3 poin oleh GN⁺ 2024-04-02 | 1 komentar | Bagikan ke WhatsApp

Analisis mendalam tentang deliverability email

  • Pada Oktober 1971, Ray Tomlinson, lulusan MIT, mengirim email pertama melalui jaringan.
  • Tahun lalu, sekitar 121 triliun email dikirim di antara sekitar 4,3 miliar orang.
  • Email adalah sarana komunikasi tertulis paling penting di bumi, dan kemungkinan akan tetap demikian dalam waktu dekat.

Gambaran umum

  • Pada 3 Oktober 2023, Google dan Yahoo mengumumkan standar keamanan email baru untuk mencegah upaya spam, phishing, dan malware.
  • Seiring penyedia layanan email menerapkan kebijakan ini, kepatuhan terhadap panduan deliverability email menjadi hal yang wajib.
  • Perubahan terbesar adalah penerapan standar autentikasi email seperti SPF, DKIM, dan DMARC.
  • Dalam kasus Gmail, email yang tidak diautentikasi akan diblokir.

Siapa yang terdampak

  • Pengirim massal adalah pihak yang paling terdampak, dan mereka harus mengaktifkan SPF, DMARC, dan DKIM pada domain mereka.
  • Bahkan jika bukan pengirim massal, Anda tetap bisa terdampak bila tidak mematuhi panduan.

Linimasa

  • Google mewajibkan pengirim massal untuk mengautentikasi email mulai Februari 2024.
  • Yahoo juga menerapkan persyaratan yang sama mulai kuartal pertama 2024.

Panduan

  • Autentikasi pengirim: terapkan protokol autentikasi email seperti SPF, DKIM, dan DMARC.
  • Persyaratan untuk pengirim massal: hindari pengiriman email massal yang tidak perlu agar terhindar dari pemfilteran spam dan kerusakan reputasi.
  • Berhenti berlangganan dengan mudah: sediakan opsi unsubscribe yang mudah diterapkan.
  • Keterlibatan: hindari judul yang menyesatkan, personalisasi berlebihan, dan konten promosi yang memicu filter spam.

Autentikasi pengirim

  • SPF, DKIM, dan DMARC adalah tiga standar autentikasi yang membantu melindungi email organisasi.
  • Konfigurasi yang tepat atas standar-standar ini membantu melindungi dari serangan dan meningkatkan deliverability sehingga email masuk ke inbox, bukan folder spam.

Dampak

  • Google terus memperbarui algoritme dan data laporan pengguna untuk meningkatkan pemfilteran email dan pengalaman pengguna.
  • Panduan keamanan baru ini menyoroti dampaknya terhadap deliverability email dan keterlibatan.

Alat

  • Menyediakan daftar sumber daya online gratis yang membantu menyiapkan, memeriksa, dan memelihara kebersihan email.

Implementasi

  • Menerapkan panduan ini dapat menjadi tantangan bagi organisasi kecil dengan sumber daya terbatas.
  • Untuk menerapkan autentikasi email, rujuk ke sumber daya atau dukungan dari penyedia layanan.

Bonus

  • Memperkenalkan beberapa cara peretas mengeksploitasi kerentanan keamanan email.

