Metode autentikasi email - dasar-dasar di balik SPF, DKIM, DMARC, dan BIMI

2 April 2021
7

Ada lebih banyak hal yang perlu diperhatikan dalam keamanan email daripada yang pertama kali terlihat. Kita semua sangat menyadari bahwa email adalah salah satu area yang paling sulit terkena phishing untuk data pribadi dan informasi sensitif.

Para peretas menjadi jauh lebih baik dalam menciptakan pesan yang tampak autentik yang menipu begitu banyak orang untuk mengklik ajakan bertindak dan memberikan informasi yang mereka cari kepada para penipu-seringkali berupa detail login dan akses keuangan.

Autentikasi Email - apa itu?

Otentikasi email adalah sistem yang dirancang untuk melindungi reputasi Anda dengan memeriksa ketika Anda mengirim kampanye email bahwa Anda adalah seperti yang Anda katakan. Keempat konsep ini cukup sederhana, namun pengaturan masing-masing metode bisa jadi rumit. Namun demikian, perlindungan yang ditawarkan ketika digabungkan adalah sebaik yang bisa Anda terapkan di bawah sistem kami saat ini.

Apa saja metode yang mungkin dilakukan?

Empat metode autentikasi email yang umum saat ini adalah sebagai berikut:

  1. SPF - Kerangka Kerja Kebijakan Pengirim
    Standar ini melakukan pemeriksaan awal untuk memastikan setiap email berasal dari alamat IP tepercaya.
  2. DKIM - DomainKeys Identified Mail (Surat yang Diidentifikasi DomainKeys)
    Pemeriksaan identitas lainnya, tetapi kali ini menggunakan kunci enkripsi sebagai tanda tangan digital.
  3. DMARC - Pelaporan Otentikasi Pesan Domain dan Kesesuaian
    DMARC memastikan bahwa email memenuhi SPF dan DKIM sebelum dikirimkan.
  4. BIMI - Indikator Merek untuk Identifikasi Pesan
    BIMI memberikan satu pemeriksaan terakhir, berfokus pada kredibilitas pengirim dan menampilkan citra merek pengirim di kotak masuk penerima (jika saat ini didukung).

Kita akan melihat lebih dalam pada masing-masing hal ini sedikit lebih jauh, tetapi pertama-tama, kami akan menjelaskan mengapa mereka begitu penting dan menjelaskan sedikit tentang cara kerjanya.

Bagaimana cara kerja autentikasi email?

Masing-masing metode autentikasi (SPF DKIM DMARC BIMI) menerapkan lapisan keamanan pada email Anda menggunakan domain email Anda untuk memverifikasi bahwa Anda adalah orang yang Anda klaim.

  1. Pengirim menentukan kebijakan/aturan tentang bagaimana domain mereka diautentikasi.
  2. Mereka kemudian mengonfigurasi DNS domain dan server email untuk mengimplementasikan aturan-aturan tersebut.
  3. Server penerima memverifikasi email masuk dengan memeriksanya terhadap aturan yang ditetapkan ke DNS domain.
  4. Ketika diautentikasi, server penerima memproses email dengan aman; jika autentikasi gagal, pesan diblokir atau dikarantina atau dikelola sesuai dengan keputusan autentikasi.

Apa manfaatnya?

Seperti yang Anda lihat, jika Anda tidak mengatur autentikasi email Anda, Anda berisiko mengalami email yang ditolak, tingkat spam yang lebih tinggi, dan tingkat pengiriman yang lebih rendah.

Pesan Anda yang telah dipertimbangkan dengan susah payah, dirancang dengan indah, dan dibuat memiliki peluang yang jauh lebih kecil untuk mendarat di kotak masuk yang dituju.

Lebih buruk lagi, tanpa metode autentikasi email Anda, merek Anda jauh lebih mudah dipalsukan, membuat Anda dan klien Anda terbuka lebar terhadap serangan email, peretasan, dan phishing.

Menyiapkan autentikasi email

Untuk menyiapkan domain Anda untuk mengelola setiap metode autentikasi, Anda memerlukan akses ke pengaturan DNS (Nama Domain System) melalui layanan registrasi domain Anda.

Setelah Anda mengakses pengaturan DNS, Anda akan menambahkan berbagai record TXT dan CNAME ke domain Anda.

Untuk mengetahui nilai pengaturan domain Anda, Anda perlu memeriksa dengan host email Anda. Mereka akan memberi Anda pengaturan untuk catatan SPF Anda, membuat pemilih DKIM Anda dari dalam area hosting mereka, dan menunjukkan kepada Anda cara menerapkan kebijakan DMARC Anda, karena host sering kali berbeda dalam hal cara konfigurasinya.

