SPF, DKIM, DMARC Adalah Apa, dan Kenapa Ketiganya Wajib untuk Email Bisnis
SPF, DKIM, DMARC adalah tiga protokol yang bekerja sama membuktikan bahwa email benar-benar berasal dari domain yang tertera, bukan dipalsukan orang lain. Tanpa ketiganya, email penawaran perusahaan yang sah pun bisa diperlakukan sama curiganya dengan email phishing oleh sistem penerima, karena secara teknis penyedia email tidak punya cara membedakan keduanya.
- SPF memverifikasi server mana yang boleh mengirim atas nama domain, DKIM memverifikasi email tidak diubah di tengah jalan, DMARC menyatukan keduanya jadi satu kebijakan tegas
- Ketiganya saling melengkapi — SPF dan DKIM saja tanpa DMARC masih bisa dipalsukan lewat domain lookalike
- Sejak kebijakan Gmail dan Yahoo diperketat pada 2024, domain tanpa ketiga protokol ini jauh lebih sulit masuk inbox, terutama untuk volume kirim menengah ke atas
- DMARC punya tiga tingkat kebijakan (none, quarantine, reject) yang idealnya dinaikkan bertahap, bukan langsung ke level paling ketat
- Untuk perusahaan yang mengirim email penawaran B2B, autentikasi lengkap adalah syarat dasar sebelum bicara soal personalisasi atau strategi konten sama sekali
Kenapa email butuh 'bukti identitas' seperti ini
Protokol email dasar (SMTP) yang dipakai mengirim email sejak dulu sebenarnya tidak punya mekanisme bawaan untuk memverifikasi pengirim — siapa pun bisa menulis alamat 'From' apa pun tanpa harus membuktikan kepemilikannya, mirip seperti menulis alamat pengirim di amplop surat fisik yang bisa diisi bebas. Celah ini yang dulu dimanfaatkan besar-besaran untuk spam dan phishing dengan memalsukan domain perusahaan tepercaya.
SPF, DKIM, dan DMARC dikembangkan bertahap selama dua dekade terakhir untuk menambal celah ini tanpa mengubah total cara kerja email. Ketiganya didaftarkan sebagai record DNS di domain, sehingga penyedia email penerima bisa mengecek secara otomatis dan real-time setiap kali email masuk, sebelum email itu sampai ke kotak masuk penerima.
SPF: daftar server yang berhak mengirim atas nama domain
SPF (Sender Policy Framework) pada dasarnya adalah daftar putih — sebuah record DNS berisi alamat IP atau nama server mana saja yang diizinkan mengirim email atas nama domain tertentu. Ketika email masuk, server penerima mengecek: apakah IP yang benar-benar mengirim email ini ada di daftar SPF domain pengirim? Kalau tidak, email dianggap mencurigakan.
Keterbatasan SPF sendirian: ia hanya memverifikasi server pengirim, bukan isi email. Kalau email diteruskan (forward) lewat server lain, verifikasi SPF sering gagal meski email itu sah — inilah salah satu alasan SPF tidak pernah dipakai sendirian, selalu berdampingan dengan DKIM.
Contoh record SPF sederhana di DNS: v=spf1 include:_spf.google.com ~all — artinya domain mengizinkan server Google Workspace mengirim atas namanya, dan server lain yang tidak terdaftar dianggap 'soft fail' (mencurigakan tapi tidak otomatis ditolak).
DKIM: tanda tangan digital yang membuktikan email tidak diubah
DKIM (DomainKeys Identified Mail) bekerja dengan cara berbeda dari SPF. Setiap email yang dikirim ditandatangani secara kriptografis memakai kunci privat yang hanya dimiliki server pengirim, dan kunci publiknya dipublikasikan di DNS domain. Server penerima memakai kunci publik itu untuk memverifikasi bahwa tanda tangan cocok — kalau cocok, artinya email memang berasal dari domain itu dan isinya tidak diubah di tengah jalan.