Pendapat GN⁺

  • Artikel ini menekankan pentingnya mematuhi standar terbaru yang terkait dengan keamanan email. Hal ini membantu meningkatkan keandalan komunikasi melalui email dan berkontribusi pada perlindungan pengguna dari ancaman seperti spam atau phishing.
  • Seiring penyedia layanan email menerapkan standar keamanan baru, organisasi perlu berupaya beradaptasi dan mematuhi perubahan ini. Hal ini menjadi semakin penting di era yang sensitif terhadap privasi dan keamanan data.
  • Artikel ini dapat sangat berguna bagi perusahaan yang menjalankan bisnis terkait email marketing. Karena email marketing masih menjadi saluran pemasaran penting bagi banyak perusahaan, menjaga deliverability email sangat penting untuk kampanye yang sukses.
  • Menerapkan standar autentikasi email dapat menjadi tantangan teknis, terutama bagi organisasi yang baru pertama kali berhadapan dengan protokol seperti SPF, DKIM, dan DMARC. Saat mengadopsi standar ini, dukungan teknis dan sumber daya mungkin diperlukan, yang dapat menuntut waktu dan biaya.
  • Artikel ini dapat membantu organisasi yang ingin memperkuat keamanan email dengan menyediakan panduan dan alat yang berguna, sehingga dapat menutup celah kerentanan pada sistem email dan meningkatkan pengalaman pengguna.

1 komentar

 
GN⁺ 2024-04-02
Komentar Hacker News
  • Melihat pengaruh penyedia email seperti “Gmail”, “Outlook”, dan “Yahoo”, saya selalu bertanya-tanya apakah kegagalan keterjangkauan tertarget mungkin dilakukan lewat serangan lain yang menyasar perusahaan
    Buat korban, terutama perusahaan, mailing list, atau NGO, mengirim email massal ke alamat-alamat milik penyerang, lalu penyerang menandai email itu sebagai spam di Gmail/Yahoo/Outlook
    Maka filter spam AI bisa mempelajarinya sebagai aktivitas spam baru, lalu ikut memperlakukan email yang nantinya dikirim ke pelanggan sungguhan sebagai spam atau menghapusnya sebelum sampai
    Setelah kira-kira setahun, perusahaan bisa kehilangan uang tiap kuartal, departemen iklan bingung karena engagement email turun, dan departemen teknis menjadi kacau
    Perusahaan besar mungkin bisa bertahan atau sama sekali meninggalkan email, tetapi perusahaan kecil, NGO, atau mailing list politik berpotensi terpukul, misalnya karena donasi menurun
    Jujur saja, sebagai jalur serangan kemungkinannya rendah, tetapi ini pikiran yang terus terngiang

    • Saya tahu ada korban yang template email sahnya dicuri mentah-mentah oleh spammer sungguhan
      Spammer memasukkan template sah itu ke dalam email secara tidak terlihat, dan hanya menampilkan beberapa baris teks penipuan yang sebenarnya
      Caranya adalah membuat filter menilai sebagian besar email tampak normal agar lolos, dan pada akhirnya jika cukup banyak pengguna melaporkannya sebagai spam, template itu sendiri akan memicu pemblokiran
      Lalu spammer berpindah ke template email korban berikutnya yang masih lolos filter, sementara korban pertama harus membereskan masalah emailnya yang tidak sampai ke mana pun
    • Saya pernah memikirkan ini bukan dari sudut serangan terhadap perusahaan, melainkan dari sudut hak konsumen atau boikot
      Karena pengalaman yang sangat buruk dengan perusahaan besar yang mengusung maksimalisasi nilai pemegang saham, saya mengaduk-aduk arsip email lama dan menandai semua komunikasi dari perusahaan itu sebagai spam
      Mungkin hanya setetes air, tetapi di dunia spam mungkin tidak perlu terlalu banyak suara
      Pengiriman email sepertinya akan berevolusi menjadi model bayar untuk lolos yang lebih terang-terangan, dan mungkin saja sudah ada kesepakatan di balik layar
    • Karena itu sebagian besar situs e-commerce mengirim email pemasaran dari domain terpisah
      Meski domain itu dilaporkan, email transaksional tetap bisa dikirim dari domain utama
      Tentu saja ini mengandaikan kedua server email berada pada IP yang berbeda
    • Di sebuah forum web yang saya kenal, ada aturan agar tidak menandai notifikasi email yang mereka kirim sebagai spam
      Pengguna bisa berhenti berlangganan dari situsnya, tetapi mereka meminta agar jangan menandainya sebagai spam di sisi klien email
      Bagi organisasi kecil, ini bisa menjadi risiko yang cukup nyata
      Saya tidak begitu tahu bagaimana organisasi besar memitigasinya
    • Saya rasa itu bisa dicegah dengan kebijakan DMARC
      Jika email yang dikirim penyerang gagal SPF/DKIM, Anda bisa mengatur kebijakan DMARC agar Gmail sejak awal tidak mengirimkan email palsu itu
      Dengan begitu serangan seperti itu tidak akan berjalan
  • Perubahan ini memang diperlukan dan sudah sangat terlambat
    Jika pemilik domain yang mengirim email dalam jumlah besar diwajibkan menandatangani pesan dengan benar, penerima bisa membedakan email baik dan buruk dengan lebih jelas berdasarkan reputasi domain, bukan reputasi alamat IP
    Dalam situasi makin banyak domain mengirim email lewat ruang IP bersama milik layanan transaksional dan pemasaran, kemampuan untuk melekatkan reputasi secara stabil pada domain pengirim sangat berguna untuk mengurangi penyalahgunaan