Anda akan menambahkan catatan TXT lain untuk menyertakan catatan BIMI, termasuk jalur ke merek Anda file gambar.

SPF - Kerangka Kerja Kebijakan Pengirim

SPF adalah otentikasi standar yang dibuat pada masa-masa awal pengembangan email. Di mana SPF pernah cocok untuk sistem email awal, SPF memiliki beberapa masalah untuk metode email modern. Itulah mengapa perlu untuk memanfaatkan keempat metode untuk memberikan bentuk perlindungan yang lengkap.

Catatan SPF disimpan dalam teks biasa di dalam domain DNS dan menentukan Alamat IP dengan izin untuk mengirim dari domain.

Ketika server email penerima melakukan pencarian DNS untuk mengambil catatan SPF, server menggunakan nilai di jalur kembali pesan.

Masalah dengan autentikasi SPF

Sintaksis - Meskipun merupakan catatan teks, namun sintaks bisa menjadi rumit ketika memasukkan catatan DNS. Jika tidak tepat, maka otentikasi akan gagal, bahkan jika pesan dan pengirimnya asli.

Mengidentifikasi alamat IP yang disetujui - Sistem bersama, seperti platform cloud, dapat menghosting beberapa layanan dengan alamat IP yang ditetapkan secara dinamis. Meskipun IP dapat ditentukan dan disahkan, ini juga dapat memungkinkan orang lain untuk menggunakan IP bersama yang sama dengan menggunakan catatan SPF Anda.

SPF bisa dipalsukan - SPF menggunakan bidang jalur kembali yang tersembunyi untuk autentikasi-bukan bidang 'from', yang dapat dilihat dengan jelas oleh penerima. Seorang peretas, yang melakukan phishing untuk mendapatkan informasi, bisa menampilkan domain dan alamat email yang tampak valid di bidang 'from', namun memiliki email mereka sendiri sebagai jalur kembali, menggunakan sistem autentikasi mereka sendiri untuk melewati pemeriksaan server.

SPF tidak mendukung penerusan email - Server penerima akan gagal memvalidasi pesan yang diteruskan karena domain pengidentifikasi tampaknya adalah domain server penerusan dan bukan domain asli.

Seperti yang Anda lihat, apa yang dulunya merupakan metode yang dapat diterima, sekarang sudah sangat cacat. Metode ini menyediakan dasar-dasar untuk membangun keamanan menyeluruh yang lebih baik. Namun, sebagai metode yang berdiri sendiri, metode ini tidak cocok dengan teknologi masa kini.

DKIM - DomainKeys Identified Mail (Surat yang Diidentifikasi DomainKeys)

DKIM menggunakan enkripsi kunci publik/pribadi untuk menandatangani pesan email. DKIM memverifikasi email yang dikirim dari domain dan bahwa email belum dimodifikasi dalam perjalanan.

Ini adalah metode otentikasi yang lebih aman, karena memastikan pesan belum diubah selama pengiriman. Manfaat lainnya adalah bahwa otentikasi DKIM bertahan dari penerusan email.

Pemilik domain membuat kunci kriptografi berpasangan: publik dan privat. Kunci publik ditempatkan sebagai catatan TXT pada DNS domain. Ketika email dikirim, sebuah 'hash' dihasilkan berdasarkan kunci publik dan privat. isi pesan. Hash ini dienkripsi dengan kunci privat domain dan dilampirkan ke header email.

Server email penerima membaca informasi terenkripsi menggunakan kunci publik yang dihosting di DNS, dan jika semuanya cocok, otentikasi diberikan.

Penyeleksi DKIM

Setiap domain dapat menggunakan beberapa selektor. Nilai-nilai ini digunakan untuk mengidentifikasi properti unik, misalnya, subdomain, pengguna, lokasi dan layanan. Setiap selektor beroperasi menggunakan kunci publiknya sendiri, melepaskan satu kunci bersama untuk semua kemungkinan.

Masalah dengan autentikasi DKIM

Tanda tangan yang tidak cocok - Tanda tangan DKIM yang valid dapat menggunakan domain yang sama sekali berbeda dari yang ditampilkan di bidang 'dari'. Ini membuat phishing dari domain email lain menjadi sederhana proses.

Keamanan kunci - Seorang peretas yang menandatangani pesan menggunakan domain pengguna lain dapat memvalidasi email mereka dengan sempurna menggunakan kunci pribadi domain tersebut.

Menerapkan dan mengelola kunci - Kunci yang panjang dan lebih aman bisa menjadi masalah saat menerapkan ke DNS domain. String data yang panjang ini mudah disalahgunakan, bahkan ketika menyalin dan menempel.

