Cara Setting SPF, DKIM, dan DMARC untuk Email: Panduan Keamanan Email

Mengapa SPF, DKIM, dan DMARC Sangat Penting?

Cara setting SPF, DKIM, dan DMARC adalah langkah keamanan email yang tidak bisa diabaikan oleh siapapun yang menggunakan domain email sendiri untuk keperluan bisnis. Ketiga mekanisme autentikasi email ini bekerja bersama-sama untuk memecahkan masalah fundamental di protokol email: email aslinya tidak dirancang dengan autentikasi - siapapun bisa mengirim email yang seolah-olah berasal dari domain orang lain.

Tanpa SPF, DKIM, dan DMARC, domain Anda rentan terhadap email spoofing (orang lain memalsukan email seolah dari domain Anda) dan phishing (penipuan menggunakan nama domain Anda untuk menipu pelanggan). Selain itu, email yang Anda kirim sendiri akan lebih sering masuk folder spam karena server penerima tidak bisa memverifikasi keasliannya.

Pemahaman dan penerapan ketiga mekanisme ini menjadi semakin kritis setelah Google dan Yahoo pada tahun 2024 mewajibkan semua pengirim email yang mengirim lebih dari 5.000 email per hari untuk memiliki konfigurasi SPF, DKIM, dan DMARC yang valid. Panduan ini menjelaskan cara setting SPF, DKIM, dan DMARC dari awal dengan langkah yang konkret.

Bagaimana SPF, DKIM, dan DMARC Bekerja Bersama

Sebelum masuk ke konfigurasi, penting memahami bagaimana ketiga mekanisme ini bekerja secara bersama-sama dalam proses pengiriman email:

Alur Verifikasi Email

1. Server Anda mengirim email ke server penerima (misalnya Gmail).
2. Server Gmail menerima email dan mulai proses verifikasi.
3. Cek SPF: Gmail mengecek apakah IP server pengirim tercantum dalam SPF record domain pengirim. Jika ya, SPF pass.
4. Cek DKIM: Gmail memverifikasi tanda tangan DKIM di header email menggunakan public key yang ada di DNS domain. Jika tanda tangan valid, DKIM pass.
5. Cek DMARC: Gmail mengecek apakah setidaknya satu dari SPF atau DKIM pass, DAN ada "alignment" antara domain di header From dengan domain yang diverifikasi. Kemudian Gmail merujuk ke DMARC record untuk menentukan tindakan yang diambil.
6. Berdasarkan hasil ketiga verifikasi dan kebijakan DMARC, email dikirimkan ke inbox, dikarantina (masuk spam), atau ditolak.

Bagian 1: Cara Setting SPF Record

SPF (Sender Policy Framework) mendefinisikan server mana yang berwenang mengirim email atas nama domain Anda. Ini dilakukan melalui TXT record di DNS.

Sintaks SPF Record

SPF record selalu dimulai dengan v=spf1 dan diakhiri dengan salah satu dari tiga mekanisme:

• +all - Izinkan semua (sangat tidak direkomendasikan)
• ~all - SoftFail: izinkan tapi tandai yang tidak sesuai (direkomendasikan untuk fase awal)
• -all - HardFail: tolak semua yang tidak sesuai (direkomendasikan setelah yakin)
• ?all - Neutral: tidak ada keputusan (tidak berguna)

Mekanisme dalam SPF Record

Di antara v=spf1 dan mekanisme akhir, Anda mendefinisikan sumber email yang sah:

• ip4:203.0.113.1 - Izinkan IP spesifik (IPv4)
• ip6:2001:db8::1 - Izinkan IP spesifik (IPv6)
• a - Izinkan IP dari A record domain
• mx - Izinkan IP dari MX record domain
• include:spf.domain.com - Sertakan SPF record dari domain lain

