Dipublikasikan 8 Juli 2026
Autentikasi email telah menjadi fondasi keamanan internet selama dua dekade terakhir, dan baru-baru ini fondasi tersebut mengalami evolusi terbesar dalam sejarahnya. Dua protokol baru, DKIM2 dan DMARCbis, telah resmi tiba. DKIM2 saat ini berada di draft-04 dan menawarkan rantai verifikasi tanda tangan yang mengikuti pesan dari pengirim hingga penerima akhir. Sementara itu, DMARCbis telah dipublikasikan pada Mei 2026 sebagai RFC 9989, RFC 9990, dan RFC 9991, menggantikan spesifikasi lama yang mulai menunjukkan kelemahan di lapangan. Menurut pengumuman dari tim Stalwart, server mail mereka menjadi yang pertama di dunia yang mengimplementasikan kedua protokol ini secara penuh.
DKIM (DomainKeys Identified Mail, RFC 6376) memiliki tugas yang tampak sederhana: memungkinkan sebuah domain bertanggung jawab atas pesan yang dikirim. Server pengirim melakukan hash pada header dan body pesan, menandatanganinya dengan private key, lalu menyisipkan hasilnya ke dalam header email. Penerima kemudian memverifikasi tanda tangan tersebut menggunakan public key yang dipublikasikan melalui DNS.
Masalahnya, tanda tangan DKIM versi lama bersifat statis dan rapuh. Ketika pesan diteruskan oleh mailing list atau layanan forwarding, struktur header sering berubah dan tanda tangan menjadi tidak valid. Forwarding yang sah tiba-tiba terlihat seperti pesan yang telah dirusak. Lebih buruk lagi, replay attack memungkinkan penyerang mengambil pesan yang sah dan mengirimkannya kembali dengan tujuan berbeda, sementara tanda tangan DKIM masih terlihat valid. Bounce message juga tidak bisa diverifikasi dengan DKIM lama karena tidak ada mekanisme rantai kepercayaan yang kuat.
DMARC versi pertama (RFC 7489) memang membantu dengan memberikan kebijakan kepada domain owner tentang bagaimana penerima harus menangani pesan yang gagal verifikasi SPF atau DKIM. Namun, implementasinya bergantung pada Public Suffix List yang statis dan rentan terhadap kesalahan konfigurasi. Banyak tag DMARC yang jarang digunakan atau tidak pernah bekerja sesuai harapan, menimbulkan kebingungan di kalangan administrator sistem.
DKIM2 memperlakukan tanda tangan sebagai satu tautan dalam rantai kepercayaan yang bisa diverifikasi. Alih-alih tanda tangan tunggal yang terisolasi, DKIM2 memungkinkan pesan membangun catatan kepemilikan yang terus berlanjut dari penulis asli hingga penerima akhir. Forwarding yang sah tidak lagi merusak tanda tangan karena setiap hop dalam rantai bisa menambahkan verifikasi baru tanpa menghapus yang lama.
Salah satu peningkatan paling signifikan adalah perlindungan terhadap replay attack. Pesan yang dikirim ulang oleh pihak yang tidak berwenang tidak akan lolos verifikasi karena rantai kepercayaan tidak akan cocok dengan konteks pengiriman yang baru. Bounce message juga kini bisa diverifikasi secara kriptografis, mengurangkan kemungkinan serangan backscatter yang membanjiri server dengan pesan palsu.
Dari perspektif teknis, DKIM2 tetap kompatibel dengan deployment yang ada. Domain yang belum mengadopsi DKIM2 masih bisa berinteraksi dengan domain yang sudah mengupgrade, meskipun tentu saja tanpa manfaat protokol baru. Hal ini memudahkan transisi bertahap yang sangat penting untuk infrastruktur email global yang tidak bisa diupgrade secara serentak.
DMARCbis membawa tiga RFC baru yang secara kolektif menggantikan spesifikasi lama. RFC 9989 mendefinisikan core protocol, RFC 9990 menangani reporting mechanism, dan RFC 9991 mengatur DNS tree walk yang menggantikan Public Suffix List statis.
Penggantian Public Suffix List dengan DNS tree walk adalah perubahan arsitektural yang paling menonjol. Sebelumnya, penerima email harus mengandalkan daftar suffix publik yang diupdate secara manual dan sering ketinggalan zaman. DMARCbis memungkinkan penerima untuk melakukan traversal DNS secara dinamis, menemukan kebijakan DMARC yang berlaku untuk subdomain dan domain induk secara otomatis. Ini mengurangi overhead administrasi dan meminimalkan false positive yang disebabkan oleh daftar suffix yang tidak lengkap.
DMARCbis juga menghentikan penggunaan tag yang tidak pernah berfungsi dengan baik di lapangan. Spesifikasi baru lebih fokus pada apa yang benar-benar bisa diimplementasikan oleh mail server modern, menghilangkan ambiguitas yang sering dimanfaatkan oleh penyerang untuk menyelinap melewati kebijakan keamanan.
Bagi developer yang membangun aplikasi berbasis email dan sysadmin yang mengelola infrastruktur mail server, kedatangan DKIM2 dan DMARCbis membawa tanggung jawab baru. Pertama, pastikan library DNS dan kriptografi yang kamu gunakan sudah mendukung record type dan parameter baru yang diperkenalkan oleh spesifikasi ini. Kedua, perbarui konfigurasi DMARC domain-mu untuk memanfaatkan DNS tree walk, terutama jika kamu mengelola banyak subdomain.
Stalwart v0.16.12 telah menjadi server mail pertama yang mengimplementasikan kedua protokol secara penuh. Tim mereka juga menyediakan mail-auth playground yang memungkinkan siapa saja untuk menandatangani dan memverifikasi pesan DKIM2 langsung dari browser tanpa perlu instalasi. Ini adalah cara yang sangat baik untuk bereksperimen dengan protokol baru sebelum menerapkannya di production environment.
Perubahan ini juga berarti phisher dan spammer harus beradaptasi. Kombinasi DKIM2 dan DMARCbis membuat spoofing domain menjadi jauh lebih sulit karena rantai verifikasi yang kuat dan kebijakan DMARC yang lebih presisi. Bagi pengguna akhir, manfaatnya terasa secara tidak langsung: lebih sedikit email palsu yang menyamar sebagai bank, layanan e-commerce, atau institusi pemerintah.
DKIM2 dan DMARCbis bukan sekadar iterasi kecil pada standar yang ada. Mereka adalah fondasi baru untuk keamanan email di dekade mendatang. Dengan rantai kepercayaan yang bisa diverifikasi, perlindungan terhadap replay attack, dan penggantian Public Suffix List dengan DNS tree walk, kedua protokol ini mengatasi kelemahan fundamental yang telah lama dikeluhkan oleh komunitas keamanan email. Bagi developer Indonesia yang mengelola sistem dengan fitur email, sekarang adalah waktu yang tepat untuk mulai membaca spesifikasi dan menyiapkan migration path.
Dapatkan feedback, users, dan eksposur dari komunitas kreator, developer, dan entrepreneur digital Indonesia.
Submit Produk → Pelajari Dulu