    • Syarat “jumlah besar” itu sebenarnya tidak benar
      Google mengatakan persyaratan baru hanya wajib jika mengirim lebih dari 5.000 email per hari, tetapi itu tidak benar
      Saya paling banyak hanya mengirim beberapa email per hari, biasanya bahkan tidak satu pun ke akun Gmail dalam sehari, dan meski hanya menerapkan sebagian persyaratan, Google mulai menolak pesan saya
      Akhirnya saya harus membuang waktu untuk menerapkan semua persyaratan, termasuk yang agak redundan
    • Sebagai administrator sistem, saya jadi bertanya-tanya apa yang harus dilakukan jika 5% email masuk ke spam karena salah konfigurasi server email Office365 milik penerima
      Secara keseluruhan saya setuju ini perubahan positif, tetapi sangat menjengkelkan ketika alasan email masuk folder spam adalah kesalahan konfigurasi di sisi penerima
      Misalnya ada kasus SPF rusak dalam proses forwarding
    • Kita juga perlahan berpindah ke IPv6, dan jika orang bisa memiliki alamat IP baru sebanyak yang diinginkan, reputasi berbasis IP akan menjadi kurang berguna sampai taraf tertentu
      Jika pengirim jahat bisa mengirim dari alamat IPv6 berbeda untuk setiap email, mungkin semua alamat IPv6 yang tampak baru pada dasarnya harus dianggap tidak tepercaya
    • Setuju, ini memang keunggulan yang jelas
      Ada ketidaknyamanan, tetapi saya berharap perubahan ini akan merapikan ekosistem email
  • Spam tidak bisa dibedakan dari konten berbahaya
    Anda tidak pernah berlangganan “newsletter” itu, dan alamat email Anda telah dipanen lalu diserahkan kepada pelaku jahat yang ingin mengganggu Anda
    Apa pun yang Anda klik akan membawa Anda ke situs web milik perusahaan itu, yang memiliki informasi Anda dan sama sekali tidak akan mempertimbangkan kepentingan Anda
    Dalam skenario terbaik, Anda hanya bisa menghapus satu sumber sampah dari kotak masuk; dalam skenario terburuk, Anda mengklik sesuatu yang memasang malware di komputer Anda
    Jadi jangan klik tautan berhenti berlangganan, tekan tombol laporkan spam, dan berhentilah memakai layanan email besar yang mengabaikan laporan spam
    Gmail membiarkan perusahaan besar lain mengirimi Anda spam dan bahkan tidak memberi opsi untuk memblokir seluruh domain secara langsung
    Sampai Anda pindah ke penyedia email yang serius menangani privasi dan keamanan, konten berbahaya akan terus masuk ke kotak masuk Anda

