Analisis mendalam tentang deliverability email
- Pada Oktober 1971, Ray Tomlinson, lulusan MIT, mengirim email pertama melalui jaringan.
- Tahun lalu, sekitar 121 triliun email dikirim di antara sekitar 4,3 miliar orang.
- Email adalah sarana komunikasi tertulis paling penting di bumi, dan kemungkinan akan tetap demikian dalam waktu dekat.
Gambaran umum
- Pada 3 Oktober 2023, Google dan Yahoo mengumumkan standar keamanan email baru untuk mencegah upaya spam, phishing, dan malware.
- Seiring penyedia layanan email menerapkan kebijakan ini, kepatuhan terhadap panduan deliverability email menjadi hal yang wajib.
- Perubahan terbesar adalah penerapan standar autentikasi email seperti SPF, DKIM, dan DMARC.
- Dalam kasus Gmail, email yang tidak diautentikasi akan diblokir.
Siapa yang terdampak
- Pengirim massal adalah pihak yang paling terdampak, dan mereka harus mengaktifkan SPF, DMARC, dan DKIM pada domain mereka.
- Bahkan jika bukan pengirim massal, Anda tetap bisa terdampak bila tidak mematuhi panduan.
Linimasa
- Google mewajibkan pengirim massal untuk mengautentikasi email mulai Februari 2024.
- Yahoo juga menerapkan persyaratan yang sama mulai kuartal pertama 2024.
Panduan
- Autentikasi pengirim: terapkan protokol autentikasi email seperti SPF, DKIM, dan DMARC.
- Persyaratan untuk pengirim massal: hindari pengiriman email massal yang tidak perlu agar terhindar dari pemfilteran spam dan kerusakan reputasi.
- Berhenti berlangganan dengan mudah: sediakan opsi unsubscribe yang mudah diterapkan.
- Keterlibatan: hindari judul yang menyesatkan, personalisasi berlebihan, dan konten promosi yang memicu filter spam.
Autentikasi pengirim
- SPF, DKIM, dan DMARC adalah tiga standar autentikasi yang membantu melindungi email organisasi.
- Konfigurasi yang tepat atas standar-standar ini membantu melindungi dari serangan dan meningkatkan deliverability sehingga email masuk ke inbox, bukan folder spam.
Dampak
- Google terus memperbarui algoritme dan data laporan pengguna untuk meningkatkan pemfilteran email dan pengalaman pengguna.
- Panduan keamanan baru ini menyoroti dampaknya terhadap deliverability email dan keterlibatan.
Alat
- Menyediakan daftar sumber daya online gratis yang membantu menyiapkan, memeriksa, dan memelihara kebersihan email.
Implementasi
- Menerapkan panduan ini dapat menjadi tantangan bagi organisasi kecil dengan sumber daya terbatas.
- Untuk menerapkan autentikasi email, rujuk ke sumber daya atau dukungan dari penyedia layanan.
Bonus
- Memperkenalkan beberapa cara peretas mengeksploitasi kerentanan keamanan email.
Pendapat GN⁺
- Artikel ini menekankan pentingnya mematuhi standar terbaru yang terkait dengan keamanan email. Hal ini membantu meningkatkan keandalan komunikasi melalui email dan berkontribusi pada perlindungan pengguna dari ancaman seperti spam atau phishing.
- Seiring penyedia layanan email menerapkan standar keamanan baru, organisasi perlu berupaya beradaptasi dan mematuhi perubahan ini. Hal ini menjadi semakin penting di era yang sensitif terhadap privasi dan keamanan data.
- Artikel ini dapat sangat berguna bagi perusahaan yang menjalankan bisnis terkait email marketing. Karena email marketing masih menjadi saluran pemasaran penting bagi banyak perusahaan, menjaga deliverability email sangat penting untuk kampanye yang sukses.
