersebut. Untuk menghindari hal ini, Anda perlu menyiapkan DKIM untuk domain Anda.
Catatan kebijakan DMARC memungkinkan domain mengumumkan bahwa email mereka menggunakan autentikasi; memberikan alamat email untuk mengumpulkan umpan balik tentang penggunaan domain mereka; dan menentukan kebijakan yang diminta untuk penanganan pesan yang tidak lolos pemeriksaan autentikasi. Kami merekomendasikan bahwa
- Pernyataan kebijakan, domain yang menerbitkan data DMARC menjadi “p=reject” jika memungkinkan, atau “p=quarantine”.
- Pernyataan kebijakan “p=none”, “sp=none”, dan pct<100 hanya boleh dilihat sebagai status transisi, dengan tujuan menghapusnya secepat mungkin.
- Setiap catatan kebijakan DMARC yang diterbitkan harus menyertakan, minimum, tag "rua" yang mengarah ke kotak surat untuk menerima laporan agregat DMARC dan tidak boleh mengirim balasan kembali saat menerima laporan karena masalah privasi.
Langkah berikutnya
Domain email dan autentikasi pengirim untuk Azure Communication Services
Memulai dengan membuat dan mengelola Communication Service Email di Azure Communication Service
Dokumen berikut mungkin menarik bagi Anda:
- Biasakan diri Anda dengan Pustaka klien email
- Bagaimana cara mengirim email dengan domain terverifikasi kustom? Menambahkan domain kustom
- Bagaimana cara mengirim email dengan Azure Managed Domains? Menambahkan domain Terkelola Azure
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk