Cara Efektif Mengamankan Email dari Phishing dan Spoofing


Ilustrasi E-Mail

Ilustrasi E-Mail

Email telah menjadi salah satu alat komunikasi utama dalam dunia bisnis modern. Namun, sayangnya, email juga menjadi salah satu target favorit para penjahat siber. Mereka memanfaatkan sifat terbuka dari sistem email untuk melakukan berbagai serangan seperti phishing, spoofing (penyamaran sebagai pihak tepercaya), dan penyebaran malware yang bisa mengancam reputasi dan keamanan organisasi.

Untuk itu, sangat penting bagi organisasi, baik besar maupun kecil, untuk mengamankan infrastruktur email mereka dengan cara menerapkan tiga protokol autentikasi email utama: SPF, DKIM, dan DMARC. Ketiga teknologi ini bekerja sama untuk menciptakan sistem pertahanan berlapis yang mampu memverifikasi keaslian pengirim email dan mencegah penyalahgunaan domain.

Artikel ini akan membahas secara mendalam dan mudah dipahami bagaimana mengatur ketiga protokol ini agar keamanan email Anda terjamin.

 

1. Apa Itu SPF dan Bagaimana Cara Mengaturnya?

SPF (Sender Policy Framework) adalah protokol autentikasi email yang digunakan untuk menentukan server mana saja yang diizinkan mengirim email atas nama domain tertentu. Dengan kata lain, SPF bertugas memberitahu penerima bahwa email yang dikirim dari domain Anda memang berasal dari sumber resmi, bukan dari pihak penipu.

Langkah-Langkah Penerapan SPF:

  • Identifikasi Semua Sumber Email Resmi
    Pertama-tama, Anda harus mengidentifikasi semua server atau layanan yang digunakan untuk mengirim email dari domain Anda. Ini bisa meliputi:

    • Server email internal organisasi
    • Penyedia email berbasis cloud seperti Google Workspace atau Microsoft 365
    • Layanan pihak ketiga seperti Mailchimp, SendGrid, sistem tiket, dan sebagainya
  • Buat SPF Record
    SPF disusun dalam bentuk TXT record di pengaturan DNS domain Anda. Format umumnya diawali dengan:
    v=spf1

    Kemudian dilanjutkan dengan parameter seperti:

    • ip4: untuk menyebutkan alamat IP pengirim
    • mx: untuk memperbolehkan server yang terdaftar dalam DNS MX record
    • include: untuk memberi izin kepada penyedia layanan pihak ketiga

    Contoh SPF record:

    v=spf1 mx include:_spf.google.com ip4:203.0.113.5 -all

    Arti dari konfigurasi di atas: hanya email yang dikirim dari server MX, Google, dan IP tertentu yang diizinkan. Semua sumber lain ditolak.
  • Publikasikan dan Uji Rekaman SPF
    Setelah selesai membuat SPF record, Anda harus mempublikasikannya di DNS domain Anda. Gunakan alat pengecek SPF online untuk memastikan tidak ada kesalahan.

Catatan Penting:

  • Jangan gunakan terlalu banyak include karena SPF hanya mendukung maksimal 10 pencarian DNS.
  • Hindari penggunaan ptr karena tidak direkomendasikan oleh spesifikasi SPF.

 

2. Mengatur DKIM untuk Validasi Isi Email

DKIM (DomainKeys Identified Mail) adalah sistem autentikasi email yang menggunakan tanda tangan kriptografi untuk memverifikasi bahwa isi email tidak diubah selama proses pengiriman dan benar-benar dikirim dari server resmi.

Penerapan DKIM Tergantung pada Jenis Pengirim:

  • DKIM untuk Server Internal
    Jika organisasi Anda mengelola server email sendiri (misalnya menggunakan Postfix), maka langkah-langkahnya sebagai berikut:
    • Instal perangkat lunak OpenDKIM
    • Gunakan perintah opendkim-genkey untuk membuat sepasang private key dan publik
    • Simpan private key secara aman di server
    • Publikasikan public key dalam bentuk TXT record di DNS

    Contoh DKIM record:

    default._domainkey.yourdomain.com
    v=DKIM1; k=rsa; p=MasukkanKunciPublikAnda

    Setelah itu, pastikan email ditandatangani secara otomatis oleh server Anda. Lakukan uji pengiriman untuk memverifikasi bahwa tanda tangan DKIM valid.