- Menerapkan standar autentikasi email dapat menjadi tantangan teknis, terutama bagi organisasi yang baru pertama kali berhadapan dengan protokol seperti SPF, DKIM, dan DMARC. Saat mengadopsi standar ini, dukungan teknis dan sumber daya mungkin diperlukan, yang dapat menuntut waktu dan biaya.
- Artikel ini dapat membantu organisasi yang ingin memperkuat keamanan email dengan menyediakan panduan dan alat yang berguna, sehingga dapat menutup celah kerentanan pada sistem email dan meningkatkan pengalaman pengguna.
1 komentar
Komentar Hacker News
Melihat pengaruh penyedia email seperti “Gmail”, “Outlook”, dan “Yahoo”, saya selalu bertanya-tanya apakah kegagalan keterjangkauan tertarget mungkin dilakukan lewat serangan lain yang menyasar perusahaan
Buat korban, terutama perusahaan, mailing list, atau NGO, mengirim email massal ke alamat-alamat milik penyerang, lalu penyerang menandai email itu sebagai spam di Gmail/Yahoo/Outlook
Maka filter spam AI bisa mempelajarinya sebagai aktivitas spam baru, lalu ikut memperlakukan email yang nantinya dikirim ke pelanggan sungguhan sebagai spam atau menghapusnya sebelum sampai
Setelah kira-kira setahun, perusahaan bisa kehilangan uang tiap kuartal, departemen iklan bingung karena engagement email turun, dan departemen teknis menjadi kacau
Perusahaan besar mungkin bisa bertahan atau sama sekali meninggalkan email, tetapi perusahaan kecil, NGO, atau mailing list politik berpotensi terpukul, misalnya karena donasi menurun
Jujur saja, sebagai jalur serangan kemungkinannya rendah, tetapi ini pikiran yang terus terngiang
Spammer memasukkan template sah itu ke dalam email secara tidak terlihat, dan hanya menampilkan beberapa baris teks penipuan yang sebenarnya
Caranya adalah membuat filter menilai sebagian besar email tampak normal agar lolos, dan pada akhirnya jika cukup banyak pengguna melaporkannya sebagai spam, template itu sendiri akan memicu pemblokiran
Lalu spammer berpindah ke template email korban berikutnya yang masih lolos filter, sementara korban pertama harus membereskan masalah emailnya yang tidak sampai ke mana pun
Karena pengalaman yang sangat buruk dengan perusahaan besar yang mengusung maksimalisasi nilai pemegang saham, saya mengaduk-aduk arsip email lama dan menandai semua komunikasi dari perusahaan itu sebagai spam
Mungkin hanya setetes air, tetapi di dunia spam mungkin tidak perlu terlalu banyak suara
Pengiriman email sepertinya akan berevolusi menjadi model bayar untuk lolos yang lebih terang-terangan, dan mungkin saja sudah ada kesepakatan di balik layar
Meski domain itu dilaporkan, email transaksional tetap bisa dikirim dari domain utama
Tentu saja ini mengandaikan kedua server email berada pada IP yang berbeda
Pengguna bisa berhenti berlangganan dari situsnya, tetapi mereka meminta agar jangan menandainya sebagai spam di sisi klien email
Bagi organisasi kecil, ini bisa menjadi risiko yang cukup nyata
Saya tidak begitu tahu bagaimana organisasi besar memitigasinya
Jika email yang dikirim penyerang gagal SPF/DKIM, Anda bisa mengatur kebijakan DMARC agar Gmail sejak awal tidak mengirimkan email palsu itu
Dengan begitu serangan seperti itu tidak akan berjalan
Perubahan ini memang diperlukan dan sudah sangat terlambat
Jika pemilik domain yang mengirim email dalam jumlah besar diwajibkan menandatangani pesan dengan benar, penerima bisa membedakan email baik dan buruk dengan lebih jelas berdasarkan reputasi domain, bukan reputasi alamat IP
