Definisi
DMARC (Domain-based Message Authentication, Reporting, and Conformance) adalah mekanisme otentikasi email yang dapat diskalakan, yang memungkinkan pemilik domain mempublikasikan kebijakan yang dapat dibaca mesin di DNS, mendeklarasikan apa yang harus dilakukan server email penerima ketika pesan masuk gagal pemeriksaan keselarasan SPF atau DKIM, dan memungkinkan server tersebut mengirim laporan terstruktur kembali ke pemilik domain. Tiga nilai kebijakan DMARC — none, quarantine, dan reject — memberi pemilik domain kontrol bertingkat atas bagaimana email tidak terotentikasi yang mengaku berasal dari domain mereka diperlakukan oleh infrastruktur penerima global.
DMARC dikembangkan secara kolaboratif oleh sekelompok peserta industri termasuk PayPal, Google, Microsoft, Yahoo, ReturnPath, dan pemangku kepentingan ekosistem email lainnya, dan pertama kali dipublikasikan sebagai IETF RFC 7489 pada Maret 2015. Spesifikasi ini dipelihara oleh kelompok kerja DMARC.org. Standar ini memperluas dan mengoordinasikan dua standar otentikasi sebelumnya: SPF (RFC 7208) dan DKIM (RFC 6376), yang digunakannya sebagai sinyal input tetapi tidak menggantikannya.
Cara Kerjanya
Kebijakan DMARC dipublikasikan sebagai record DNS TXT di _dmarc.<domain>. Record yang representatif terlihat seperti: v=DMARC1; p=quarantine; rua=mailto:[email protected]; ruf=mailto:[email protected]; pct=100; adkim=s; aspf=s. Tag-tag utamanya adalah:
v=DMARC1— pengidentifikasi versip=— kebijakan:none(hanya monitor),quarantine(kirim ke spam/junk), ataureject(buang pesan sepenuhnya)rua=— URI tujuan laporan agregat; menerima ringkasan XML harian hasil otentikasi dari penyedia mailbox yang berpartisipasiruf=— URI tujuan laporan forensik; menerima laporan tingkat pesan yang disensor untuk kegagalan individualpct=— persentase pesan yang dikenai kebijakan (memungkinkan rollout bertahap)adkim=danaspf=— mode keselarasan:s(strict, memerlukan kecocokan domain persis) ataur(relaxed, memperbolehkan pencocokan subdomain)
Inovasi kritis yang diperkenalkan DMARC adalah identifier alignment. Pass SPF atau pass DKIM hanya dianggap patuh DMARC jika domain yang terotentikasi selaras dengan domain header RFC5322.From — alamat “From:” yang dilihat pengguna email. Hal ini menutup celah yang ditinggalkan SPF dan DKIM yang beroperasi secara independen: sebuah pesan dapat lulus SPF pada domain berbeda (envelope sender) dan lulus DKIM untuk domain penandatangan pihak ketiga, tetapi tetap penipuan jika header From menunjukkan domain berbeda. DMARC mensyaratkan setidaknya salah satu dari SPF atau DKIM menghasilkan pass yang selaras.
Laporan agregat (RUA) dikirim sebagai file XML terkompresi, biasanya dalam waktu 24 jam dari akhir periode laporan, oleh penyedia mailbox termasuk Google (Gmail), Microsoft (Outlook/Exchange Online Protection), Yahoo Mail, Apple iCloud Mail, Comcast, dan lainnya. Laporan-laporan ini berisi hitungan pesan per IP sumber, hasil SPF, hasil DKIM, dan disposisi DMARC. Tools seperti DMARCIAN, Valimail, Postmark DMARC Digests, dan Google Postmaster Tools menyediakan dashboard yang menguraikan dan memvisualisasikan laporan-laporan ini.
Di Mana Anda Menemuinya
DMARC dijumpai di mana pun pengiriman email volume tinggi atau berisiko tinggi terjadi. Sejak Februari 2024, Google dan Yahoo mewajibkan pengirim lebih dari 5.000 pesan per hari ke alamat Gmail atau Yahoo Mail untuk memiliki record DMARC yang dipublikasikan dengan setidaknya p=none — perubahan kebijakan industri signifikan yang efektif menjadikan DMARC wajib bagi pengirim massal. Microsoft mengumumkan persyaratan serupa untuk mailbox konsumen Outlook.com pada 2025.
Untuk platform kontes yang mengirim email konfirmasi vote dalam skala besar, DMARC memiliki dua peran. Pertama, DMARC melindungi reputasi domain pengirim dengan menginstruksikan server penerima untuk menolak pesan palsu — mencegah pihak ketiga memalsukan alamat From platform kontes dalam kampanye phishing, yang akan merusak posisi pengiriman domain. Kedua, laporan agregat DMARC menyediakan saluran monitoring operasional: pemilik domain dapat melihat, di seluruh penyedia mailbox yang berpartisipasi, fraksi pesan keluar mana yang lulus SPF dan DKIM, dan menandai kesalahan konfigurasi infrastruktur sebelum berakibat pada kegagalan email konfirmasi massal.
Penyedia layanan email termasuk SendGrid, Mailgun, Amazon SES, Postmark, dan SparkPost mempublikasikan panduan untuk mengonfigurasi DMARC bersama infrastruktur pengirim mereka. Tools diagnostik DNS termasuk MXToolbox DMARC Lookup, DMARC Inspector dari DMARCIAN, dan record checker EasyDMARC memungkinkan pemilik domain memvalidasi kebijakan yang dipublikasikan.
Contoh Praktis
Sebuah perusahaan kontes mulai mengirim email konfirmasi menggunakan subdomain baru confirm.votes.example.com. Domain induk votes.example.com memiliki p=reject dalam record DMARC-nya. Karena record SPF dan DKIM untuk subdomain baru belum dikonfigurasi, email konfirmasi gagal keselarasan DMARC dan ditolak oleh Gmail. Administrator mendiagnosis masalah melalui data laporan agregat yang menunjukkan kegagalan DMARC 100% pada subdomain, menambahkan record DNS SPF include dan selector DKIM yang sesuai, dan mereset kebijakan DMARC subdomain (sp=none) sementara selama rollout.
Sebuah brand menjalankan kontes submisi foto dengan total hadiah $50.000. Seorang penipu mencoba mengirim email phishing menggunakan domain kontes brand sebagai alamat From, mengarahkan pemilih ke halaman konfirmasi palsu untuk memanen kredensial email. Karena kebijakan DMARC domain adalah p=reject, Gmail, Outlook, dan Yahoo Mail semuanya membuang pesan penipuan tersebut sebelum pengiriman, melindungi peserta kontes maupun reputasi pengirim brand.
Konsep Terkait
DMARC bergantung pada SPF Record dan DKIM sebagai input otentikasinya — pass DMARC mensyaratkan setidaknya salah satunya untuk selaras dengan domain header From. Untuk operasi kontes, efek gabungan SPF, DKIM, dan DMARC pada penempatan inbox adalah faktor teknis utama yang menentukan apakah pesan konfirmasi Email Confirmation Vote mencapai inbox pemilih. Standar BIMI, yang memungkinkan tampilan logo brand di klien inbox sebagai indikator kepercayaan, mensyaratkan kebijakan DMARC p=quarantine atau p=reject sebagai prasyarat.
