DMARC Adalah: Definisi, Cara Kerja & Fungsinya
DMARC (Domain-based Message Authentication, Reporting and Conformance) adalah protokol autentikasi email yang mendefinisikan kebijakan tentang apa yang harus dilakukan server penerima ketika sebuah email gagal pengecekan SPF atau DKIM. DMARC juga menyediakan mekanisme pelaporan sehingga pemilik domain dapat memonitor siapa saja yang mengirim email menggunakan nama domain mereka.
DMARC melengkapi SPF dan DKIM dengan menutup celah yang tidak bisa ditangani keduanya secara terpisah: domain spoofing pada header “From” yang terlihat oleh pengguna. Tanpa DMARC, pelaku fraud dapat tetap memalsukan nama domain di header yang terlihat meski SPF dan DKIM sudah aktif.
Apa Itu DMARC (Domain-based Message Authentication, Reporting and Conformance)
SPF memverifikasi server pengirim, DKIM memverifikasi integritas konten email, tetapi keduanya tidak secara langsung melindungi alamat “From” yang ditampilkan ke pengguna akhir. Seorang pelaku dapat mengirim email dari server sah dengan DKIM yang valid, tetapi menggunakan alamat “From” palsu yang menyerupai domain resmi perusahaan.
DMARC menyelesaikan masalah ini dengan menambahkan dua lapisan perlindungan:
- Alignment check: Memverifikasi bahwa domain di header “From” selaras dengan domain yang diverifikasi oleh SPF atau DKIM.
- Policy enforcement: Mendefinisikan tindakan yang harus diambil (none, quarantine, atau reject) jika alignment check gagal.
| Protokol | Yang Diverifikasi | Keterbatasan Jika Berdiri Sendiri |
|---|---|---|
| SPF | IP server pengirim vs daftar authorized sender | Tidak melindungi header “From” yang terlihat pengguna |
| DKIM | Tanda tangan kriptografis konten email | Tidak mencegah penggunaan domain berbeda di header “From” |
| DMARC | Keselarasan domain + kebijakan penegakan + pelaporan | Bergantung pada SPF/DKIM untuk validasi dasarnya |
Cara Kerja DMARC dalam Alur Verifikasi Email
Langkah 1: Server Penerima Cek SPF dan DKIM
Saat email masuk, server penerima menjalankan pengecekan SPF (apakah server pengirim ada di daftar authorized?) dan DKIM (apakah tanda tangan kriptografis valid?).
Langkah 2: DMARC Alignment Check
DMARC memeriksa apakah domain yang diverifikasi oleh SPF atau DKIM selaras dengan domain di header “From”. Ada dua mode alignment:
- Relaxed alignment: Domain induk yang sama sudah cukup (mail.verihubs.com selaras dengan verihubs.com).
- Strict alignment: Domain harus identik persis.
Langkah 3: Penerapan Kebijakan DMARC
Jika alignment gagal, server penerima menerapkan kebijakan yang ditetapkan pemilik domain dalam DMARC record:
- p=none: Tidak ada tindakan; email tetap diterima. Mode ini digunakan saat monitoring awal sebelum enforcement penuh.
- p=quarantine: Email dipindahkan ke folder spam/junk penerima.
- p=reject: Email ditolak keras; tidak sampai ke inbox maupun spam. Ini adalah level proteksi tertinggi.
Langkah 4: Pengiriman Laporan ke Pemilik Domain
DMARC secara otomatis mengirimkan laporan ke alamat email yang ditentukan pemilik domain. Laporan ini berisi data setiap email yang menggunakan domain tersebut, termasuk yang berhasil dan yang gagal autentikasi.
Anatomi DMARC Record: Memahami Setiap Parameter
DMARC record disimpan sebagai TXT record di DNS dengan format: v=DMARC1; p=reject; rua=mailto:dmarc-reports@verihubs.com; ruf=mailto:forensic@verihubs.com; pct=100; adkim=s; aspf=s
| Tag | Fungsi | Nilai Umum |
|---|---|---|
v | Versi protokol (wajib) | DMARC1 |
p | Kebijakan untuk domain utama (wajib) | none / quarantine / reject |
rua | Alamat penerima laporan agregat harian | mailto:dmarc@yourdomain.com |
ruf | Alamat penerima laporan forensik per kejadian gagal | mailto:forensic@yourdomain.com |
pct | Persentase email yang terkena kebijakan (untuk rollout bertahap) | 1-100 (default 100) |
adkim | Mode alignment untuk DKIM | r (relaxed) / s (strict) |
aspf | Mode alignment untuk SPF | r (relaxed) / s (strict) |
sp | Kebijakan untuk subdomain | none / quarantine / reject |
Implementasi DMARC untuk Bisnis dan Perusahaan Keuangan Indonesia
Implementasi DMARC sebaiknya dilakukan secara bertahap untuk menghindari penolakan email legitimate yang belum tercakup SPF atau DKIM:
Fase 1: Monitoring (p=none)
Pasang DMARC record dengan policy none dan aktifkan laporan agregat (rua). Analisis laporan selama 2-4 minggu untuk mengidentifikasi semua sumber email legitimate yang menggunakan domain Anda, termasuk layanan marketing email, platform CRM, dan sistem notifikasi otomatis.