Dalam situasi makin banyak domain mengirim email lewat ruang IP bersama milik layanan transaksional dan pemasaran, kemampuan untuk melekatkan reputasi secara stabil pada domain pengirim sangat berguna untuk mengurangi penyalahgunaan
Google mengatakan persyaratan baru hanya wajib jika mengirim lebih dari 5.000 email per hari, tetapi itu tidak benar
Saya paling banyak hanya mengirim beberapa email per hari, biasanya bahkan tidak satu pun ke akun Gmail dalam sehari, dan meski hanya menerapkan sebagian persyaratan, Google mulai menolak pesan saya
Akhirnya saya harus membuang waktu untuk menerapkan semua persyaratan, termasuk yang agak redundan
Secara keseluruhan saya setuju ini perubahan positif, tetapi sangat menjengkelkan ketika alasan email masuk folder spam adalah kesalahan konfigurasi di sisi penerima
Misalnya ada kasus SPF rusak dalam proses forwarding
Jika pengirim jahat bisa mengirim dari alamat IPv6 berbeda untuk setiap email, mungkin semua alamat IPv6 yang tampak baru pada dasarnya harus dianggap tidak tepercaya
Ada ketidaknyamanan, tetapi saya berharap perubahan ini akan merapikan ekosistem email
Spam tidak bisa dibedakan dari konten berbahaya
Anda tidak pernah berlangganan “newsletter” itu, dan alamat email Anda telah dipanen lalu diserahkan kepada pelaku jahat yang ingin mengganggu Anda
Apa pun yang Anda klik akan membawa Anda ke situs web milik perusahaan itu, yang memiliki informasi Anda dan sama sekali tidak akan mempertimbangkan kepentingan Anda
Dalam skenario terbaik, Anda hanya bisa menghapus satu sumber sampah dari kotak masuk; dalam skenario terburuk, Anda mengklik sesuatu yang memasang malware di komputer Anda
Jadi jangan klik tautan berhenti berlangganan, tekan tombol laporkan spam, dan berhentilah memakai layanan email besar yang mengabaikan laporan spam
Gmail membiarkan perusahaan besar lain mengirimi Anda spam dan bahkan tidak memberi opsi untuk memblokir seluruh domain secara langsung
Sampai Anda pindah ke penyedia email yang serius menangani privasi dan keamanan, konten berbahaya akan terus masuk ke kotak masuk Anda
Saya penasaran penyedia layanan email apa yang Anda pakai
Mengejutkan ada begitu banyak perusahaan besar yang gagal lolos uji berhenti berlangganan sekali klik
Caranya seperti Cloudflare atau Akamai memblokir koneksi, halaman butuh lebih dari 5 detik untuk dimuat, atau mereka meminta login maupun memasukkan ulang alamat email
Setelah itu, mereka tidak boleh heran kalau pelanggan menekan tombol laporkan spam
Jadi saya menekan laporkan spam
Hal paling menyebalkan adalah pengirim email melakukan pelacakan klik lewat domain yang diblokir oleh daftar pemblokir iklan
Saya punya instance browser terpisah untuk menyalin dan menempel tautan seperti itu, tapi kalau begitu saya harus login lagi
Saya lebih suka mengirim email berhenti berlangganan daripada mengeklik tautan, dan Gmail bisa mengotomatiskan ini
Kalau email datang lagi dalam beberapa hari, saya akan menandainya sebagai spam
Jika TripAdvisor bisa membuat rencana perjalanan yang dihasilkan AI, mereka seharusnya juga bisa mencari cara untuk tidak mengirimkannya lewat email
Pelanggan akan memilih mana yang lebih mudah, entah berhenti berlangganan atau melaporkan spam
Salah satu hal yang dirusak oleh perubahan April adalah forwarding antar layanan email
Misalnya, jika Anda meneruskan dari alamat universitas lama foo@school.edu ke akun Gmail pribadi bar@gmail.com, itu tidak akan berfungsi lagi
Melihat penyedia besar yang mendorong ini, mungkin itu kasus penggunaan yang relatif jarang, tetapi bagi orang yang terdampak ini perubahan yang cukup menyebalkan