    • Penilaian yang masuk akal
      Saya penasaran penyedia layanan email apa yang Anda pakai
  • Mengejutkan ada begitu banyak perusahaan besar yang gagal lolos uji berhenti berlangganan sekali klik
    Caranya seperti Cloudflare atau Akamai memblokir koneksi, halaman butuh lebih dari 5 detik untuk dimuat, atau mereka meminta login maupun memasukkan ulang alamat email
    Setelah itu, mereka tidak boleh heran kalau pelanggan menekan tombol laporkan spam

    • Email yang tidak pernah saya setujui tidak akan saya hentikan langganannya
      Jadi saya menekan laporkan spam
    • Saya memakai NextDNS dengan daftar pemblokir iklan, yang pada dasarnya Pi-hole di cloud
      Hal paling menyebalkan adalah pengirim email melakukan pelacakan klik lewat domain yang diblokir oleh daftar pemblokir iklan
      Saya punya instance browser terpisah untuk menyalin dan menempel tautan seperti itu, tapi kalau begitu saya harus login lagi
      Saya lebih suka mengirim email berhenti berlangganan daripada mengeklik tautan, dan Gmail bisa mengotomatiskan ini
    • Saya memang akan berhenti berlangganan, tetapi pada 2024 saya tidak bisa lagi menerima omong kosong seperti “mungkin perlu hingga 14 hari untuk diterapkan”
      Kalau email datang lagi dalam beberapa hari, saya akan menandainya sebagai spam
      Jika TripAdvisor bisa membuat rencana perjalanan yang dihasilkan AI, mereka seharusnya juga bisa mencari cara untuk tidak mengirimkannya lewat email
    • Pada akhirnya saya melihatnya sebagai kompetisi UI yang sederhana
      Pelanggan akan memilih mana yang lebih mudah, entah berhenti berlangganan atau melaporkan spam
  • Salah satu hal yang dirusak oleh perubahan April adalah forwarding antar layanan email
    Misalnya, jika Anda meneruskan dari alamat universitas lama foo@school.edu ke akun Gmail pribadi bar@gmail.com, itu tidak akan berfungsi lagi
    Melihat penyedia besar yang mendorong ini, mungkin itu kasus penggunaan yang relatif jarang, tetapi bagi orang yang terdampak ini perubahan yang cukup menyebalkan

    • Saya tidak tahu kenapa itu tidak akan berfungsi lagi
      Saat email diteruskan, selama penerus tidak mengubah isi pesan, tanda tangan DKIM tetap cocok sehingga seharusnya lolos
    • Ini bukan perubahan baru
      SPF selalu merusak penerus yang tidak menyentuh alamat pengirim pada envelope, dan itu benar serta tepat
      Forwarding email tetap memungkinkan, tetapi penerus harus menulis ulang return path
    • Ini cukup besar; apakah artinya forwarding email sekarang tidak bisa lagi?
  • Mengejutkan bahwa ada yang masih meloloskan email meski SPF, DKIM, dan DMARC tidak disetel dengan sempurna
    Saya sudah bertahun-tahun menjalankan server email pribadi self-hosted yang tersetel baik, tetapi kadang masih kesulitan membuatnya lolos, walau sepertinya perlahan membaik