Fase 2: Quarantine (p=quarantine)
Setelah semua sumber legitimate diverifikasi dan tercantum dalam SPF record, ubah policy ke quarantine. Email yang gagal autentikasi masuk ke folder spam, bukan ditolak langsung. Monitor laporan untuk memastikan tidak ada email legitimate yang terpengaruh.
Fase 3: Enforcement Penuh (p=reject)
Ketika tidak ada lagi false positive dalam laporan, ubah policy ke reject. Pada tahap ini, semua email palsu yang menggunakan domain Anda akan ditolak keras oleh server penerima di seluruh dunia.
Perusahaan fintech dan perbankan yang sudah menerapkan proses KYC digital dan mengirimkan notifikasi penting melalui email perlu memastikan seluruh infrastruktur email komunikasi nasabah terlindungi dengan DMARC level reject sebelum mengaktifkan kebijakan penuh.
Risiko Jika Tidak Mengaktifkan DMARC di Domain Bisnis
Bisnis yang mengoperasikan domain tanpa DMARC menghadapi tiga risiko utama:
Domain Digunakan untuk Kampanye Phishing
Tanpa DMARC level reject, siapa pun dapat mengirim email yang terlihat berasal dari domain perusahaan Anda. Pelaku fraud menggunakan teknik ini untuk mengirim email palsu kepada nasabah, meminta transfer dana, mengisi formulir data identitas, atau mengklik tautan berbahaya.
Kerusakan Reputasi Brand yang Sulit Dipulihkan
Nasabah yang menerima email phishing mengatasnamakan perusahaan Anda akan kehilangan kepercayaan, meskipun perusahaan tidak terlibat. Di sektor keuangan, reputasi adalah aset yang langsung memengaruhi retention dan akuisisi pengguna baru.
Deliverability Email Legitimate Menurun
Domain tanpa DMARC atau dengan reputasi yang buruk akibat penyalahgunaan akan mulai masuk daftar hitam email provider. Email legitimate dari domain tersebut akan semakin sering ditandai sebagai spam oleh Google, Microsoft, dan provider email lainnya.
FAQ DMARC
Apa perbedaan laporan agregat dan laporan forensik di DMARC?
Laporan agregat (tag rua) dikirim harian dalam format XML, berisi ringkasan semua email yang menggunakan domain Anda beserta status autentikasinya. Laporan forensik (tag ruf) dikirim setiap kali ada kegagalan autentikasi individual dan berisi header lengkap email yang gagal, berguna untuk investigasi insiden spesifik.
Apakah DMARC memengaruhi email yang diteruskan (forwarding)?
Ya, ini adalah salah satu tantangan DMARC. Email yang diteruskan sering gagal pengecekan SPF karena server penerus tidak tercantum di SPF record domain asli. DMARC yang menggunakan DKIM alignment lebih tahan terhadap masalah forwarding karena DKIM ditandatangani pada konten email, bukan pada IP server.
Berapa lama implementasi DMARC yang aman untuk bisnis aktif?
Umumnya 4-12 minggu tergantung kompleksitas infrastruktur email. Bisnis dengan banyak layanan email pihak ketiga membutuhkan waktu lebih lama untuk fase monitoring dan audit. Jangan terburu-buru ke fase reject tanpa laporan bersih minimal selama 2-4 minggu.
Apakah DMARC sudah diwajibkan di Indonesia?
Belum ada regulasi yang secara eksplisit mewajibkan DMARC di Indonesia, tetapi Google dan Yahoo mewajibkan DMARC bagi pengirim email massal sejak Februari 2024. Tanpa DMARC, email marketing dari domain bisnis berrisiko tinggi ditolak atau masuk spam di kedua platform tersebut.
DMARC Adalah Infrastruktur Wajib, Bukan Fitur Opsional
Di era fraud digital yang semakin canggih, DMARC bukan lagi pilihan teknis, melainkan baseline keamanan yang diharapkan dari setiap bisnis digital yang serius. Perlindungan komunikasi email harus dibangun beriringan dengan perlindungan identitas pengguna di setiap touchpoint digital, dari email notifikasi hingga proses autentikasi berlapis dan verifikasi identitas saat onboarding.
Hubungi Verihubs di sini untuk mengetahui bagaimana solusi keamanan identitas digital kami dapat melengkapi infrastruktur proteksi email bisnis Anda secara menyeluruh.