Saat email diteruskan, selama penerus tidak mengubah isi pesan, tanda tangan DKIM tetap cocok sehingga seharusnya lolos
SPF selalu merusak penerus yang tidak menyentuh alamat pengirim pada envelope, dan itu benar serta tepat
Forwarding email tetap memungkinkan, tetapi penerus harus menulis ulang return path
Mengejutkan bahwa ada yang masih meloloskan email meski SPF, DKIM, dan DMARC tidak disetel dengan sempurna
Saya sudah bertahun-tahun menjalankan server email pribadi self-hosted yang tersetel baik, tetapi kadang masih kesulitan membuatnya lolos, walau sepertinya perlahan membaik
Terutama server Microsoft sering kali secara acak menggagalkan konfigurasi DKIM yang tidak bermasalah tanpa alasan
Jika volume pengiriman rendah, ada risiko email dibuang hanya karena Anda bukan pengirim yang dikenal
Karena 3 besar telah mempublikasikan dan membuat pedoman seperti ini transparan, saya berharap perilakunya menjadi lebih konsisten
Spammer juga bisa melakukan hal yang sama karena hambatan masuknya rendah
Itu memang penting, tetapi hubungannya dengan deliverability di dunia nyata sangat kecil
Hal paling sulit dari DMARC adalah sering gagal, terutama di Microsoft
Dan masalah juga muncul pada semua kasus penggunaan ketika penerima meneruskan email, karena penyelarasan SPF rusak saat itu
Karena ingin mengikuti praktik terbaik, saya baru-baru ini mengubah p=quarantine menjadi p=none
Sebab saya takut email sah tidak lolos DMARC meski DKIM dan SPF sudah disetel dengan benar
Saya benar-benar ingin memakai p=reject, tetapi tidak bisa sampai penerima memperbaiki server email masuk mereka agar menangani kasus pengecualian yang sama, yaitu DMARC rusak karena forwarding email
Meneruskan pesan bertanda tangan DKIM sama sekali tidak merusak DMARC
Yang terburuk adalah menerima email lalu diam-diam menandainya sebagai spam dan menaruhnya di tempat yang tidak akan pernah dilihat penerima yang dituju
Gmail milik Google paling parah melakukan ini
Email korporat bukan lagi email, melainkan walled garden dan silo seperti Facebook
Kalau tidak, kita akan tenggelam dalam spam cold email
Serius, saya sudah menyerah mengoperasikan dan mengelola server sendiri sehingga semua perusahaan memakai Gmail
Tragis bahwa ini menjadi sesulit ini
Rasanya kalau tidak berada di atas Gmail Workspace yang tersetel baik, email sah pun nyaris tidak punya peluang untuk lolos
Sejauh yang saya pahami, mereka sepertinya tidak ingin memberi sinyal kepada spammer bahwa suatu pesan dinilai sebagai email normal atau spam
Saya ingin tahu seberapa cerdas spammer benar-benar memanfaatkan informasi seperti itu
Sebagian besar spam tampak seperti upaya menghajar terus tanpa mempertimbangkan umpan balik kegagalan
Di server email saya, pesan yang diklasifikasikan sebagai junk terus saya tolak sementara dengan pesan kesalahan umum
Setidaknya pengirim sah yang salah diklasifikasikan akan menerima DSN tertunda, dan pada akhirnya mendapat umpan balik bahwa pesan tidak diterima
Banyak server dan layanan email tampaknya lebih mementingkan tidak memberi sinyal kepada spammer daripada memberi sinyal berguna kepada pengguna sah yang salah diklasifikasikan
Mungkin mereka mengira klasifikasi mereka sangat hebat sampai tidak pernah salah klasifikasi
Dari sudut pandang pengguna, filter spam dan filter promosi Gmail bisa dipercaya lebih dari 99%, dan false positive juga sangat sedikit
Dalam B2B, pemasar yang bisa mengetahui alamat email Anda pada dasarnya berhak mengirim pesan sebanyak yang mereka mau
