SPF, DKIM, DMARC — Setup Lengkap untuk Email Tidak Spam

Email dari domain kantor kamu (kampus, instansi, perusahaan) selalu masuk spam Gmail? Lawan bicara komplain "saya tidak terima emailnya"? Bukan masalah konten. Bukan masalah server. Kemungkinan besar domain kamu belum punya SPF, DKIM, atau DMARC — tiga DNS record yang sekarang jadi syarat wajib email modern.

Mulai Februari 2024, Gmail dan Yahoo wajibkan ketiga record ini untuk semua domain yang kirim >5000 email/hari. Untuk volume kecil pun, ada/tidaknya record ini menentukan reputation skor.

Apa Itu SPF, DKIM, DMARC? — Analogi Surat

Bayangkan email seperti surat fisik. Penerima curiga kalau ada surat datang tanpa identitas jelas. SPF, DKIM, dan DMARC adalah tiga lapis identitas surat email kamu:

SPF (Sender Policy Framework) = Daftar Pengirim Resmi

Seperti daftar nama yang berhak mengirim atas nama perusahaan. SPF beri tahu dunia: "Hanya server di IP ini, ini, dan ini yang berhak kirim email atas nama domain kami." Provider penerima cek IP pengirim cocok dengan daftar — kalau tidak, suspicious.

DKIM (DomainKeys Identified Mail) = Tanda Tangan Digital

Seperti tanda tangan basah di akhir surat. Setiap email yang kamu kirim ditandatangani dengan kunci kriptografi. Penerima cek tanda tangan dengan public key di DNS kamu. Kalau cocok = email belum diubah-ubah di tengah jalan, dan asli dari domain kamu.

DMARC (Domain-based Message Authentication) = Aturan Penanganan

Seperti instruksi ke kantor pos: "Kalau ada surat mengatasnamakan saya tapi gagal cek tanda tangan, tolong tolak (atau karantina)." DMARC kombinasikan hasil SPF + DKIM, lalu beri tahu provider penerima apa yang harus dilakukan.

Ketiganya saling melengkapi. SPF saja → tidak cukup (orang bisa palsukan IP). DKIM saja → tidak cukup (orang bisa pakai domain kamu tanpa tanda tangan). DMARC tanpa SPF/DKIM → tidak ada hasil untuk dicek. Pakai ketiganya.

Step 0 — Cek Status Domain Kamu Sekarang

Sebelum setup, cek dulu domain kamu sudah punya record apa saja. Kalau sudah ada SPF tapi belum DKIM/DMARC, tinggal lanjut. Kalau belum ada sama sekali, mulai dari nol.

TERMINAL — Cek SPF, DKIM, DMARC dengan dig

# Cek SPF record
dig +short TXT example.com | grep spf

# Cek DKIM record (selector tergantung provider)
dig +short TXT default._domainkey.example.com
dig +short TXT google._domainkey.example.com  # kalau pakai Google Workspace

# Cek DMARC record
dig +short TXT _dmarc.example.com

# Kalau output kosong = belum ada, harus setup

Ganti example.com dengan domain kamu. Cara web: pakai mxtoolbox.com — masukkan domain, klik "SuperTool" → SPF/DKIM/DMARC Lookup.

Setup SPF Record — Step 1

SPF adalah TXT record di DNS root domain kamu. Format:

DNS — SPF Record Contoh

# ══════════════════════════════════════════
# cekipsaya.com — network intelligence tools
# gratis untuk Indonesia: cek IP, DNS, ping,
# traceroute, blacklist check & more.
# ══════════════════════════════════════════
# SPF — domain mengizinkan kirim dari:
# - Server email sendiri (a, mx)
# - Google Workspace (include:_spf.google.com)
# - SendGrid kalau pakai (include:sendgrid.net)
# - Tolak yang lain (-all)

Type: TXT
Name: @ (atau kosongkan, artinya root domain)
Value: v=spf1 a mx include:_spf.google.com -all
TTL: 3600

Ganti include:_spf.google.com sesuai provider email kamu. Lihat tabel di bawah.

Provider Email	SPF Include	Catatan
Google Workspace	include:_spf.google.com	Wajib kalau pakai Gmail untuk domain kamu
Microsoft 365	include:spf.protection.outlook.com	Wajib kalau pakai Outlook for Business
Zoho Mail	include:zoho.com	Free tier 5 user
SendGrid	include:sendgrid.net	Untuk email transactional/newsletter
Mailgun	include:mailgun.org	API-based
Amazon SES	include:amazonses.com	Untuk volume besar
Server email sendiri	a:mail.example.com	Atau ip4:103.10.x.x untuk IP spesifik

Hanya boleh satu SPF record per domain. Kalau kamu pakai 2 provider (misal Google + SendGrid), gabungkan dalam satu record: "v=spf1 include:_spf.google.com include:sendgrid.net -all". Bukan dua record terpisah!

Setup DKIM Record — Step 2

DKIM lebih kompleks karena melibatkan kriptografi. Tapi mayoritas provider modern auto-generate key untuk kamu. Tinggal copy-paste ke DNS.

Login ke admin email provider. Google Workspace: admin.google.com → Apps → Gmail → Authenticate Email. Microsoft 365: admin.microsoft.com → Setup → Domain → DKIM.
Generate DKIM key di admin panel. Provider akan kasih nama record (biasanya selector1, selector2, atau google, default) dan value panjang (~400 karakter).
Copy nama dan value ke DNS domain kamu. Type: CNAME atau TXT (sesuai instruksi provider). Name biasanya: selector._domainkey.example.com.
Tunggu DNS propagasi 30 menit - 24 jam. Cek dengan dig: dig TXT default._domainkey.example.com
Aktifkan signing di admin panel setelah verify. Setiap email outbound mulai ditandatangani.