    • SPF, DKIM, dan DMARC disetel sempurna tidak berarti server penerima juga melihatnya begitu
      Terutama server Microsoft sering kali secara acak menggagalkan konfigurasi DKIM yang tidak bermasalah tanpa alasan
    • Ini bukan hanya soal konfigurasi; reputasi juga penting
      Jika volume pengiriman rendah, ada risiko email dibuang hanya karena Anda bukan pengirim yang dikenal
    • Saya juga sudah bertahun-tahun bergulat dengan masalah ini
      Karena 3 besar telah mempublikasikan dan membuat pedoman seperti ini transparan, saya berharap perilakunya menjadi lebih konsisten
    • Dalam pengalaman saya, DKIM tidak diperlukan, dan di pedoman Google yang baru pun jika menggunakan SPF, itu masih tidak wajib
    • Mengejutkan orang-orang melihat deliverability email hanya sebagai urusan konfigurasi SPF, DKIM, dan DMARC
      Spammer juga bisa melakukan hal yang sama karena hambatan masuknya rendah
      Itu memang penting, tetapi hubungannya dengan deliverability di dunia nyata sangat kecil
  • Hal paling sulit dari DMARC adalah sering gagal, terutama di Microsoft
    Dan masalah juga muncul pada semua kasus penggunaan ketika penerima meneruskan email, karena penyelarasan SPF rusak saat itu
    Karena ingin mengikuti praktik terbaik, saya baru-baru ini mengubah p=quarantine menjadi p=none
    Sebab saya takut email sah tidak lolos DMARC meski DKIM dan SPF sudah disetel dengan benar
    Saya benar-benar ingin memakai p=reject, tetapi tidak bisa sampai penerima memperbaiki server email masuk mereka agar menangani kasus pengecualian yang sama, yaitu DMARC rusak karena forwarding email

    • Pengirim yang menerapkan DMARC dan ingin emailnya diteruskan harus memakai DKIM
      Meneruskan pesan bertanda tangan DKIM sama sekali tidak merusak DMARC
  • Yang terburuk adalah menerima email lalu diam-diam menandainya sebagai spam dan menaruhnya di tempat yang tidak akan pernah dilihat penerima yang dituju
    Gmail milik Google paling parah melakukan ini
    Email korporat bukan lagi email, melainkan walled garden dan silo seperti Facebook

    • Saya bersyukur ada dinding seperti itu
      Kalau tidak, kita akan tenggelam dalam spam cold email
      Serius, saya sudah menyerah mengoperasikan dan mengelola server sendiri sehingga semua perusahaan memakai Gmail
      Tragis bahwa ini menjadi sesulit ini
      Rasanya kalau tidak berada di atas Gmail Workspace yang tersetel baik, email sah pun nyaris tidak punya peluang untuk lolos
    • Benar-benar menyebalkan
      Sejauh yang saya pahami, mereka sepertinya tidak ingin memberi sinyal kepada spammer bahwa suatu pesan dinilai sebagai email normal atau spam
      Saya ingin tahu seberapa cerdas spammer benar-benar memanfaatkan informasi seperti itu
      Sebagian besar spam tampak seperti upaya menghajar terus tanpa mempertimbangkan umpan balik kegagalan
      Di server email saya, pesan yang diklasifikasikan sebagai junk terus saya tolak sementara dengan pesan kesalahan umum
      Setidaknya pengirim sah yang salah diklasifikasikan akan menerima DSN tertunda, dan pada akhirnya mendapat umpan balik bahwa pesan tidak diterima
      Banyak server dan layanan email tampaknya lebih mementingkan tidak memberi sinyal kepada spammer daripada memberi sinyal berguna kepada pengguna sah yang salah diklasifikasikan
      Mungkin mereka mengira klasifikasi mereka sangat hebat sampai tidak pernah salah klasifikasi
    • Saya tidak mengatakan itu benar, tetapi memang efektif
      Dari sudut pandang pengguna, filter spam dan filter promosi Gmail bisa dipercaya lebih dari 99%, dan false positive juga sangat sedikit
    • Sayangnya, banyak perlindungan hukum terhadap spam yang tidak diminta hanya berlaku untuk penggunaan konsumen
      Dalam B2B, pemasar yang bisa mengetahui alamat email Anda pada dasarnya berhak mengirim pesan sebanyak yang mereka mau
      Tanpa dinding itu, email akan menjadi sama sekali tidak bisa dipakai
  • VM pribadi saya masuk ke salah satu RBL karena seluruh ruang alamat /24 masuk daftar hitam
    Katanya ada seseorang yang mengirim spam, dan sekarang mesin saya yang hanya mengirim sekitar tiga email seminggu juga ikut diblokir

