Keamanan Email: Bagaimana Kerangka Dasar Membantu Pemilik Situs WordPress
Diterbitkan: 2018-12-20Di seluruh negara dan industri, satu teknologi telah berbagi rahasia yang tak terhitung jumlahnya selama lebih dari dua dekade. Ya, terlepas dari munculnya media sosial, aplikasi perpesanan, dan alat manajemen proyek, email tetap menjadi saluran komunikasi online nomor satu secara de facto — tetapi juga menjadi sumber perhatian dalam hal keamanan.
Ketika Anda mempertimbangkan usia teknologi dan insentif bagi peretas untuk mencoba penipuan, mudah untuk melihat mengapa hal itu terus mengganggu bisnis dan individu. Ini sebenarnya lebih menjadi perhatian sekarang daripada sebelumnya, karena munculnya otentikasi multi-faktor, penyimpanan cloud, ekosistem digital, dan login sosial telah membuat banyak dari kita mengandalkan keamanan alamat email kita hanya untuk melewati hari.
Sayangnya, tidak cukup hanya memiliki kata sandi yang rumit dan tetap terlindungi, karena email dapat diserang dengan cara lain: dipalsukan, dipalsukan, dan digunakan untuk memanipulasi orang dari segala jenis. Di sinilah kerangka keamanan email menjadi sangat penting — mereka membuatnya jauh lebih mudah untuk memiliki kepercayaan pada legitimasi email Anda.
Tapi mengapa penipuan menjadi ancaman? Apa kerangka kerja ini, dan bagaimana mereka membantu pemilik situs web melanjutkan dengan aman? Bisakah Anda benar-benar mengandalkan mereka untuk melindungi Anda? Mari lihat.
Mengapa penipuan email adalah masalah yang meresahkan
Kami semakin bergerak menuju pembayaran tanpa uang tunai, perbankan online, dan kerja jarak jauh yang membutuhkan komunikasi digital yang ekstensif dan mendalam (seringkali pada topik sensitif). Semakin kita memercayai email, semakin menarik mereka bagi peretas — terlebih lagi jika email tersebut melibatkan orang yang tidak cukup tahu tentang teknologi untuk mengetahui kapan mereka ditipu.
Jika seseorang yang hanya tahu cara menggunakan email tetapi tidak tahu bahwa email spoofing bahkan mungkin mendapatkan email penipuan, mereka tidak akan ragu. Dan hasil bagi penipu bahkan lebih kaya prospeknya daripada yang bisa mereka capai melalui penipuan telepon, karena mereka dapat mengotomatiskan email penipuan mereka dan menghindari percakapan telepon yang berkepanjangan yang dapat membuka lubang dalam cerita sampul mereka.
Untuk domain yang sah, penipuan email adalah kekhawatiran besar karena membuat mereka terlihat buruk. Bahkan jika orang akhirnya mengetahui bahwa Anda tidak bertanggung jawab, mereka masih akan mengaitkan merek Anda dengan penipuan sampai batas tertentu. Jadi, jika Anda ingin domain Anda dipercaya (dan orang-orang aman dari upaya untuk mengeksploitasi mereka atas nama Anda), Anda harus mengamankan email Anda. Berikut caranya:
Memperkenalkan kerangka kerja keamanan email yang paling umum
Dua kerangka kerja email yang paling sering digunakan adalah SPF (Sender Policy Framework) dan DKIM (DomainKeys Identified Mail), dan keduanya berfungsi serupa tetapi dengan cara yang sedikit berbeda: SPF memerlukan nama host atau alamat IP yang didukung, sedangkan DKIM memerlukan yang dienkripsi dengan benar pesan tajuk. Mari kita simak penjelasan lebih lengkapnya:
Bagaimana SPF bekerja?
Saat mengaktifkan SPF di domain situs web, Anda membuat daftar nama host dan alamat IP yang dianggap sebagai sumber sah email dari domain tersebut, daftar yang ditambahkan ke data DNS untuk situs (data yang menautkan URL ke alamat IP Anda).