Contoh SPF Record untuk Berbagai Setup

Hosting biasa (cPanel HostingEkspres):

v=spf1 include:hostingekspres.com ~all

Server VPS sendiri:

v=spf1 ip4:203.0.113.10 ~all

Google Workspace:

v=spf1 include:_spf.google.com ~all

Kombinasi VPS + Google Workspace:

v=spf1 ip4:203.0.113.10 include:_spf.google.com ~all

Banyak layanan email:

v=spf1 ip4:203.0.113.10 include:_spf.google.com include:sendgrid.net include:mailgun.org ~all

Cara Menambahkan SPF di DNS

1. Login ke panel DNS domain Anda (bisa di cPanel HostingEkspres, Cloudflare, atau registrar domain).
2. Buat TXT record baru dengan:
   • Name/Host: @ (untuk domain utama) atau kosong
   • Type: TXT
   • Value: SPF record Anda
   • TTL: 3600 (1 jam) atau default
3. Simpan perubahan dan tunggu propagasi DNS (5-30 menit biasanya).

Penting: Satu SPF Record Per Domain

Domain hanya boleh memiliki satu SPF TXT record. Jika ada dua SPF record, keduanya akan diabaikan dan SPF akan gagal. Jika perlu menambahkan layanan baru, edit SPF record yang sudah ada dengan menambahkan mekanisme baru.

Bagian 2: Cara Setting DKIM

DKIM (DomainKeys Identified Mail) menggunakan kriptografi public-key untuk menandatangani setiap email yang dikirim. Proses cara setting DKIM melibatkan dua langkah: membuat key pair di server/layanan email Anda dan mempublikasikan public key di DNS.

Setup DKIM di cPanel HostingEkspres

1. Login ke cPanel.
2. Buka menu Email > Authentication (atau cari "Email Authentication" di search bar).
3. Di bagian DKIM, klik tombol Enable.
4. cPanel akan otomatis:
   • Menggenerate DKIM key pair (private key disimpan di server, public key dipublikasikan)
   • Menambahkan DKIM TXT record ke DNS zona domain (jika DNS dikelola di cPanel)
5. Jika DNS domain dikelola di luar cPanel (misalnya di Cloudflare), copy nilai DKIM record yang ditampilkan dan tambahkan manual ke DNS Anda.

Setup DKIM untuk Google Workspace

1. Login ke Google Admin Console di admin.google.com.
2. Navigasi ke Apps > Google Workspace > Gmail.
3. Klik Authenticate email.
4. Pilih domain Anda dari dropdown.
5. Klik Generate New Record. Pilih panjang key 2048 bit (direkomendasikan).
6. Salin TXT record yang dihasilkan. Formatnya seperti:

   Name: google._domainkey
   Value: v=DKIM1; k=rsa; p=MIIBIjANBgkq...

7. Tambahkan record ini ke DNS domain Anda.
8. Kembali ke Admin Console dan klik Start Authentication. Google akan memverifikasi keberadaan record.

Format DKIM Record di DNS

DKIM record selalu memiliki format nama host sebagai berikut:

[selector]._domainkey.namadomain.com

selector adalah identifier yang Anda atau layanan email pilih (misalnya "google", "default", "mail", atau "s1"). Ini memungkinkan penggunaan beberapa DKIM key untuk satu domain sekaligus.

Verifikasi DKIM

Setelah propagasi DNS, kirim email test dan cek header email yang diterima. Di Gmail, klik tiga titik di email → "Show original". Cari baris seperti:

DKIM: 'PASS' with domain namadomain.com

Atau gunakan MXToolbox: buka mxtoolbox.com/SuperTool.aspx, pilih "DKIM Lookup", dan masukkan selector._domainkey.namadomain.com.

Bagian 3: Cara Setting DMARC

DMARC (Domain-based Message Authentication, Reporting, and Conformance) adalah lapisan ketiga yang mengikat SPF dan DKIM bersama-sama dan memberikan instruksi kepada server penerima tentang cara menangani email yang gagal verifikasi.

