Hallo,
Tips ini mengupdate tips sebelumnya https://www.mail-archive.com/[email protected]/msg43551.html dan https://www.mail-archive.com/[email protected]/msg20183.html Sender Policy Framework (SPF) saat ini tidak hanya digunakan untuk mencegah penyalahan penggunaan domain, tetapi juga menjadi Domain Authentication saat kirim mail ke internet. Dengan perkataan lain, SPF record digunakan receiver untuk memverifikasi bahwa sender (From <address>) adalah benar dikirim melalui sender yang asli, bukan palsu (spoof). Mail Domain yang tidak memiliki SPF record akan bermasalah dengan pengiriman mail ke internet, akan ada delay (differed) saat kirim ke domain tertentu misalkan ke gmail.com. Perhatikan bahwa SPF record adalah untuk sending mail server, berbeda dengan MX record yang peruntukkannya sebagai receiving mail server. Setting SPF record dilakukan di Name Server (Authoritative DNS) dari domain yang kirim mail. Untuk memeriksa Authoritative DNS domain sendiri bisa gunakan command berikut c:\ nslookup -q=soa domain.co.id misalkan $ nslookup -q=soa dutaint.co.id Server: 127.0.0.53 Address: 127.0.0.53#53 Non-authoritative answer: dutaint.co.id origin = ns1.dutaint.com mail addr = hostmaster.dutaservisindo.co.id serial = 2020042001 refresh = 14400 retry = 3600 expire = 1209600 minimum = 259200 artinya authoritative DNS domain dutaint.co.id ada di name server ns1.dutaint.com dan penanggung jawab teknisi DNS (hostmaster) beralamat di [email protected] DNS SPF record hanya bisa punya 1 record saja per mail domain, mail domain adalah domain yang punya DNS MX record. Mekanisme SPF record adalah a, mx, ip4, ip6, include dan all Catatan: mechanism ptr sudah obsolete, tidak lagi dipakai. Sementara Qualifier (SPF Policy) adalah Pass (+) Fail (-) Softfail (~) Neutral (?) Untuk menghindari Domain Spoofing maka hanya gunakan qualifier FAIL (-), misalkan -all, qualifier (policy) lain sering disebut juga sebagai Transitional (digunakan hanya sementara waktu selama masa transisi). SPF record ada limitmya y.i 10 record saja. https://tools.ietf.org/html/rfc7208#section-4.6.4 kalau ada lebih dari 10 mechanism maka perlu dipisah dengan mechanism include. Membuat SPF Record ================== Ada 2 macam SPF record yang bisa dibuat 1. SPF record untuk mail domain SPF record bisa digenerate dulu sebelum dibuatkan di Name Server. SPF Generator bisa pakai https://mxtoolbox.com/SPFRecordGenerator.aspx https://www.spfwizard.net/ Untuk mencheck apakah DNS SPF record sudah aktif gunakan utility NSLOOKUP yang ada di setiap operating system. c:\ nslookup -q=txt domain.co.id atau menggunakan SPF validation check online https://www.kitterman.com/spf/validate.html contoh: $ nslookup -q=txt dutaint.co.id Server: 127.0.0.53 Address: 127.0.0.53#53 Non-authoritative answer: dutaint.co.id text = "v=spf1 mx include:dutaservisindo.co.id -all" $ nslookup -q=txt dutaservisindo.co.id Server: 127.0.0.53 Address: 127.0.0.53#53 Non-authoritative answer: dutaservisindo.co.id text = "v=spf1 mx ip4:139.255.33.176/28 ip4:113.20.31.193/29 ip4:113.20.30.168/29 ip4:113.20.31.128/29 ip4:113.20.31.184/29 -all" 2. SPF record untuk host domain SPF ini sifatnya opsional, hanya diperlukan agar DSN (Delivery Status Notification) mail atau Autoresponder tidak dipalsu. Mirip dengan SPF record mail domain, bisa digenerate dari https://mxtoolbox.com/SPFRecordGenerator.aspx https://www.spfwizard.net/ hanya disini tidak ada mechanism MX, kecuali memang sudah diubah menjadi mail domain (DNS Zone terpisah, subdomain). Untuk mencheck apakah DNS SPF record sudah aktif gunakan utility NSLOOKUP yang ada di setiap operating system. c:\ nslookup -q=txt domain.co.id atau menggunakan SPF validation check online https://www.kitterman.com/spf/validate.html contoh: $ nslookup -q=txt dip32.dutaint.com 8.8.8.8 Server: 8.8.8.8 Address: 8.8.8.8#53 Non-authoritative answer: dip32.dutaint.com text = "v=spf1 a:dip32.dutaint.com a:dip33.dutaint.com ip4:113.20.31.184/29 include:dutaservisindo.co.id -all" Melakukan SPF verifikasi di MDaemon =================================== Setting SPF verification di MDaemon dilakukan dari menu berikut http://mdaemon.dutaint.co.id/mdaemon/19.5/index.html?security--spf__sender_id.htm SPF Verification untuk mail domain [x] Enable SPF verification [x] Do not verify messages from authenticated sessions [x] Do not verify messages from trusted IPs [x] Cache verification results dan mekanisme rejection (SPF Message Disposition) When verification produces a FAIL result: [x] ...send 550 error code [x] ...and then close the connection SPF Verification untuk host domain [x] Apply SPF processing to HELO/EHLO value [x] Insert 'Received-SPF' header into messages [x] ...except when the SPF result is 'NONE' [x] Maximum number of 'Void' lookups (must be at least 2) Agar mail yang diforward ke domain lain tidak bermasalah (account forwarding) maka aktifkan SPF forwarding. [x] Use local address in SMTP envelope when forwarding messages Melakukan SPF bypass di MDaemon =============================== Jika ingin membuat pengecualian (bypass SPF verification) gunakan whitelist. http://mdaemon.dutaint.co.id/mdaemon/19.5/index.html?security--spf__sender_id.htm klik menu "whitelist" lalu isikan dibaris kosong dari kolom paling kiri. Pengecualian terhadap sender host/IP # SPF Exception List 139.255.33.176/28 spf relayhost.dutaint.com spf dutaint.com Catatan: spf domain.co.id artinya akan check MAIL_FROM saja, FROM <address> tidak dicheck. Diperlukan untuk bypass mail yang masuk melalui MX backup. Pengecualian terhadap sender address/domain # SPF Exception List [email protected] *@mdaemon.com -- syafril ------- Syafril Hermansyah MDaemon-L Moderators, MDaemon 20.0-64 Harap tidak cc: atau kirim ke private mail untuk masalah MDaemon. Cara utk membuat masa depan bermakna adalah dg mengelolanya, bukan bertindak reaktif terhadapnya -- Charles Handy -- --[mdaemon-l]---------------------------------------------------------- Milis ini untuk Diskusi antar pengguna MDaemon Mail Server di Indonesia Netiket: https://wiki.openstack.org/wiki/MailingListEtiquette Arsip: http://mdaemon-l.dutaint.com Dokumentasi : http://mdaemon.dutaint.co.id Berlangganan: Kirim mail ke [email protected] Henti Langgan: Kirim mail ke [email protected] Versi terakhir: MDaemon 20.0.0, SecurityGateway 6.5.2