Setiap sistem email yang tampaknya menerima email dari alamat di domain tersebut akan mengambil alamat IP yang digunakan untuk mengirimnya dan membandingkannya dengan daftar di catatan DNS. Jika cocok, email akan dianggap sah — jika tidak cocok, sistem akan mengetahui bahwa email tersebut curang (atau entah bagaimana salah).
Cara kerja DKIM
Saat Anda mengaktifkan DKIM, dibutuhkan pendekatan berbeda dalam menggunakan enkripsi untuk verifikasi. Domain akan memiliki kunci pribadi yang dirahasiakan dan digunakan untuk mengenkripsi pesan tersembunyi di header setiap email, serta kunci dekripsi publik yang ditambahkan ke catatan DNS.
Setiap sistem email yang mengambil email yang konon berasal dari domain tersebut akan mengambil kunci publik dari catatan DNS dan mencoba mendekripsi pesan tersembunyi tersebut. Jika berhasil, ia akan tahu bahwa email tersebut dari tempat yang tepat. Jika gagal, ia akan mengetahui bahwa pengirim telah dipalsukan.
Apa yang melibatkan DMARC?
DMARC, yang merupakan singkatan dari "Otentikasi, Pelaporan, dan Kesesuaian Pesan Berbasis Domain", adalah sistem yang mencakup SPF dan DKIM sambil menyempurnakan beberapa opsi, menetapkan kebijakan, dan pelaporan sesuai kebutuhan.
Saat menyiapkan DMARC, pada dasarnya Anda akan menentukan metode mana yang disebutkan di atas yang digunakan untuk email dari domain Anda (mungkin keduanya), serta apa yang harus dilakukan saat email yang tidak memenuhi standar yang Anda pilih terdeteksi. Anda juga dapat mengatur pemberitahuan untuk memicu sehingga Anda akan tahu tentang upaya untuk meniru alamat email Anda (dengan cara yang sama bahwa Anda bisa mendapatkan pemberitahuan untuk perubahan pada situs WordPress).
Bagaimana mengambil tindakan untuk menjaga keamanan email Anda
Jika Anda ingin email Anda dapat dipercaya, dan penerima merasa aman dalam mengaksesnya, Anda harus memastikan untuk melakukan semua yang Anda bisa untuk menghindari penipuan. Setidaknya, lakukan tiga langkah berikut:
- Lindungi daftar email Anda dengan hati-hati. Bahkan jika Anda memastikan bahwa setiap email yang mengaku berasal dari domain Anda akan diperiksa, tetap berbahaya bagi penipu untuk mendapatkan daftar alamat Anda, karena banyak orang (seringkali dari generasi yang lebih tua) tidak akan benar-benar memeriksa pengirimnya dengan cermat jika isinya jelas menyerupai sesuatu yang mereka kenali. Lindungi daftar email Anda sehingga orang-orang akan memiliki lebih sedikit alasan untuk menargetkan audiens Anda (Anda tetap harus melakukan ini setelah GDPR).
- Mengonfigurasi kerangka kerja keamanan. Anda dapat menggunakan SPF, DKIM, atau DMARC — tetapi apa pun yang Anda lakukan, pastikan untuk mengikuti praktik terbaik untuk sistem apa pun yang Anda gunakan dan konfirmasikan bahwa itu berfungsi. Jika Anda menggunakan perangkat lunak otomatisasi email untuk pemasaran Anda, pastikan untuk mengaturnya sebagai sumber tepercaya sehingga email yang didistribusikannya tidak ditolak sebagai tidak sah saat dikirim.
- Peringatkan pelanggan Anda untuk berhati-hati. Setelah melakukan semua yang Anda bisa di sisi persamaan, masih layak untuk menjangkau audiens Anda (terutama jika tidak terlalu paham teknologi) untuk memperingatkan mereka tentang kemungkinan penipuan. Beri tahu mereka jenis pesan yang akan Anda kirim — dan yang tidak akan pernah Anda kirim — dan undang mereka untuk menghubungi Anda secara langsung jika mereka tidak yakin tentang pesan yang seharusnya Anda kirimkan.
Lakukan semua ini, dan Anda akan dapat melanjutkan dengan tingkat kepastian yang jauh lebih baik bahwa email Anda akan aman dan audiens Anda akan terlindung dari ancaman besar penipuan email.