Hallo, Tips ini mengupdate tips yang lalu
https://www.mail-archive.com/mdaemon-l@dutaint.com/msg46228.html https://www.mail-archive.com/mdaemon-l@dutaint.com/msg46229.html DMARC (Domain-Based Message Authentication Reporting and Conformance) adalah protocol antispoofing domain (Anti Fraud/ Forgery) yang merupakan pengembangan dari SPF (Sender Policy FrameWork) dan DKIM (Domain Keys Identified Mail). Konsep domain otentikasi (domain authentication) untuk proteksi terhadap domain spoofing (pemalsuan domain) sbb: 1. SPF melakukan proteksi terhadap MAIL FROM Identity (Sender domain, Envelope domain) atau HELO/EHLO Identity jika sendernya NULL return-path akan membandingkannya dengan SPF host. 2. DKIM melakukan proteksi terhadap From identity membandingkannya dengan d= (domain tag) di DKIM Signature DNS, disamping membandingkan antara DKIM signature di message dengan DKIM signature di DNS. https://stackoverflow.com/questions/4367358/whats-the-difference-between-sender-from-and-return-path 3. Pada prinsipnya recipient hanya melihat From <address domain> sebagai sender domain, sehingga From address domain disebut dengan Organization Domain atau Domain Owner. Hal ini karena From <address> harus ada di setiap pengiriman mail ke internet. 4. DMARC mengkaitkan informasi dari SPF atau DKIM dengan Identity dari >From domain (domain author). Pengkaitan itu disebut dengan DMARC Alignment atau Domain Alignment , dan merupakan mekanisme DMARC authentication. https://dmarcian.com/alignment/ 5. Jadi DMARC pada prinsipnya hanya diaktifkan di DNS, tidak di MDaemon mail server, serta dikaitkan dengan DNS SPF dan atau DNS DKIM. https://www.mail-archive.com/mdaemon-l@dutaint.com/msg46096.html https://www.mail-archive.com/mdaemon-l@dutaint.com/msg46104.html https://www.mail-archive.com/mdaemon-l@dutaint.com/msg46105.html 6. Mirip dengan SPF, DMARC melakukan proteksi terhadap host domain (di SPF disebut HELO host-identity) melalui mekanisme sp (Subdomain Policy). Jika sp parameter tidak disebutkan (declare) maka policy dari subdomain akan mengikuti policy dari root domain (inherit policy). https://www.valimail.com/blog/how-dmarc-works-with-subdomains/ Pengaktifan DMARC ----------------- DMARC DNS Record bisa dibuatkan (generate) dari online tools https://easydmarc.com/tools/dmarc-record-generator/ isikan nama domainnya dibelakang tools, misalkan https://easydmarc.com/tools/dmarc-record-generator/dutaint.co.id atau di https://dmarcian.com/dmarc-record-wizard/ https://250ok.com/tools/dmarc-wizard/ penjelasan DMARC record parameter 1. DMARC Policy ada 3 macam Monitor policy: p=none Quarantine policy: p=quarantine Reject policy: p=reject 2. DMARC Identifier (Domain) Alignment s: strict mode Domain identifier harus sesuai (match) dengan nama domain sender (Domain Author) r: relaxed mode membolehkan subdomain punya policy yang sama dengan root domain. aspf : align dengan SPF. adkim: align dengan DKIM 3. Subdomain Policy - Subdomain policy = monitor: sp=none - Subdomain policy = quarantine: sp=quarantine - Subdomain policy = Reject: sp=reject Subdomain bisa dibuatkan DMARC record sendiri, dan jika policynya tidak sama dengan policy root domain maka yang berlaku adalah policy yang di declare (dinyatakan) untuk subdomain. 4. DMARC report. Saat domain yang mengaktifkan DMARC kirim mail ke internet maka bisa terima laporan aggregate (kumulatif) dari domain penerima (MX receiver domain) yang mengaktifkan DMARC reporting. Aggregate report dikirimkan ke alamat tertentu (oleh sender) mailto:rua=mailto:dmarc-rep...@domain.tld rua= DMARC compliance report Di MDaemon artinya perlu dibuatkan address alias dmarc-rep...@domain.tld = posmastmas...@domain.tld. http://mdaemon.dutaint.co.id/mdaemon/21.0.1/alias_aliases.html Setelah DMARC record dibuat di name server (authoritative DNS server), bisa lakukan test dengan utility NSLOOKUP misalkan - Untuk tahu DMARC perlu dibuat di DNS server mana $ nslookup -q=soa dutaint.com 8.8.4.4 Server: 8.8.4.4 Address: 8.8.4.4#53 Non-authoritative answer: dutaint.com origin = ns1.dutaint.com mail addr = hostmaster.dutaservisindo.co.id serial = 2021071401 refresh = 10800 retry = 3600 expire = 1209600 minimum = 3600 Arti record diatas: DMARC record perlu dibuat di DNS Server ns1.dutaint.com (= origin server). - Check hasil pengaktifan DMARC record $ nslookup -q=txt _dmarc.dutaint.com 8.8.8.8 Server: 8.8.8.8 Address: 8.8.8.8#53 Non-authoritative answer: _dmarc.dutaint.com text = "v=DMARC1; p=none; sp=none; rua=mailto:dmarc-repo...@dutaint.com"; validasi DMARC record dari sini https://dmarcian.com/dmarc-inspector/ https://easydmarc.com/tools/dmarc-lookup/ https://mxtoolbox.com/dmarc.aspx DMARC test apakah benar sudah efektif bisa dari sini https://dmarc-tester.com/ Transisi Policy DMARC -------------------- --- dilanjutkan ke bagian 2 ---> -- syafril -------- Syafril Hermansyah MDaemon-L Moderator, run MDaemon 21.0.2 64bit Mohon tidak kirim private mail (atau cc:) untuk masalah MDaemon. Kesederhanaan adalah bentuk terpenting kecanggihan -- Leonardo da Vinci -- --[mdaemon-l]---------------------------------------------------------- Milis ini untuk Diskusi antar pengguna MDaemon Mail Server di Indonesia Netiket: https://wiki.openstack.org/wiki/MailingListEtiquette Arsip: http://mdaemon-l.dutaint.com Dokumentasi : http://mdaemon.dutaint.co.id Berlangganan: Kirim mail ke mdaemon-l-subscr...@dutaint.com Henti Langgan: Kirim mail ke mdaemon-l-unsubscr...@dutaint.com Versi terakhir: MDaemon 21.0.2, SecurityGateway 8.0.1
