Hallo, Tips ini mengupdate tips lama
https://www.mail-archive.com/[email protected]/msg46096.html Sender Policy Framework (SPF) saat ini tidak hanya digunakan untuk mencegah penyalahan penggunaan domain, tetapi juga menjadi Domain Authentication saat kirim mail ke internet. Hal ini berlaku khususnya untuk Autoresponder atau Bounce mail (mailer-daemon < >, noreply < >, MDaemon < >). Dengan perkataan lain, SPF record digunakan receiver untuk memverifikasi bahwa sender (From <address>) adalah benar dikirim melalui sender yang asli, bukan palsu (spoof). Mail Domain yang tidak memiliki SPF record akan bermasalah dengan pengiriman mail ke internet, akan ada delay (differed) saat kirim ke domain tertentu misalkan ke gmail.com. Perhatikan bahwa SPF record adalah untuk sending mail server, berbeda dengan MX record yang peruntukkannya sebagai receiving mail server. Setting SPF record dilakukan di Name Server (Authoritative DNS) dari domain yang kirim mail. Untuk memeriksa Authoritative DNS domain sendiri bisa gunakan command berikut c:\ nslookup -q=soa domain.co.id misalkan $ nslookup -q=soa dutaint.co.id Server: 127.0.0.53 Address: 127.0.0.53#53 Non-authoritative answer: dutaint.co.id origin = ns1.dutaint.com mail addr = hostmaster.dutaservisindo.co.id serial = 2020042001 refresh = 14400 retry = 3600 expire = 1209600 minimum = 259200 artinya authoritative DNS domain dutaint.co.id ada di name server ns1.dutaint.com dan penanggung jawab teknisi DNS (hostmaster) beralamat di [email protected]. DNS SPF record hanya bisa punya 1 record saja per mail domain, mail domain adalah domain yang punya DNS MX record. Mekanisme SPF record adalah a, mx, ip4, ip6, include dan all a = nama host (identitas host = smtp host name yang ada di menu domain manager mx = Mail eXchanger host, nama server yang terima mail dari internet. ip4/ip6 = public IP address yang digunakan MDaemon. include = nama domain dari smarthost. all = Qualifier /policy yang terdiri atas Pass (+) Fail (-) Softfail (~) Neutral (?) atau lengkapnya ditulis -all atau ~all atau ?all Untuk menghindari Domain Spoofing maka hanya gunakan qualifier FAIL (-), misalkan -all, qualifier (policy) lain sering disebut juga sebagai Transitional (digunakan hanya sementara waktu selama masa transisi). SPF record ada limitmya y.i 10 record saja. https://tools.ietf.org/html/rfc7208#section-4.6.4 kalau ada lebih dari 10 mechanism maka perlu dipisah dengan mechanism include. Membuat SPF Record ================== Ada 2 macam SPF record yang bisa dibuat 1. SPF record untuk mail domain SPF record bisa digenerate dulu sebelum dibuatkan di Name Server. SPF Generator bisa pakai online tool berikut https://www.spf-record.com/generator https://jackstromberg.com/spf-generator/ Hasil dari generatenya ada di kolom "If using a bind based zone file, copy this into it:" atau "BIND Preview". Berikan isian itu ke DNS hoster (atau [email protected]). Untuk mencheck apakah DNS SPF record sudah aktif gunakan utility NSLOOKUP yang ada di setiap operating system. c:\ nslookup -q=txt domain.co.id atau menggunakan SPF validation check online https://www.kitterman.com/spf/validate.html contoh: $ nslookup -q=txt dutaint.co.id Server: 127.0.0.53 Address: 127.0.0.53#53 Non-authoritative answer: dutaint.co.id text = "v=spf1 mx include:dutaservisindo.co.id -all" $ nslookup -q=txt dutaservisindo.co.id Server: 127.0.0.53 Address: 127.0.0.53#53 Non-authoritative answer: dutaservisindo.co.id text = "v=spf1 mx ip4:139.255.33.176/28 ip4:113.20.31.193/29 ip4:113.20.30.168/29 ip4:113.20.31.128/29 ip4:113.20.31.184/29 -all" 2. SPF record untuk host domain SPF ini sifatnya opsional, hanya diperlukan agar DSN (Delivery Status Notification) mail atau Autoresponder tidak dipalsu. Mirip dengan SPF record mail domain, bisa digenerate dari https://www.spf-record.com/generator https://jackstromberg.com/spf-generator/ hanya disini tidak ada mechanism MX, kecuali memang sudah diubah menjadi mail domain (DNS Zone terpisah, subdomain). Hasil dari generatenya ada di kolom "If using a bind based zone file, copy this into it:" atau "BIND Preview". Berikan isian itu ke DNS hoster (atau [email protected]). Untuk mencheck apakah DNS SPF record sudah aktif gunakan utility NSLOOKUP yang ada di setiap operating system. contoh: $ nslookup -q=txt dip32.dutaint.com 8.8.8.8 Server: 8.8.8.8 Address: 8.8.8.8#53 Non-authoritative answer: dip32.dutaint.com text = "v=spf1 a:dip32.dutaint.com a:dip33.dutaint.com ip4:113.20.31.184/29 include:dutaservisindo.co.id -all" Melakukan SPF verifikasi di MDaemon =================================== Setting SPF verification di MDaemon dilakukan dari menu berikut http://mdaemon.dutaint.co.id/mdaemon/20.0/index.html?security--spf__sender_id.htm SPF Verification untuk mail domain [x] Enable SPF verification [x] Do not verify messages from authenticated sessions [x] Do not verify messages from trusted IPs [x] Cache verification results dan mekanisme rejection (SPF Message Disposition) When verification produces a FAIL result: [x] ...send 550 error code [x] ...and then close the connection SPF Verification untuk host domain [x] Apply SPF processing to HELO/EHLO value [x] Insert 'Received-SPF' header into messages [x] ...except when the SPF result is 'NONE' [x] Maximum number of 'Void' lookups (must be at least 2) Agar mail yang diforward ke domain lain tidak bermasalah (account forwarding) maka aktifkan SPF forwarding. [x] Use local address in SMTP envelope when forwarding messages Melakukan SPF bypass di MDaemon =============================== Jika ingin membuat pengecualian (bypass SPF verification) gunakan whitelist. http://mdaemon.dutaint.co.id/mdaemon/20.0/index.html?security--spf__sender_id.htm klik menu "whitelist" lalu isikan dibaris kosong dari kolom paling kiri. Pengecualian terhadap sender host/IP # SPF Exception List 139.255.33.176/28 spf relayhost.dutaint.com spf dutaint.com Catatan: spf domain.co.id artinya akan check MAIL_FROM saja, FROM <address> tidak dicheck. Diperlukan untuk bypass mail yang masuk melalui MX backup. Pengecualian terhadap sender address/domain # SPF Exception List [email protected] *@mdaemon.com -- syafril -------- Syafril Hermansyah MDaemon-L Moderator. Please do not send mail direct to me regarding MDaemon problems. Run MDaemon 21.0 Beta RC1 Tell me and I forget. Teach me and I remember. Involve me and I learn. --- Benjamin Franklin -- --[mdaemon-l]---------------------------------------------------------- Milis ini untuk Diskusi antar pengguna MDaemon Mail Server di Indonesia Netiket: https://wiki.openstack.org/wiki/MailingListEtiquette Arsip: http://mdaemon-l.dutaint.com Dokumentasi : http://mdaemon.dutaint.co.id Berlangganan: Kirim mail ke [email protected] Henti Langgan: Kirim mail ke [email protected] Versi terakhir: MDaemon 20.0.3, SecurityGateway 7.0.2
