Saatnya Bersikap Ketat Dengan DMARC

Status autentikasi email dan standar keamanan DMARC tampak begitu menjanjikan di awal tahun 2024.

Google dan Yahoo telah menetapkan batas waktu pada bulan Februari 2024 bagi pengirim email massal untuk mengadopsi kebijakan Otentikasi, Pelaporan, dan Kesesuaian Pesan Berbasis Domain (DMARC), dan ketika perusahaan berusaha keras untuk memenuhi tenggat waktu tersebut, jumlah domain email dengan data DMARC yang valid melonjak 60% dalam dua bulan. Pada bulan September, hampir 6,8 juta domain telah mengonfigurasi autentikasi pengirim email.

Bahkan dengan lonjakan tersebut di awal tahun, kenyataannya bisnis masih lambat dalam menyiapkan autentikasi email di domain mereka. Keterlambatan adopsi ini terutama terlihat ketika beralih dari kebijakan dasar minimum DMARC yaitu 'p = tidak ada' ke kebijakan yang lebih ketat. Penegakan berarti email yang tidak diautentikasi akan dikarantina atau ditolak. Jumlah domain yang mendukung DMARC dengan kebijakan yang diterapkan sebenarnya telah turun dari 18% pada tahun lalu, menjadi kurang dari 14% saat ini.

Meskipun tindakan Google dan Yahoo memaksa banyak perusahaan untuk mengadopsi DMARC, sebagian besar dari mereka – didorong oleh kekhawatiran tentang pemblokiran pesan yang sah – belum mengadopsi kebijakan karantina atau penolakan, kata Seth Blank, chief technology officer di Valimail, penyedia layanan keamanan email .

“Google dan Yahoo menerapkan persyaratannya, ekosistem mendapat dukungan, dan pesan yang disampaikan sangat berkaitan dengan keamanan — sehingga orang-orang yang peduli terhadap keamanan melakukan sesuatu,” kata Blank. “Masih ada sebagian besar pasar yang belum bergerak, belum mengambil langkah apa pun, bahkan jumlah minimum yang kita lihat di sini.”

Protokol DMARC bertujuan untuk menambahkan otentikasi ke infrastruktur email Internet, yang mengharuskan pengirim email mengadopsi dua teknologi verifikasi — Kerangka Kebijakan Pengirim (SPF) dan DomainKeys Identified Mail (DKIM) — dan tentukan kebijakan tentang bagaimana server lain harus menangani email dari pengirim yang bukan bagian dari domain resmi. Pada bulan Oktober 2023, Google dan Yahoo mewajibkan pemasar email — siapa pun yang mengirim lebih dari 5.000 email setiap hari melalui layanan tersebut — menyiapkan DMARC. Langkah ini menghasilkan penurunan yang signifikan dalam jumlah email yang tidak diautentikasi, dengan Google melihat dua pertiga lebih sedikit (65%) pesan tidak diautentikasi yang dikirim ke pengguna Gmail dan 265 miliar lebih sedikit pesan tidak diautentikasi yang dikirim sepanjang tahun ini. menurut data perusahaan yang dirilis minggu lalu.

Ketakutan, Ketidakpastian, dan DMARC

Tingkat adopsi DMARC meningkat sekitar dua kali lipat selama setahun terakhir — dari sekitar 55.000 domain menambahkan data DMARC baru setiap bulan pada tahun 2023, menjadi 110.000 domain per bulan pada Q3 tahun 2024, menurut data Valimail. Namun, bahkan pada tingkat tersebut, masih diperlukan waktu hampir 15 tahun lagi agar 25 juta domain teratas dapat bergabung.

Selain itu, adopsi DMARC tidak stabil. Meskipun lebih dari 60% organisasi di beberapa industri, seperti manufaktur dan layanan kesehatan, telah mengadopsi DMARC, hanya satu dari lima organisasi yang benar-benar beralih dari kebijakan keamanan terendah ('p = tidak ada') sampai yang tertinggi ('p=menolak,') menurut data dari EasyDMARC, sebuah perusahaan layanan otentikasi email. Beberapa sektor, seperti organisasi nirlaba dan amal, mengalami peningkatan penerapan sepanjang tahun, namun kurang dari 8% domain yang menggunakan DMARC.