    • Masalahnya, penyedia VM tanpa sengaja menyediakan ruang alamat yang sama kepada spammer
      Bisa saja spammer memakai alamat acak dalam rentang itu, atau seseorang menjalankan server SMTP yang salah konfigurasi dan mengizinkan relay
      Menjalankan server SMTP keluar dari rentang IP pelanggan memang cenderung mudah bermasalah
      Rentang seperti itu bisa dianggap mencurigakan seluruhnya karena spammer memakainya tanpa peduli reputasi
    • Benar, ini menyakitkan
      Sepertinya operator daftar blokir kurang baik dalam memverifikasi laporan penyalahgunaan, atau sengaja menimbulkan kerusakan kolateral agar operator jaringan mengambil tindakan
      Saya tidak suka masuk daftar blokir, tetapi mungkin ada efek bersih yang positif bagi internet secara luas
      Menurut saya server dan layanan email memakai daftar blokir berbasis IP dengan keliru
      Itu bisa dipakai sebagai salah satu dari banyak sinyal, dan bobotnya boleh dibuat lebih besar untuk pengirim yang baru pertama terlihat
      Namun jika IP yang selama ini terus bertukar transaksi dan pesan yang terautentikasi dengan SPF/DKIM/DMARC tiba-tiba masuk daftar blokir, reputasi positif sebelumnya seharusnya lebih kuat daripada pemblokiran itu
      Kita seharusnya tetap bisa berkomunikasi dengan pihak yang sudah dikenal, dan baru setelah mereka menandainya sebagai spam, pengiriman berikutnya bisa ditolak atau dimasukkan ke junk
      Saat ini tampaknya banyak server dan layanan email menerapkan daftar blokir IP di tahap awal proses SMTP untuk mengurangi beban sistem
      Itu baik untuk beban sistem, tetapi buruk untuk performa analisis
      Secara umum, bahkan layanan email gratis besar pun tampaknya kurang mampu memanfaatkan reputasi yang sudah ada dalam menilai sah/spam
      Baru-baru ini saya mengubah layanan web online yang saya buat menjadi pendaftaran berbasis email, dengan cara pengguna mengirim email ke alamat tertentu untuk mendaftar seperti mendaftar mailing list
      Idenya, ketika pengguna mengirim email ke layanan saya, saya masuk ke daftar pihak yang dikenal oleh pengguna
      Maka balasan konfirmasi dari server email saya yang selaras SPF/DKIM/DMARC semestinya jelas diterima
      Saya jadi bertanya-tanya, opt-in sejelas apa lagi yang dibutuhkan
      Saya mengujinya di beberapa layanan email gratis besar, dan Yahoo bahkan memasukkan balasan konfirmasi yang merujuk pesan asli ke folder junk
      Untuk orang-orang yang merasa tidak bisa bersaing dengan layanan email besar, standarnya ternyata tidak setinggi yang dibayangkan
    • Sungguh malang
      Memperbaiki reputasi, sekalipun dilakukan dengan baik, hampir seperti mimpi buruk
      Saya juga pernah melihat saran untuk membeli domain lain dan mengirim email dari sana demi melindungi domain utama, tetapi saya tidak terlalu ingin melakukannya
  • Sepertinya artikel mencampuradukkan envelope (RFC5321) dan header (RFC5322)
    Disebutkan bahwa “nama domain pada field From: di header envelope email diperiksa dan diselaraskan dengan domain lain yang diautentikasi oleh SPF atau DKIM”, tetapi envelope tidak memiliki header, dan header berada di dalam konten/badan email
    Tangkapan layar “contoh envelope email organisasi yang lolos semua panduan keamanan email” itu juga bukan informasi envelope, melainkan header email
    Ada materi presentasi bagus dari dmarc.org tentang topik ini
    https://dmarc.org/presentations/Email-Authentication-Basics-...