Hallo, DMARC (Domain-Based Message Authentication Reporting and Conformance) adalah protocol antispoofing domain (Anti Fraud/ Forgery) yang merupakan pengembangan dari SPF (Sender Policy FrameWork) dan DKIM (Domain Keys Identified Mail).
Konsep authentication sbb: 1. SPF melakukan proteksi terhadap MAIL FROM Identity (Sender domain, Envelope domain) atau HELO/EHLO Identity jika sendernya NULL return-path dan membandingkannya dengan SPF host. 2. DKIM melakukan proteksi terhadap From identity membandingkannya dengan d= (domain tag) di DKIM Signature DNS, disamping membandingkan antara DKIM signature di message dengan DKIM signature di DNS. https://stackoverflow.com/questions/4367358/whats-the-difference-between-sender-from-and-return-path 3. Pada prinsipnya recipient hanya melihat From <domain> sebagai sender domain, sehingga From address domain disebut dengan Organization Domain atau Domain Owner. Hal ini karena From <address> harus ada di setiap pengiriman mail ke internet. DMARC mengkaitkan informasi dari SPF atau DKIM dengan Identity dari >From domain (domain author). Pengkaitan itu disebut dengan DMARC Alignment atau Domain Alignment , dan merupakan mekanisme DMARC authentication. https://dmarcian.com/alignment/ Jadi DMARC pada prinsipnya hanya diaktifkan di DNS, tidak di MDaemon mail server, dan didasarkan atas DNS SPF dan atau DNS DKIM. https://www.mail-archive.com/[email protected]/msg46096.html https://www.mail-archive.com/[email protected]/msg46104.html https://www.mail-archive.com/[email protected]/msg46105.html DMARC Policy ada 3 macam ------------------------ Monitor policy: p=none Quarantine policy: p=quarantine Reject policy: p=reject DMARC Identifier (Domain) Alignment ----------------------------------- s: strict mode Domain identifier harus sesuai (match) dengan nama domain sender (Domain Author) r: relaxed mode membolehkan subdomain punya policy yang sama dengan root domain. DMARC juga mengenal reporting. 1. Penerimaan DMARC (aggregate) Reports dari Internet Domain Saat domain yang mengaktifkan DMARC kirim mail ke internet maka akan terima agregate report dari internet domain yang mengaktifkan DMARC reporting Setting hanya perlu ada di DNS. rua=mailto:[email protected] ruf:mailto:[email protected] rua= DMARC compliance report ruf= DMARC forensic report Di MDaemon artinya perlu dibuatkan address alias [email protected] = [email protected]. http://mdaemon.dutaint.co.id/mdaemon/20.0/index.html?alias_aliases.htm 2. Pengiriman DMARC aggregate report ke Internet Hanya aktif kalau DMARC verification diaktifkan. http://mdaemon.dutaint.co.id/mdaemon/20.0/index.html?security--dmarc_verification.htm [x] Enable DMARC verification and reporting http://mdaemon.dutaint.co.id/mdaemon/20.0/index.html?security--dmarc_reporting.htm [x] Send DMARC aggregate reports [x] Send DMARC failure reports (reports are sent as incidents occur) Email a copy of all reports to: [email protected] Organization name: domain.tld Contact email: [email protected] Use this option to specify local email addresses that report receivers can contact about problems with the report. Separate multiple addresses with a comma. Report return-path: [email protected] Pengaktifan DMARC di DNS ----------------------- DMARC DNS record bisa dibuatkan dari DMARC generator berikut https://dmarcian.com/dmarc-record-wizard/ https://www.dmarcanalyzer.com/dmarc/dmarc-record-generator/ Untuk tahap awal, agar dampak terhadap kegagalan pengiriman mail akibat pengaktifan DMARC adalah minimal gunakan 1. Policy p=none 2. DMARC Identifier (Domain) Alignment = Relax 3. Cukup pakai RUA (report aggregate), tidak perlu RUF (report Forensic). hasil DMARC generator disampaikan ke DNS hoster untuk diterapkan di Name Server (Authoritative DNS server) domain kita. Cara mencheck DNS hoster $ nslookup -q=soa dutaint.co.id 9.9.9.9 Server: 9.9.9.9 Address: 9.9.9.9#53 Non-authoritative answer: dutaint.co.id origin = ns1.dutaint.com mail addr = hostmaster.dutaservisindo.co.id serial = 2020070803 refresh = 14400 retry = 3600 expire = 1209600 minimum = 259200 info diatas artinya DNS hoster adalah ns1.dutaint.com dan alamat hostmaster (yang bertanggung jawab secara teknis untuk DNS) adalah [email protected] Kalau sudah diaktifkan oleh hostmaster bisa dicheck hasilnya dengan $ nslookup -q=txt _dmarc.dutaint.co.id 1.1.1.1 Server: 1.1.1.1 Address: 1.1.1.1#53 Non-authoritative answer: _dmarc.dutaint.co.id text = "v=DMARC1; p=quarantine; rua=mailto:[email protected]"; DMARC verification ------------------ --- dilanjutkan ke bagian 2 --> -- syafril ------- Syafril Hermansyah MDaemon-L Moderators, MDaemon 20.0.1-64 Beta B Harap tidak cc: atau kirim ke private mail untuk masalah MDaemon. Semua hal atau semua kesulitan dan semua pemborosan sebetulnya bisa kita atasi, kalau mau. Jadi permasalahannya adalah bukan bisa atau tidak bisa, tapi mau atau tidak mau. --- Dahlan Iskan -- --[mdaemon-l]---------------------------------------------------------- Milis ini untuk Diskusi antar pengguna MDaemon Mail Server di Indonesia Netiket: https://wiki.openstack.org/wiki/MailingListEtiquette Arsip: http://mdaemon-l.dutaint.com Dokumentasi : http://mdaemon.dutaint.co.id Berlangganan: Kirim mail ke [email protected] Henti Langgan: Kirim mail ke [email protected] Versi terakhir: MDaemon 20.0.0, SecurityGateway 6.5.2