Karena email sangat penting untuk operasional bisnis, organisasi khawatir bahwa penegakan yang lebih ketat akan mengakibatkan hilangnya pesan, terutama karena DMARC tidak memerlukan teknologi yang mudah untuk diterapkan dan dipelihara, kata Kelly Molloy, direktur pengembangan jaringan untuk DomainTools, sebuah perusahaan intelijen internet.

“Ketakutannya adalah, terutama jika Anda adalah perusahaan yang bergantung pada prospek melalui email, Anda akan kehilangan pesan dari pihak yang berkepentingan — dari pelanggan dan calon pelanggan — jika Anda mulai melakukan hal tersebut. [strict enforcement],' katanya, seraya menambahkan: 'Banyak perusahaan bersikap konservatif dan tidak bertindak lebih jauh dari yang seharusnya… karena hal tersebut memerlukan sumber daya.'

Menunggu Sepatu Lain Jatuh

Siklus adopsi yang terhenti kemungkinan akan menarik langkah besar lainnya dari Google, Yahoo dan layanan email konsumen besar lainnya, kata Hagop Khatchoian, pimpinan tim layanan teknis di EasyDMARC.

“Mereka [Google and Yahoo] hanya memaksa semua orang untuk memiliki setidaknya 'p = tidak ada' …untuk hanya memiliki kebijakan dasar tanpa penegakan apa pun – kami memperkirakan hal itu akan berubah dalam beberapa tahun mendatang,” katanya. “Tetapi Anda tidak bisa terus-terusan mengatakan kepada semua orang, 'Hei, Anda perlu'p=menolak,' … karena jika Anda memiliki kesalahan konfigurasi kecil dalam ekosistem email Anda, dan Anda memiliki kebijakan yang diterapkan, maka email sah Anda juga akan diblokir.”

Blank dari Valimail setuju, dengan menyatakan bahwa layanan email utama – Google, Microsoft dan Yahoo, serta penyedia email besar di negara lain – kemungkinan besar tidak akan menunggu lama sebelum kembali mematikan email yang tidak diautentikasi.

“Masyarakat pengirim atau masyarakat penerima akan mengamanatkan langkah selanjutnya, karena mereka tahu [authentication] adalah satu-satunya masukan yang paling penting ke dalam sistem mereka — kemampuan untuk mengetahui siapa yang mengirim email dengan lebih pasti,” katanya. “Kita akan melihat lebih banyak tindakan di sana… dan itu akan memakan waktu bertahun-tahun, tapi itu tidak akan berhasil. menjadi lima sampai sepuluh tahun. Mungkin dua, tiga, mungkin empat.”

Tidak Ada Bukan Bukan Apa-apa, Tapi Mendekatinya

Dengan adanya dorongan DMARC lainnya dari layanan email utama, organisasi harus merencanakan untuk mengubah kebijakan DMARC mereka dari 'tidak ada' ke tingkat penegakan yang lebih tinggi.

Tiga tingkat penegakan hukum tersebut adalah:

Setiap tingkat penegakan hukum dapat menghasilkan laporan, dan perusahaan harus memantau laporan tersebut untuk memeriksa masalah dan anomali, kata Blank dari Valimail.

“DMARC di 'p = tidak ada' tanpa adanya pelaporan secara sintaksis setara dengan tidak memiliki DMARC sama sekali,” katanya. “Nilai DMARC berasal dari pelaporan dan upaya menuju kebijakan yang bukan 'tidak ada'. Kalau sudah 'p = tidak ada', dan Anda tidak mendapatkan laporan, tidak ada yang dapat Anda lakukan, tidak ada yang dapat Anda lihat, tidak ada yang dapat Anda perbaiki.”

Mendapatkan laporan dari infrastruktur DMARC merupakan tingkat visibilitas yang penting bagi perusahaan saat mereka mengupayakan keamanan email yang lebih baik. Perusahaan besar bukan satu-satunya organisasi yang mengalami penyalahgunaan email secara signifikan, sehingga perusahaan mana pun yang mengirimkan email harus memantau laporan DMARC mereka, katanya.