  • DKIM untuk Layanan Pihak Ketiga
    Jika Anda menggunakan layanan seperti Mailchimp, SendGrid, atau Salesforce, biasanya DKIM dapat dikonfigurasi langsung dari dashboard mereka. Prosesnya meliputi:
    • Membuat selector dan public key
    • Menambahkan TXT atau CNAME record ke DNS domain Anda
    • Mengaktifkan fitur penandatanganan DKIM di dashboard

Tips Keamanan:
Ganti key DKIM setiap 6–12 bulan untuk mencegah penyalahgunaan

 

3. Menerapkan DMARC untuk Perlindungan Menyeluruh

DMARC (Domain-based Message Authentication, Reporting, and Conformance) adalah protokol yang menyatukan hasil pemeriksaan dari SPF dan DKIM. Dengan DMARC, Anda bisa mengatur kebijakan: apakah akan menerima, memindahkan ke folder spam, atau menolak email yang tidak lulus autentikasi.

DMARC juga menyediakan laporan berkala mengenai aktivitas email yang masuk dan keluar dari domain Anda.

Cara Membuat Rekaman DMARC

DMARC juga diterapkan dalam bentuk TXT record di DNS domain Anda, misalnya:

_dmarc.yourdomain.com

Contoh konfigurasi DMARC awal:

v=DMARC1; p=none; rua=mailto:[email protected];

Penjelasan:

  • v=DMARC1: versi protokol
  • p=none: belum menolak atau memindahkan email yang gagal autentikasi, hanya mengamati
  • rua: alamat email untuk menerima laporan ringkasan

 

4. Meningkatkan Keamanan DMARC Secara Bertahap

Saat pertama kali menerapkan DMARC, sangat disarankan untuk memulai dengan kebijakan p=none. Ini memungkinkan Anda mengamati dan mengumpulkan data tanpa mengganggu pengiriman email sah.

Setelah beberapa minggu menganalisis laporan dan memastikan semua pengirim resmi telah lolos autentikasi SPF dan DKIM, Anda bisa meningkatkan level kebijakan ke:

  • p=quarantine: email mencurigakan akan masuk folder spam
  • p=reject: email tak terverifikasi akan ditolak secara penuh

Parameter Tambahan untuk Kontrol Lebih Lanjut:

  • pct=25: menerapkan kebijakan hanya untuk 25% email (berguna saat transisi)
  • aspf=ratau adkim=s: untuk menentukan tingkat kecocokan SPF dan DKIM

 

5. Tips Lanjutan untuk Organisasi Besar

Untuk organisasi dengan infrastruktur email kompleks, berikut beberapa tips tambahan:

  • Gunakan BIMI (Brand Indicators for Message Identification)
    BIMI memungkinkan logo merek Anda muncul di inbox penerima, meningkatkan kredibilitas. Namun, BIMI hanya aktif jika domain Anda sudah menggunakan DMARC dengan kebijakan reject.
  • Terapkan Kebijakan pada Subdomain
    Tambahkan parameter sp=reject untuk memberlakukan kebijakan yang sama pada subdomain Anda, agar tidak menjadi celah bagi penjahat siber.
  • Aktifkan Pelaporan Forensik
    Tambahkan parameter:
    ruf=mailto:[email protected]
    Ini akan mengirimkan laporan mendetail saat autentikasi email gagal, memudahkan analisis insiden keamanan.

Mengamankan email bukan lagi pilihan, tapi keharusan. Dengan menerapkan protokol SPF, DKIM, dan DMARC secara sistematis dan menyeluruh, Anda dapat:

  • Melindungi domain dari penyalahgunaan
  • Meningkatkan reputasi dan kepercayaan terhadap brand
  • Memastikan hanya email sah yang sampai ke inbox penerima

Langkah-langkah ini merupakan praktik terbaik yang sudah terbukti dan direkomendasikan untuk semua organisasi, baik skala kecil maupun besar. Pantau konfigurasi Anda secara berkala, analisis laporan, dan terus perbarui pengaturan untuk mengantisipasi perubahan dan ancaman baru di dunia siber.

Bagikan artikel ini

Komentar ()

Video Terkait