Keunggulan DKIM dibanding SPF adalah ia tetap valid meski email diteruskan lewat server lain, karena tanda tangannya melekat di header email itu sendiri, bukan bergantung pada IP pengirim langsung. Kelemahannya, DKIM sendirian tidak mencegah orang mengirim email dari domain yang mirip (lookalike domain) — di sinilah DMARC berperan.
DMARC: kebijakan yang menyatukan SPF dan DKIM jadi keputusan tegas
DMARC (Domain-based Message Authentication, Reporting and Conformance) tidak menggantikan SPF atau DKIM, tapi mengikat keduanya jadi satu aturan yang jelas: kalau email gagal SPF dan/atau DKIM, apa yang harus dilakukan penyedia email penerima terhadap email itu? Ditolak? Dikarantina ke folder spam? Atau dibiarkan lewat tapi dicatat untuk laporan?
DMARC punya tiga level kebijakan yang dipasang lewat parameter 'p=' di record DNS-nya. Level 'none' hanya memantau dan melaporkan tanpa memblokir apa pun — cocok untuk tahap awal memastikan tidak ada email sah yang ikut terblokir. Level 'quarantine' mengarahkan email yang gagal verifikasi ke folder spam. Level 'reject' menolak sepenuhnya email yang gagal verifikasi, ini level paling ketat dan idealnya baru dipasang setelah yakin semua sumber email sah sudah terdaftar dengan benar di SPF/DKIM.
DMARC juga menambahkan fitur penting: laporan agregat (aggregate report) yang dikirim ke alamat email yang ditentukan pemilik domain, berisi ringkasan siapa saja yang mencoba mengirim email atas nama domain tersebut dan apakah lolos verifikasi atau tidak. Laporan ini sangat berguna untuk mendeteksi kalau ada pihak lain yang mencoba memalsukan domain perusahaan.
Catatan: angka bersifat perkiraan berdasarkan praktik kampanye B2B bertarget, bukan riset formal.
Bagaimana ketiganya bekerja sama saat satu email dikirim
Ketika sebuah email penawaran dikirim dari domain perusahaan, prosesnya kurang lebih begini: server pengirim menandatangani email dengan DKIM, lalu mengirimkannya lewat server yang sudah terdaftar di SPF domain tersebut. Server penerima menerima email, mengecek apakah IP pengirim cocok dengan SPF, mengecek apakah tanda tangan DKIM valid, lalu mengecek kebijakan DMARC domain untuk memutuskan apa yang terjadi kalau salah satu atau keduanya gagal.
Poin yang sering terlewat: DMARC mensyaratkan 'alignment' — domain yang tertera di header 'From' yang dilihat penerima harus sama (atau subdomain) dari domain yang diverifikasi SPF/DKIM. Kalau perusahaan memakai layanan pihak ketiga untuk mengirim email tapi domain di header 'From' tidak selaras dengan domain yang terdaftar di SPF/DKIM layanan itu, DMARC tetap bisa gagal meski SPF dan DKIM masing-masing lolos secara terpisah.
Kesalahan umum saat menyiapkan ketiganya
Kesalahan paling sering: memasang SPF dan DKIM tapi tidak pernah memasang DMARC sama sekali, karena dianggap 'opsional'. Padahal tanpa DMARC, domain tetap rentan dipalsukan lewat domain lookalike, dan penyedia email besar makin memberi bobot lebih pada keberadaan DMARC saat menghitung skor reputasi.
Kesalahan lain: langsung memasang DMARC dengan kebijakan 'p=reject' tanpa pernah memantau lewat 'p=none' lebih dulu. Kalau ada layanan pengiriman sah (misalnya tool CRM atau platform outreach) yang belum terdaftar di SPF, kebijakan reject langsung bisa memblokir email sah milik perusahaan sendiri tanpa disadari sampai komplain mulai masuk.
