Diingatkan mas Hartono ternyata saya belum membahas soal DMARC (Domain-based Message Authentication Reporting and Conformance) yang fungsinya verifikasi apakah email tersebut memang berasal dari domain anda. Kita bisa menganalisa siapa yang mengirimkan email mengatasnamakan nama domainnya, email apa yang sukses diterima atau tidak berdasarkan validasi SPF/DKIMnya.

Intinya kita perlu membuat DNS record bertipe TXT dengan nama _dmarc, seperti ini:

_dmarc.nama_domain.com.

Setelah itu nilainya apa? Tergantung anda mau seketat atau sebebas apa kebijakannya:

  • Tidak diapa-apakan. Cuma dicatat dalam log dan diagregat.
    v=DMARC1; p=none; sp=none; ruf=mailto:[email protected]_domain.com; rf=afrf; pct=100; ri=86400
  • Ditolak.
    v=DMARC1; p=reject; sp=none; rf=afrf; pct=100; ruf=mailto:[email protected]_domain.com; ri=86400
  • Dikarantina. Ditandai sebagai SPAM.
    v=DMARC1; p=quarantine; sp=none; ruf=mailto:[email protected]_domain.com; rf=afrf; pct=100; ri=86400

Dimana pengecekan ini dilakukan terhadap 100 persen pesan yang masuk, laporannya akan dibuat setiap 24 jam dikirimkan ke alamat email yang terdaftar diatas. Ingat, ini dilakukan apabila email yang masuk gagal validasi SPF dan atau DKIM.

Terakhir, walaupun sudah implementasi DMARC seperti diatas kadang laporannya tidak masuk. Mungkin email yang masuk ke inbox saya dari mail server pelapor dianggap SPAM. Atau mungkin tidak mengecek DMARCnya. Haha.. urusan email kadang termasuk mistis.

Referensi kalau anda ingin tahu lengkapnya soal DMARC:

  1. https://dmarc.org/overview/
  2. https://dmarc.org//draft-dmarc-base-00-01.html#iana_dmarc_tags