Cara Setting SPF, DKIM, DMARC di Domain Perusahaan, Langkah demi Langkah
Setting SPF, DKIM, DMARC intinya menambahkan beberapa baris record di pengaturan DNS domain — tidak butuh instalasi software, tapi butuh akses ke panel DNS domain (biasanya di penyedia domain seperti Niagahoster, domainesia, GoDaddy, atau Cloudflare kalau DNS dikelola di sana) dan sedikit kesabaran karena perubahan DNS butuh waktu merambat (propagasi) sebelum aktif penuh.
- Setup dasar butuh akses ke panel DNS domain dan ke admin console Google Workspace (atau layanan email lain yang dipakai)
- Urutan yang benar: SPF dulu, lalu DKIM, baru DMARC — karena DMARC bergantung pada hasil keduanya
- Perubahan DNS butuh waktu propagasi, biasanya beberapa jam sampai maksimal 48 jam, jadi jangan panik kalau belum terverifikasi langsung
- Mulai DMARC dari kebijakan 'p=none' untuk memantau dulu sebelum menaikkan ke 'quarantine' atau 'reject'
- Selalu tes hasil setup dengan tool pengecekan gratis sebelum mengirim kampanye email penawaran dalam jumlah besar
Sebelum mulai: siapkan akses yang dibutuhkan
Ada dua jenis akses yang diperlukan untuk setup ini. Pertama, akses ke panel pengelolaan DNS domain — tempat menambahkan record TXT, CNAME, atau MX. Kalau domain dibeli lewat penyedia domain lokal, ini biasanya ada di menu 'DNS Management' atau 'Zona DNS'. Kalau DNS domain dialihkan ke Cloudflare, aksesnya ada di dashboard Cloudflare, bukan di penyedia domain aslinya.
Kedua, akses admin ke layanan email yang dipakai — untuk sebagian besar perusahaan di Indonesia ini berarti Google Workspace admin console (admin.google.com), tapi langkah serupa berlaku untuk Microsoft 365 atau layanan email lain, hanya beda lokasi menu untuk mengambil kunci DKIM.
Kalau perusahaan juga memakai layanan pihak ketiga untuk mengirim email penawaran (misalnya platform outreach atau CRM), siapkan juga dokumentasi SPF/DKIM dari layanan tersebut — biasanya disediakan di halaman pengaturan domain atau pengaturan pengirim di dashboard layanan itu.
Langkah 1: setting SPF di DNS domain
SPF hanya butuh satu record TXT di root domain. Formatnya dimulai dengan 'v=spf1', diikuti daftar sumber pengirim yang diizinkan, dan diakhiri mekanisme default untuk sumber yang tidak terdaftar.
Untuk domain yang memakai Google Workspace sebagai penyedia email utama, Google menyediakan include khusus yang mewakili seluruh infrastruktur pengirim mereka, sehingga tidak perlu mendaftarkan IP satu per satu.
- Masuk ke panel DNS domain, tambahkan record baru tipe TXT di host/nama 'root' atau '@'
- Isi value dengan: v=spf1 include:_spf.google.com ~all (untuk pengguna Google Workspace)
- Kalau ada layanan pengirim tambahan (platform outreach, tool email marketing), tambahkan include masing-masing di record yang sama, contoh: v=spf1 include:_spf.google.com include:sendgrid.net ~all
- Simpan, lalu tunggu propagasi DNS (biasanya 1-24 jam, kadang lebih cepat)
- Verifikasi dengan tool pengecekan SPF gratis dengan memasukkan nama domain
Kalau PT Anugerah Cipta Mandiri memakai Google Workspace untuk email utama dan sesekali memakai satu platform outreach untuk email penawaran, record SPF-nya kira-kira: v=spf1 include:_spf.google.com include:_spf.namaplatform.com ~all — semua sumber lain otomatis dianggap tidak resmi.
Langkah 2: setting DKIM lewat admin console
DKIM sedikit berbeda karena kuncinya di-generate oleh penyedia layanan email (Google Workspace, Microsoft 365, atau platform outreach), lalu pemilik domain tinggal menyalin dan menempelkannya sebagai record DNS. Berikut langkah untuk Google Workspace, penyedia paling umum dipakai perusahaan di Indonesia.
Setelah kunci DKIM dari Google digenerate, langkah berikutnya adalah menambahkannya sebagai record TXT di DNS domain dengan nama host yang spesifik (biasanya berformat 'selector._domainkey'), bukan di root domain seperti SPF.
- Masuk ke admin.google.com, buka menu Apps > Google Workspace > Gmail > Authenticate email
- Pilih domain yang mau di-setup, klik Generate New Record
- Google akan menampilkan nama host (selector) dan value TXT record yang harus ditambahkan
- Salin nilai itu ke panel DNS domain sebagai record TXT baru dengan nama host persis seperti yang ditampilkan Google
- Tunggu propagasi, lalu kembali ke admin console dan klik Start Authentication untuk mengaktifkan
Langkah 3: setting DMARC, mulai dari kebijakan paling longgar
DMARC juga berupa record TXT, tapi diletakkan di subdomain khusus bernama '_dmarc' di depan nama domain. Isinya menentukan kebijakan (p=), alamat email untuk menerima laporan, dan opsi tambahan seperti persentase email yang dikenai kebijakan itu.
Untuk domain yang baru pertama kali setup DMARC, sangat disarankan mulai dari 'p=none' selama beberapa minggu. Ini memungkinkan pemilik domain menerima laporan siapa saja yang mengirim atas nama domain tersebut dan apakah lolos verifikasi, tanpa risiko email sah ikut terblokir kalau ternyata ada sumber pengirim resmi yang belum terdaftar di SPF/DKIM.