Untuk mendapatkan yang terbaik dari DKIM, DKIM perlu bermitra dengan DMARC, membawa domain yang digunakan dalam bidang 'from' ke dalam permainan. Anda bisa melihat sekarang bagaimana setiap sistem bergantung pada metode sebelumnya untuk menciptakan sistem autentikasi yang lengkap dan efektif.

DMARC - Pelaporan Otentikasi Pesan Domain dan Kesesuaian

Seperti yang sudah disebutkan, DMARC memberlakukan penggunaan domain yang ditetapkan dalam bidang from untuk mencegah peretas dan penyerang menggunakan domain alternatif untuk melewati pemeriksaan keamanan.

DMARC juga mencakup mekanisme pelaporan yang memungkinkan pengirim memutuskan apa yang harus dilakukan dengan hasil autentikasi. Catatan DMARC mengontrol di mana dan bagaimana server penerima mengirim laporan.

Akibatnya, DMARC menyambungkan celah antara SPF dan DKIM dan meningkatkan keterkiriman email. Spammer tidak dapat lagi menyalahgunakan domain yang dilindungi ini; oleh karena itu, reputasi domain akan terbangun, dan sepanjang waktu meningkatkan tingkat keterkiriman.

Penegakan DMARC

Catatan DMARC menentukan apa yang harus dilakukan dengan email yang gagal diotorisasi. Kebijakan ini memiliki tiga hasil: tidak melakukan apa-apa, karantina, atau tolak. Laporan DMARC memperingatkan pemegang domain tentang dari mana pesan yang gagal tersebut berasal, memberikan informasi penting tentang pelanggaran dan apa yang dapat mereka lakukan untuk mengambil langkah perlindungan lebih lanjut.

BIMI - Indikator Merek untuk Identifikasi Pesan

Diharapkan dengan menyertakan otentikasi email BIMI akan memberikan sekitar 10% peningkatan keterlibatan melalui kemampuan pengiriman - itu bukan angka yang bisa dianggap enteng.

Mengingat metode autentikasi ini masih dalam tahap awal dan masih menunggu diperkenalkan oleh banyak penyedia email, ada beberapa langkah yang dapat diambil pengguna untuk memastikan mereka siap untuk peluncuran besar-besaran ketika akhirnya menyentuh server kami.

Satu hal yang pasti, mengingat Google menyertakan integrasi BIMI dengan G Suite, seharusnya hanya masalah waktu sebelum seluruh dunia menyusul.

Bagaimana cara bersiap-siap untuk BIMI?

Untuk mengaktifkan otentikasi email BIMI, Anda harus terlebih dahulu mengotentikasi email Anda dengan SPF, DKIM, dan DMARC, memastikan keselarasan (domainnya sama di seluruh). Kebijakan DMARC harus diberlakukan baik pada karantina atau tolak, dan DNS domain harus memiliki catatan BIMI yang benar.

Anda juga perlu meng-host file logo yang sesuai sebagai tautan agar otentikasi yang dihasilkan dapat ditampilkan di kotak masuk penerima Anda. Logo Anda harus dalam format SVG yang benar dan mungkin VMC (Verified Mark Certificate) untuk mengotentikasi file.

Otentikasi lengkap untuk kampanye email Anda

Kami telah mempelajari bahwa masing-masing metode ini sendiri-sendiri tidak akan memberikan solusi satu atap apa pun untuk membuat hidup menjadi sederhana. Namun, dengan sedikit usaha untuk menyatukan masing-masing sistem sebagai satu kesatuan, Anda akan jauh lebih aman dalam pengiriman kampanye dan pesan email daripada yang Anda bisa pernah tanpa mereka.

Ini sepadan dengan waktu dan upaya yang diperlukan jika memastikan perlindungan layanan Anda, layanan Anda pelanggan dan meningkatkan konektivitas dan pengembalian pemasaran Anda.

Garis dan titik

Paling populer di Blog kami

Posting Blog Tukang pukul

Cara Memverifikasi Apakah Sebuah Alamat Email Asli atau Palsu: Sebuah Panduan

Izabela Harbarczyk
Baca lebih lanjut
Posting Blog Tukang pukul

Cara Memeriksa Apakah Alamat Email Valid: Panduan Utama

Izabela Harbarczyk
Baca lebih lanjut
Posting Blog Tukang pukul

Akun Email: Satu-satunya Panduan untuk Pemula yang Anda Butuhkan

Izabela Harbarczyk
Baca lebih lanjut
Posting Blog Tukang pukul

Apa itu Batas Kirim Gmail? Semua Pertanyaan Terjawab

Izabela Harbarczyk
Baca lebih lanjut