Para spammer lebih piawai memanfaatkan SPF, DKIM, dan DMARC

 (toad.social)
14 poin oleh GN⁺ 2025-03-26 | 2 komentar | Bagikan ke WhatsApp
  • Metode autentikasi email seperti DMARC, SPF, dan DKIM digunakan sebagai sarana untuk mengurangi spam, tetapi dalam praktiknya justru lebih dimanfaatkan dengan baik oleh para pengirim spam.
  • Metode autentikasi ini tidak memberikan banyak manfaat bagi sebagian besar pengirim, dan penolakan email berdasarkan kegagalan autentikasi justru bisa merugikan.
  • Para pengirim spam tahu betul cara membeli domain murah lalu lolos autentikasi.

Masalah penerusan email dan Gmail

  • Gmail mewajibkan autentikasi seperti DMARC, dan ini dapat menimbulkan masalah saat email diteruskan.
  • Saat email diteruskan, SPF bisa rusak, sedangkan DKIM tetap terjaga selama isi atau header tidak diubah.
  • Fitur pengambilan POP3 Gmail sulit dipicu secara manual, dan interval otomatisnya cenderung panjang.

Keterbatasan autentikasi email

  • Autentikasi email mencegah pemalsuan domain tertentu, tetapi tidak menghentikan spam yang menggunakan domain mirip atau salah ketik.
  • Autentikasi berguna untuk memverifikasi identitas pengirim, tetapi terpisah dari otorisasi.
  • Para pengirim spam dapat menetapkan kebijakan autentikasi, dan ini dapat berperan sampai batas tertentu dalam mengendalikan spam.

Pencegahan spam dan keamanan email

  • Berbagai metode digunakan untuk mencegah spam, tetapi tidak ada solusi yang sempurna.
  • Layanan seperti Spamhaus berguna untuk memblokir spam, tetapi false positive bisa terjadi.
  • Keamanan email memerlukan pengelolaan dan pembaruan berkelanjutan.

Bacaan terkait

2 komentar

 
GN⁺ 2025-03-26
Komentar Hacker News

  • Sebagai seseorang yang menjalankan server email pribadi, saya melihat upaya terus-menerus dari alamat IP Rusia yang mencoba mengirim email atas nama nama domain saya

    • Orang-orang yang bisnisnya memang mengirim email tahu cara mengonfigurasi email dengan benar
    • Mengejutkan betapa banyak administrator sistem yang bahkan gagal mengatur hal-hal dasar dengan benar
    • Jika Anda menerima email DMARC yang mengatakan email Sendgrid ditolak karena tanda tangan SPF salah, Anda harus bertanya apakah tim pemasaran memang menggunakannya secara sah
    • Tanda tangan otomatis nilainya terbatas, tetapi penolakan berbasis SPF dan DKIM jarang merupakan kesalahan
    • Di organisasi besar kondisinya mungkin lebih buruk, tetapi pada server email kecil, penolakan teknis biasanya adalah keputusan yang benar
    • Mailing list adalah pengecualian, tetapi orang yang menggunakannya biasanya bisa mencari tahu cara menambahkan pengecualian

  • Meskipun SPF, DKIM, dan DMARC sudah dikonfigurasi dengan benar dan domain memiliki skor spam 0, saya tetap mengalami email masuk ke folder spam

    • Agar email diterima Gmail, dibutuhkan "reputasi"
    • Jika email langsung masuk ke spam, membingungkan bagaimana reputasi itu bisa dibangun
    • Email Linkedin bukan spam, dan dark pattern mereka tidak diblokir meskipun menambahkan kita ke daftar email

  • SPF/DKIM berkaitan dengan reputasi server email

    • Ini terutama menguntungkan server besar seperti Google, Microsoft, dan Yahoo
    • Upaya anti-spam dari penyedia besar merugikan penyedia kecil
    • Tidak perlu melacak reputasi server email, yang perlu dilacak adalah reputasi pengirim
    • Harusnya kita bisa memperlakukan email anonim dan email dari orang yang benar-benar kita kenal secara berbeda
    • Saat ini belum ada cara bagi pengirim email yang sudah dikenal untuk memperkenalkan pengirim yang belum dikenal dengan aman

  • SPF dan DKIM tidak sepenuhnya menghentikan spam, tetapi DMARC mungkin memang tidak berguna

    • Pengirim spam juga bisa membaca standar ini, jadi SPF/DKIM tidak bisa sepenuhnya menghentikan spam
    • Sebelum SPF/DKIM diadopsi, saya sering menerima email phishing dari alamat seperti support@paypal.com
    • Paypal bisa dengan jelas menunjukkan alamat IP yang diizinkan lewat SPF, dan emailnya bisa diverifikasi dengan DKIM
    • Spamassassin sangat mengurangi skor spam untuk email dengan DKIM yang benar dan yang berasal dari paypal.com

  • Tujuan SPF/DKIM/DMARC adalah mengikat email ke domain untuk mencegah spoofing

    • Mengharapkan autentikasi saja bisa mengurangi spam adalah hal yang naif

  • Google buruk dalam hal SPF dan DKIM

    • Beberapa bulan lalu saya mencoba membalas lewat email ke pesan di pelacak bug Chromium, tetapi gagal
    • Email tidak diproses karena pemeriksaan SPF/DKIM dinyatakan gagal
    • SPF dan DKIM saya tidak bermasalah
    • Alat yang disuruh digunakan saat menyiapkan Google Workspace sudah lama tidak berfungsi dengan benar
    • Tautan umpan baliknya juga tidak berfungsi dengan baik

  • Saya menjalankan server email pribadi, dan sebagian besar spam gagal lolos SPF/DKIM

    • Dalam beberapa tahun terakhir, proporsi spam yang lolos terus meningkat
    • 90-95% email yang saya harapkan lolos SPF/DKIM
    • Saya menerapkan aturan pengirim yang ketat
    • Saya mempublikasikan alamat email di situs, tetapi hampir tidak mendapat spam

  • Saya menjalankan filter spam sederhana berbasis heuristik

    • Saya memeriksa email terkirim, dan email yang memuat alamat atau subjek yang pernah saya kirim tidak ditandai sebagai spam
    • Spam dari alamat baru ditandai sebagai belum dibaca
    • Hal seperti konfirmasi langganan ditempatkan di bagian atas folder spam

  • Saya memindahkan email ke Proton, dan proses menambahkan entri DNS serta verifikasinya sangat mudah

    • Awalnya saya takut dengan tahap ini, tetapi ternyata mudah diselesaikan

  • Saya mengira nilai SPF, DKIM, dan DMARC adalah memindahkan reputasi dari berbasis IP ke berbasis domain

    • Saya berharap jika reputasi domain dijaga dengan baik dan SPF, DKIM, DMARC dikonfigurasi dengan benar, saya bisa meng-host server SMTP di IP mana pun
    • Saya penasaran mengapa tidak bekerja seperti itu