- Tambahkan record TXT baru dengan nama host: _dmarc.namadomain.com
- Value awal yang disarankan: v=DMARC1; p=none; rua=mailto:dmarc-report@namadomain.com
- Pantau laporan yang masuk selama 2-4 minggu, periksa apakah ada sumber pengirim sah yang gagal verifikasi
- Kalau semua sumber sah sudah lolos konsisten, naikkan ke: v=DMARC1; p=quarantine; rua=mailto:dmarc-report@namadomain.com
- Setelah yakin stabil, opsional naikkan ke level paling ketat: v=DMARC1; p=reject; rua=mailto:dmarc-report@namadomain.com
Catatan: angka bersifat perkiraan berdasarkan praktik kampanye B2B bertarget, bukan riset formal.
Langkah 4: verifikasi semuanya sebelum kirim kampanye
Setelah ketiga record ditambahkan dan waktu propagasi terlewati, jangan langsung asumsikan semuanya berfungsi — verifikasi dulu dengan cara mengirim email uji ke alamat pengujian yang bisa menampilkan hasil autentikasi mentah dari header email, atau memakai tool pengecekan domain gratis yang mengecek ketiga record sekaligus.
Kalau salah satu masih menunjukkan 'fail' atau 'not found' setelah lebih dari 48 jam, biasanya penyebabnya salah satu dari: format record yang salah ketik (spasi ekstra atau tanda kutip yang tidak perlu), record ditambahkan di host yang salah, atau ada record duplikat/konflik yang membingungkan sistem DNS.
Masalah umum yang sering muncul dan cara mengatasinya
Salah satu keluhan paling umum adalah 'DMARC policy not enabled' yang muncul di berbagai tool audit keamanan email — ini biasanya berarti domain belum punya record DMARC sama sekali, bukan errornya spesifik. Solusinya cukup menambahkan record DMARC seperti langkah di atas, dimulai dari 'p=none'.
Masalah lain yang sering ditemui perusahaan dengan banyak layanan pihak ketiga: SPF record 'terlalu panjang' karena melebihi batas 10 DNS lookup, sehingga SPF gagal validasi sepenuhnya meski terlihat benar. Solusinya biasanya menyederhanakan record dengan menghapus include yang sudah tidak dipakai, atau memakai layanan flattening SPF yang menggabungkan beberapa include jadi daftar IP langsung.
Masalah ketiga: setelah setup DKIM di Google Workspace, lupa klik 'Start Authentication' di admin console setelah record DNS aktif — record-nya ada tapi statusnya tetap tidak aktif sampai langkah ini dilakukan secara manual.
- 'DMARC policy not enabled' — tambahkan record _dmarc dengan minimal p=none
- SPF melebihi 10 DNS lookup — sederhanakan include atau pakai SPF flattening
- DKIM record ada tapi belum aktif — cek sudah klik Start Authentication di admin console
- Record DMARC tidak terbaca — cek nama host harus persis '_dmarc', bukan 'dmarc' saja
- Alignment DMARC gagal — pastikan domain di header 'From' sama dengan domain yang terdaftar SPF/DKIM
Setelah setup selesai, ini baru langkah awal
Setup teknis SPF, DKIM, DMARC yang benar adalah prasyarat, bukan jaminan otomatis email penawaran akan lancar masuk inbox calon klien. Setelah fondasi ini beres, faktor berikutnya yang menentukan adalah reputasi domain (terutama kalau baru), relevansi daftar kontak, dan personalisasi konten — semua ini dibahas di panduan terpisah tentang kenapa email masih bisa masuk spam meski autentikasi sudah benar.
Untuk perusahaan yang ingin memulai kampanye email penawaran B2B dengan fondasi yang benar sejak awal, LDM selalu memulai dari audit domain seperti langkah-langkah di atas sebelum menyentuh strategi konten atau segmentasi penerima — urutan ini yang paling efisien untuk memastikan email benar-benar sampai ke pengambil keputusan yang dituju.
Tanya jawab
Apakah setting SPF, DKIM, DMARC bisa dilakukan sendiri tanpa tim IT?
Bisa, selama punya akses ke panel DNS domain dan admin console layanan email seperti Google Workspace. Langkahnya berupa menambahkan record TXT sesuai instruksi, tanpa perlu kemampuan coding, tapi tetap butuh ketelitian karena kesalahan format record cukup umum terjadi.
Berapa lama record DNS baru aktif setelah ditambahkan?
Bervariasi tergantung penyedia DNS, umumnya antara satu jam sampai 24 jam, dan maksimal bisa sampai 48 jam untuk propagasi penuh ke seluruh server DNS di dunia.
Apa arti pesan 'DMARC policy not enabled' yang muncul di tool audit?
Artinya domain belum memiliki record DMARC sama sekali. Solusinya menambahkan record TXT di host '_dmarc.namadomain.com' dengan minimal kebijakan 'p=none' untuk mulai memantau.
Apakah boleh langsung pakai kebijakan DMARC p=reject sejak awal setup?
Tidak disarankan. Mulai dari 'p=none' selama beberapa minggu untuk memastikan semua sumber pengirim sah sudah terdaftar benar di SPF dan DKIM, baru naikkan bertahap ke 'quarantine' lalu 'reject' setelah yakin tidak ada email sah yang akan ikut terblokir.
Kenapa DKIM sudah ditambahkan di DNS tapi statusnya masih belum aktif di Google Workspace?
Biasanya karena langkah terakhir belum dilakukan — setelah record DNS terpropagasi, harus kembali ke admin console Google Workspace dan klik Start Authentication secara manual untuk mengaktifkan DKIM sepenuhnya.
Ingin menerapkan ini di outreach Anda?
Kami tunjukkan cara kerjanya untuk segmen dan produk Anda — sebelum mulai.
Mari berdiskusi