Pakai key 2048-bit, bukan 1024. 1024-bit sudah dianggap weak. Mayoritas provider sudah default 2048-bit, tapi cek dulu. Kalau masih 1024, regenerate ke 2048.

Setup DMARC Record — Step 3

DMARC adalah TXT record terpisah di subdomain _dmarc. Mulai dari policy yang lunak, baru bertahap ketat.

DNS — DMARC Record Bertahap

# ══════════════════════════════════════════
# cekipsaya.com — network intelligence tools
# gratis untuk Indonesia: cek IP, DNS, ping,
# traceroute, blacklist check & more.
# ══════════════════════════════════════════
# === FASE 1 (minggu 1-2) — Monitor saja ===
Type: TXT
Name: _dmarc
Value: v=DMARC1; p=none; rua=mailto:[email protected]; pct=100

# === FASE 2 (minggu 3-4) — Karantina 10% ===
Value: v=DMARC1; p=quarantine; rua=mailto:[email protected]; pct=10

# === FASE 3 (bulan 2+) — Reject penuh ===
Value: v=DMARC1; p=reject; rua=mailto:[email protected]; pct=100

rua = email penerima laporan harian. Cek laporan rutin sebelum naikkan policy.

Penjelasan parameter:

Parameter	Arti	Pilihan
p=	Policy untuk email yang gagal cek	none / quarantine / reject
rua=	Email penerima laporan agregat harian	mailto:[email protected]
ruf=	Email penerima laporan forensic (per email)	mailto:[email protected] (optional)
pct=	Persen email yang policy-nya di-apply	0-100 (100 = semua)
adkim=	Strict atau relax untuk DKIM alignment	s (strict) / r (relax, default)
aspf=	Strict atau relax untuk SPF alignment	s (strict) / r (relax, default)

Jangan langsung p=reject! Mulai p=none selama 2 minggu untuk monitor. Banyak organisasi punya "shadow IT" (HR pakai MailChimp, marketing pakai SendGrid) yang lupa di-include. Kalau langsung reject, email-email itu hilang tanpa warning.

Verifikasi & Monitoring Setelah Setup

Setelah setup ketiganya, lakukan verifikasi end-to-end. Jangan asumsi semua jalan tanpa test.

Test via mail-tester.com — kirim email ke alamat yang dia kasih, dapat skor 10/10 kalau setup benar.
Test ke Gmail pribadi — kirim email, buka di Gmail, klik 3-titik → "Show original". Lihat: SPF=pass, DKIM=pass, DMARC=pass.
Cek mxtoolbox.com — masukkan domain, pakai "Email Health" untuk overview semua check.
Monitor laporan DMARC — laporan harian masuk ke email rua. Awalnya JSON mentah, gunakan dmarcian.com (free tier) untuk visualisasi.
Cek IP mail server di blacklist — pakai Blacklist Check CekIPSaya. Listed = harus delisting sebelum lanjut.

Tools gratis untuk DMARC report: dmarcian.com, postmark.com/dmarc, mxtoolbox dmarc analyzer. Semua punya free tier untuk volume kecil-menengah. Wajib untuk organisasi yang serius email security.

FAQ — Pertanyaan yang Sering Ditanyakan

Apakah saya wajib pakai ketiganya — SPF + DKIM + DMARC?

Wajib kalau mau email diterima provider modern (Gmail, Outlook, Yahoo) tanpa drop ke spam. Mulai 2024 Gmail/Yahoo eksplisit wajibkan trio ini. Tanpa salah satu pun, email bulk dari domain kamu akan auto-spam.

Berapa lama DNS propagasi setelah setup?

Tergantung TTL. Default 3600 detik = 1 jam. Beberapa registrar (Niagahoster, IDwebhost) propagate dalam 5-15 menit. Cloudflare hampir instant. Maksimal 24 jam global.

Saya pakai Google Workspace, masih perlu setup manual?

Setup awal manual: kamu yang tambah TXT record SPF + CNAME DKIM + TXT DMARC di DNS domain kamu. Google generate key-nya, kamu yang publish. Setelah itu Google handle signing otomatis.

Email saya tetap masuk spam padahal SPF DKIM DMARC sudah pass. Kenapa?

Beberapa kemungkinan: (1) IP mail server kamu di blacklist DNSBL — cek di /blacklist-check/, (2) konten email mengandung trigger word spam (kata "gratis", "menang", caps berlebihan), (3) reputation domain masih baru — butuh 4-8 minggu warming up, (4) banyak link/gambar yang tidak proporsional.

Bisakah satu domain punya 2 SPF record?

Tidak. Maksimal satu SPF record per domain — kalau ada dua, RFC 7208 bilang invalid, dan semua provider akan fail SPF check. Kalau perlu include multiple provider, gabung dalam satu record: "v=spf1 include:A include:B include:C -all".

Apa beda p=quarantine vs p=reject di DMARC?

p=quarantine: email yang gagal cek masuk ke folder Spam penerima. p=reject: email langsung di-bounce, tidak sampai ke penerima sama sekali. Reject lebih ketat (lebih aman dari spoofing) tapi risiko false positive lebih tinggi. Mulai quarantine, naik reject setelah confident.

Kesimpulan

Trio SPF + DKIM + DMARC adalah standar wajib email modern. Tanpa ketiganya, 80% provider modern (Gmail, Outlook, Yahoo) akan flag email kamu spam — sebagus apapun isinya. Setup-nya sekali, jalan terus. Total waktu: ~1 jam (kalau DNS hosting cepat propagasi). Verifikasi via mxtoolbox.com atau cek di CekIPSaya Blacklist Check.