Hallo.
Tips ini mengupdate tips yang lalu
https://www.mail-archive.com/[email protected]/msg46096.html
Sender Policy Framework (SPF) saat ini tidak hanya digunakan untuk
mencegah penyalahan penggunaan domain, tetapi juga menjadi Domain
Authentication saat kirim mail ke internet.
Dengan perkataan lain, SPF record digunakan receiver untuk memverifikasi
bahwa sender (From <address>) adalah benar dikirim melalui sender yang
asli, bukan palsu (spoof).
Mail Domain yang tidak memiliki SPF record akan bermasalah dengan
pengiriman mail ke internet, akan ada delay (differed) saat kirim ke
domain tertentu misalkan ke gmail.com.
Ketentuan di SPF
----------------
Setting/pengaktifan SPF dilakukan di Name Server (Authoritative DNS)
dari domain yang kirim mail, bukan di MDaemon mail server.
DNS SPF record menggunakan TXT record, tidak pakai SPF record (SPF
record sudah deprecated, usang, tidak lagi dipakai).
Untuk memeriksa Authoritative DNS domain sendiri bisa gunakan command
berikut.
c:\ nslookup -q=soa domain.co.id
misalkan
$ nslookup -q=soa dutaint.co.id
Server: 127.0.0.53
Address: 127.0.0.53#53
Non-authoritative answer:
dutaint.co.id
origin = ns1.dutaint.com
mail addr = hostmaster.dutaservisindo.co.id
serial = 2020042001
refresh = 14400
retry = 3600
expire = 1209600
minimum = 259200
artinya authoritative DNS domain dutaint.co.id ada di name server
ns1.dutaint.com dan penanggung jawab teknis DNS server (hostmaster)
beralamat di [email protected]
Mekanisme SPF record adalah
a, mx, ip4, ip6, include dan all
a = nama host dari root domain, kalau untuk nama host lain bisa
a=mail.fqdn.tld.
mx = nama host yang terdaftar sebagai MX host.
ip4 = public IP address versi 4
ip6 = public IP address versi 6.
include = domain/host lain atau IP lain yang digunakan untuk kirim mail
domain kita.
all = qualifier (plicy) dari SPF.
Catatan: mechanism ptr sudah obsolete, tidak lagi dipakai.
Sementara Qualifier (SPF Policy) adalah
Pass (+)
Fail (-)
Softfail (~)
Neutral (?)
Untuk menghindari Domain Spoofing maka hanya gunakan qualifier FAIL (-),
misalkan -all, qualifier (policy) lain sering disebut juga sebagai
Transitional (digunakan hanya sementara waktu selama masa transisi).
Beberapa receiver (server penerima) akan menolak SPF transition sehingga
sebaiknya hanya gunakan qualifier FAIL saja.
SPF record ada limitmya y.i 10 record saja.
https://tools.ietf.org/html/rfc7208#section-4.6.4
kalau ada lebih dari 10 mechanism maka perlu dipisah dengan mechanism
include yang isinya adalah kumpulan ip4 atau ip6 atau a atau mx lain.
Membuat SPF Record
==================
Ada 2 macam SPF record yang bisa dibuat
1. SPF record untuk mail domain
Mail domain adalah domain yang punya DNS MX record, dikenal juga dengan
nama Explicit domain.
DNS SPF record hanya bisa punya 1 record saja per mail domain, kalau
punya lebih dari 1 mail domain (sekalipun hosting di host/MDaemon yang
sama maka perlu dibuatkan SPF yang terpisah).
SPF record bisa digenerate dulu sebelum dibuatkan di Name Server.
SPF Generator bisa pakai
https://mxtoolbox.com/SPFRecordGenerator.aspx
https://www.spfwizard.net/
2. SPF record untuk host domain
Host domain adalah domain yang tidak punya MX record, dikenal juga
dengan nama implicit domain.
SPF ini diperlukan agar DSN (Delivery Status Notification) message atau
Autoresponder message tidak dipalsu.
Kalau SPF host domain tidak dibuatkan maka autoresponder message atau
DSN (mailer-daemon) message akan ada delay.
Mirip dengan SPF record mail domain, bisa digenerate dari
https://mxtoolbox.com/SPFRecordGenerator.aspx
https://www.spfwizard.net/
hanya disini tidak ada mechanism MX, kecuali memang sudah diubah menjadi
mail domain (DNS Zone terpisah, subdomain).
Untuk mencheck apakah DNS SPF record sudah aktif gunakan utility
NSLOOKUP yang ada di setiap operating system.
c:\ nslookup -q=txt domain.co.id
atau menggunakan SPF validation check online
https://www.kitterman.com/spf/validate.html
https://dmarcly.com/tools/spf-record-checker
https://www.spf-record.com/spf-lookup
Contoh
mail domain
$ nslookup -q=txt dutaint.co.id 9.9.9.9
Server: 9.9.9.9
Address: 9.9.9.9#53
Non-authoritative answer:
dutaint.co.id text = "v=spf1 mx include:dutaservisindo.co.id -all"
host domain
$ nslookup -q=txt dip34.dutaint.com 8.8.8.8
Server: 8.8.8.8
Address: 8.8.8.8#53
Non-authoritative answer:
dip34.dutaint.com text = "v=spf1 a mx include:spf.dutaint.com -all"
Mengaktifkan SPF forwarding
===========================
--- dilanjutkan ke bagian 2 -->
--
syafril
--------
Syafril Hermansyah
MDaemon-L Moderator, run MDaemon 21.0.2 64bit
Mohon tidak kirim private mail (atau cc:) untuk masalah MDaemon.
All companies have a culture, some companies have dicipline, but few
companies have a culture of dicipline.
-- Jim Collins
--
--[mdaemon-l]----------------------------------------------------------
Milis ini untuk Diskusi antar pengguna MDaemon Mail Server di Indonesia
Netiket: https://wiki.openstack.org/wiki/MailingListEtiquette
Arsip: http://mdaemon-l.dutaint.com
Dokumentasi : http://mdaemon.dutaint.co.id
Berlangganan: Kirim mail ke [email protected]
Henti Langgan: Kirim mail ke [email protected]
Versi terakhir: MDaemon 21.0.2, SecurityGateway 8.0.1