Komponen DMARC Record

DMARC adalah TXT record yang ditambahkan di DNS dengan nama host _dmarc. Berikut tag-tag utamanya:

• v=DMARC1 - Versi DMARC (wajib, harus di awal)
• p=none|quarantine|reject - Policy: none (monitor saja), quarantine (kirim ke spam), reject (tolak)
• pct=100 - Persentase email yang terkena policy (0-100, default 100)
• rua=mailto:dmarc@domain.com - Alamat untuk menerima laporan agregat (harian)
• ruf=mailto:forensic@domain.com - Alamat untuk menerima laporan forensik (per email)
• sp=none|quarantine|reject - Policy untuk subdomain (default ikuti policy utama)
• adkim=r|s - DKIM alignment: r (relaxed, default) atau s (strict)
• aspf=r|s - SPF alignment: r (relaxed, default) atau s (strict)

Tahapan Implementasi DMARC yang Disarankan

Jangan langsung menerapkan policy yang ketat. Ikuti tahapan ini untuk implementasi yang aman:

Fase 1 - Monitor (Minggu 1-4)

v=DMARC1; p=none; rua=mailto:dmarc@namadomain.com

Pada fase ini, DMARC hanya mengumpulkan data tanpa mengambil tindakan apapun terhadap email yang gagal. Analisis laporan yang masuk ke dmarc@namadomain.com untuk memastikan semua email sah lulus verifikasi.

Fase 2 - Karantina Sebagian (Minggu 5-8)

v=DMARC1; p=quarantine; pct=25; rua=mailto:dmarc@namadomain.com

Terapkan policy quarantine (masuk spam) hanya untuk 25% email yang gagal verifikasi. Pantau apakah ada email sah yang terdampak.

Fase 3 - Karantina Penuh (Minggu 9-12)

v=DMARC1; p=quarantine; pct=100; rua=mailto:dmarc@namadomain.com

Fase 4 - Reject (Setelah Yakin)

v=DMARC1; p=reject; rua=mailto:dmarc@namadomain.com

Policy paling ketat - email yang gagal verifikasi ditolak sepenuhnya. Terapkan hanya setelah yakin semua email sah sudah dikonfigurasi dengan benar.

Cara Membaca Laporan DMARC

Laporan DMARC yang dikirim ke alamat rua adalah file XML terkompresi. Untuk membacanya dengan mudah, gunakan tools DMARC report analyzer:

• Dmarcian (dmarcian.com) - Versi gratis tersedia, visualisasi data yang baik
• MXToolbox DMARC Analyzer
• Google Postmaster Tools - Khusus untuk melihat data reputasi di Gmail

Laporan DMARC menunjukkan: berapa email yang lolos verifikasi SPF dan DKIM, dari IP mana saja email dikirim atas nama domain Anda, dan apakah ada pihak lain yang mencoba menggunakan domain Anda untuk mengirim email.

Verifikasi Keseluruhan Konfigurasi

Setelah cara setting SPF, DKIM, dan DMARC selesai, lakukan verifikasi menyeluruh:

Tool Verifikasi yang Direkomendasikan

• mail-tester.com: Kirim email test ke alamat yang disediakan dan dapatkan skor 1-10 beserta analisis lengkap.
• MXToolbox Email Health: Masukkan domain Anda untuk cek semua aspek sekaligus.
• Checktls.com: Verifikasi TLS/SSL pada koneksi SMTP.

Cara Cek via Header Email

Kirim email ke akun Gmail dan buka email tersebut. Klik tiga titik di pojok kanan atas email → pilih "Show original". Di bagian atas, Anda akan melihat baris seperti:

SPF:    PASS with IP xxx.xxx.xxx.xxx
DKIM:   'PASS' with domain namadomain.com
DMARC:  'PASS'

Jika ketiganya menampilkan PASS, konfigurasi Anda sudah benar.