Tanpa dinding itu, email akan menjadi sama sekali tidak bisa dipakai
VM pribadi saya masuk ke salah satu RBL karena seluruh ruang alamat /24 masuk daftar hitam
Katanya ada seseorang yang mengirim spam, dan sekarang mesin saya yang hanya mengirim sekitar tiga email seminggu juga ikut diblokir
Bisa saja spammer memakai alamat acak dalam rentang itu, atau seseorang menjalankan server SMTP yang salah konfigurasi dan mengizinkan relay
Menjalankan server SMTP keluar dari rentang IP pelanggan memang cenderung mudah bermasalah
Rentang seperti itu bisa dianggap mencurigakan seluruhnya karena spammer memakainya tanpa peduli reputasi
Sepertinya operator daftar blokir kurang baik dalam memverifikasi laporan penyalahgunaan, atau sengaja menimbulkan kerusakan kolateral agar operator jaringan mengambil tindakan
Saya tidak suka masuk daftar blokir, tetapi mungkin ada efek bersih yang positif bagi internet secara luas
Menurut saya server dan layanan email memakai daftar blokir berbasis IP dengan keliru
Itu bisa dipakai sebagai salah satu dari banyak sinyal, dan bobotnya boleh dibuat lebih besar untuk pengirim yang baru pertama terlihat
Namun jika IP yang selama ini terus bertukar transaksi dan pesan yang terautentikasi dengan SPF/DKIM/DMARC tiba-tiba masuk daftar blokir, reputasi positif sebelumnya seharusnya lebih kuat daripada pemblokiran itu
Kita seharusnya tetap bisa berkomunikasi dengan pihak yang sudah dikenal, dan baru setelah mereka menandainya sebagai spam, pengiriman berikutnya bisa ditolak atau dimasukkan ke junk
Saat ini tampaknya banyak server dan layanan email menerapkan daftar blokir IP di tahap awal proses SMTP untuk mengurangi beban sistem
Itu baik untuk beban sistem, tetapi buruk untuk performa analisis
Secara umum, bahkan layanan email gratis besar pun tampaknya kurang mampu memanfaatkan reputasi yang sudah ada dalam menilai sah/spam
Baru-baru ini saya mengubah layanan web online yang saya buat menjadi pendaftaran berbasis email, dengan cara pengguna mengirim email ke alamat tertentu untuk mendaftar seperti mendaftar mailing list
Idenya, ketika pengguna mengirim email ke layanan saya, saya masuk ke daftar pihak yang dikenal oleh pengguna
Maka balasan konfirmasi dari server email saya yang selaras SPF/DKIM/DMARC semestinya jelas diterima
Saya jadi bertanya-tanya, opt-in sejelas apa lagi yang dibutuhkan
Saya mengujinya di beberapa layanan email gratis besar, dan Yahoo bahkan memasukkan balasan konfirmasi yang merujuk pesan asli ke folder junk
Untuk orang-orang yang merasa tidak bisa bersaing dengan layanan email besar, standarnya ternyata tidak setinggi yang dibayangkan
Memperbaiki reputasi, sekalipun dilakukan dengan baik, hampir seperti mimpi buruk
Saya juga pernah melihat saran untuk membeli domain lain dan mengirim email dari sana demi melindungi domain utama, tetapi saya tidak terlalu ingin melakukannya
Sepertinya artikel mencampuradukkan envelope (RFC5321) dan header (RFC5322)
Disebutkan bahwa “nama domain pada field From: di header envelope email diperiksa dan diselaraskan dengan domain lain yang diautentikasi oleh SPF atau DKIM”, tetapi envelope tidak memiliki header, dan header berada di dalam konten/badan email
Tangkapan layar “contoh envelope email organisasi yang lolos semua panduan keamanan email” itu juga bukan informasi envelope, melainkan header email
Ada materi presentasi bagus dari dmarc.org tentang topik ini
https://dmarc.org/presentations/Email-Authentication-Basics-...