Kesalahan ketiga, khusus untuk perusahaan dengan banyak subdomain atau layanan pihak ketiga (email marketing, CRM, sistem tiket), lupa mendaftarkan semuanya di satu SPF record yang sama — SPF punya batas jumlah lookup DNS yang bisa dilakukan, jadi menumpuk terlalu banyak include tanpa perencanaan bisa membuat SPF gagal validasi sama sekali.
- Memasang SPF/DKIM tapi tidak pernah memasang DMARC
- Langsung ke DMARC 'p=reject' tanpa masa pemantauan 'p=none' lebih dulu
- Tidak mendaftarkan semua layanan pengirim sah (CRM, tool outreach, email marketing) di SPF/DKIM
- SPF record melebihi batas 10 DNS lookup sehingga gagal validasi total
- Domain di header 'From' tidak selaras dengan domain yang diautentikasi (DMARC alignment gagal)
Kenapa ini bukan sekadar urusan IT, tapi fondasi outreach B2B
Untuk perusahaan yang mengandalkan email penawaran dan follow-up sebagai jalur utama menjangkau calon klien, autentikasi domain yang lengkap bukan detail teknis yang bisa ditunda — ini fondasi yang menentukan apakah email sampai ke pengambil keputusan sama sekali. Strategi konten sebagus apa pun, personalisasi sedetail apa pun, tidak akan berarti kalau email tidak pernah sampai ke inbox karena SPF/DKIM/DMARC belum lengkap.
Di LDM, audit autentikasi domain selalu jadi langkah pertama sebelum kampanye email penawaran B2B dijalankan untuk klien, karena pengalaman menunjukkan sebagian besar masalah deliverability yang terlihat rumit sebenarnya berakar dari fondasi teknis yang belum benar-benar solid di titik ini.
Tanya jawab
Apakah SPF, DKIM, DMARC wajib dipasang ketiganya, atau cukup salah satu?
Idealnya ketiganya. SPF dan DKIM saling melengkapi dari sisi verifikasi teknis, sedangkan DMARC menyatukan keduanya jadi kebijakan tegas dan menutup celah domain lookalike yang tidak bisa dicegah SPF/DKIM saja.
Apa itu DMARC dan apa bedanya dengan SPF dan DKIM?
DMARC adalah kebijakan yang mengikat hasil verifikasi SPF dan DKIM, menentukan apa yang terjadi (dibiarkan, dikarantina, atau ditolak) kalau email gagal salah satu atau keduanya, serta menyediakan laporan pemantauan ke pemilik domain.
Apakah aman langsung memasang DMARC dengan kebijakan reject?
Tidak disarankan untuk domain yang belum pernah memasang DMARC sebelumnya. Mulai dari kebijakan 'p=none' untuk memantau dulu, pastikan semua layanan pengirim sah sudah terdaftar benar di SPF/DKIM, baru naikkan bertahap ke quarantine lalu reject.
Berapa lama waktu yang dibutuhkan untuk setup SPF, DKIM, DMARC dari nol?
Setup teknisnya sendiri biasanya bisa selesai dalam satu-dua jam kalau punya akses DNS domain. Tapi masa pemantauan DMARC sebelum menaikkan ke kebijakan yang lebih ketat sebaiknya berlangsung beberapa minggu untuk memastikan tidak ada email sah yang terblokir.
Apakah email yang lolos SPF DKIM DMARC pasti masuk inbox, tidak masuk spam?
Tidak pasti. Ketiganya adalah syarat dasar yang membuktikan identitas pengirim sah, tapi filter spam tetap menilai faktor lain seperti reputasi domain, volume kirim, dan isi konten email sebelum memutuskan email masuk inbox atau tidak.
Ingin menerapkan ini di outreach Anda?
Kami tunjukkan cara kerjanya untuk segmen dan produk Anda — sebelum mulai.
Mari berdiskusi