Kesalahan Umum dalam Setting SPF, DKIM, DMARC

• Dua SPF record: Seperti disebutkan sebelumnya, ini menyebabkan SPF gagal total. Gabungkan menjadi satu record.
• SPF lookup limit: Satu SPF record hanya boleh menghasilkan maksimal 10 DNS lookup. Terlalu banyak include: bisa melebihi limit ini. Gunakan tool SPF flattening jika perlu.
• DKIM key terlalu pendek: Gunakan minimal key 1024-bit, dan 2048-bit lebih direkomendasikan untuk keamanan jangka panjang.
• Langsung p=reject tanpa monitor: Jika ada email sah yang belum terkonfigurasi dengan benar, tiba-tiba menggunakan p=reject bisa menyebabkan email penting ditolak.
• DMARC alignment error: DMARC memerlukan "alignment" antara domain di header From dengan domain yang diverifikasi SPF atau DKIM. Pastikan domain di From sama dengan domain yang memiliki SPF/DKIM record.

FAQ: Pertanyaan Umum tentang SPF, DKIM, dan DMARC

Apakah DMARC wajib jika sudah punya SPF dan DKIM?

DMARC tidak wajib secara teknis, tetapi sangat direkomendasikan. Tanpa DMARC, tidak ada yang memberitahu server penerima apa yang harus dilakukan dengan email yang gagal verifikasi SPF atau DKIM. DMARC juga satu-satunya mekanisme yang melindungi domain Anda dari spoofing di header "From" yang terlihat oleh penerima. Google dan Yahoo sudah mewajibkan minimal DMARC dengan p=none untuk pengirim bulk email.

Berapa lama DNS propagation untuk record SPF/DKIM/DMARC?

Tergantung pada nilai TTL record dan provider DNS Anda. Dengan TTL 3600 (1 jam), sebagian besar perubahan DNS sudah propagasi dalam 30-60 menit. Dalam kasus tertentu, propagasi bisa membutuhkan waktu hingga 24-48 jam tergantung cache resolver DNS di berbagai lokasi. Gunakan dig TXT namadomain.com atau tool online untuk mengecek apakah record sudah aktif.

Apakah bisa menggunakan DMARC tanpa SPF atau DKIM?

Secara teknis bisa, tetapi tidak akan efektif. DMARC bergantung pada hasil verifikasi SPF dan/atau DKIM untuk membuat keputusan. Jika keduanya tidak ada, semua email akan gagal DMARC. Selalu implementasikan SPF dan DKIM terlebih dahulu sebelum menambahkan DMARC.

Apa itu "DMARC alignment" dan mengapa penting?

DMARC alignment memastikan bahwa domain yang diverifikasi oleh SPF atau DKIM sesuai dengan domain di header "From" email yang terlihat oleh penerima. Ada dua mode: relaxed (subdomain diizinkan sesuai dengan domain induk) dan strict (harus persis sama). Alignment penting karena mencegah serangan di mana penyerang menggunakan domain yang lulus SPF/DKIM tetapi berbeda dari domain di header From.

Apakah DMARC melindungi dari semua jenis email phishing?

DMARC melindungi dari direct domain spoofing - ketika penyerang mencoba menggunakan domain Anda persis di header From. Namun DMARC tidak melindungi dari lookalike domain attacks (misalnya namadomain.co meniru namadomain.com) atau dari display name spoofing (nama pengirim dipalsukan tapi domain berbeda). Untuk perlindungan lebih komprehensif, kombinasikan DMARC dengan BIMI (Brand Indicators for Message Identification) dan edukasi pengguna tentang cara mengenali email phishing.

Bagaimana jika saya menggunakan beberapa layanan email yang berbeda?

Semua layanan harus dikonfigurasi dalam satu SPF record dengan menambahkan setiap layanan sebagai mekanisme include. Untuk DKIM, setiap layanan biasanya menggunakan selector yang berbeda (misalnya google._domainkey untuk Google, s1._domainkey untuk Mailgun). Keduanya bisa ada secara bersamaan di DNS tanpa konflik. DMARC berlaku untuk semua email dari domain tersebut, jadi pastikan semua layanan email yang digunakan sudah terkonfigurasi dengan benar sebelum menerapkan policy yang ketat.