IG2 IG3

Terapkan DMARC

Kelompok Kontrol: 9. Perlindungan Email dan Peramban Web

Jenis Aset: Jaringan

Fungsi Keamanan: Lindungi

Deskripsi

Untuk menurunkan kemungkinan email palsu atau dimodifikasi dari domain yang valid, terapkan kebijakan dan verifikasi DMARC, dimulai dengan menerapkan standar Sender Policy Framework (SPF) dan DomainKeys Identified Mail (DKIM).

Daftar Periksa Implementasi

1

Susun dokumen kebijakan/prosedur

2

Dapatkan peninjauan dan persetujuan pemangku kepentingan

3

Komunikasikan kepada personel yang terkena dampak

4

Jadwalkan peninjauan dan pembaruan secara berkala

5

Konfigurasikan autentikasi email (SPF, DKIM, DMARC)

6

Terapkan gerbang keamanan email dengan penyaringan

7

Konfigurasikan pemindaian lampiran dan URL

Rekomendasi Alat

Microsoft Defender for Office 365 Gartner MQ Leader, Email Security 2024

Platform keamanan email dengan anti-phishing, lampiran aman, tautan aman, dan investigasi/respons otomatis

Microsoft · Langganan per pengguna (P1/P2)

Proofpoint Email Protection Gartner MQ Leader, Email Security 2024

Keamanan email tingkat lanjut dengan perlindungan serangan tertarget, pertahanan BEC, deteksi penyamaran, dan pertahanan URL

Proofpoint · Langganan per pengguna

Mimecast Email Security Gartner MQ Leader, Email Security 2024

Keamanan email cloud dengan perlindungan ancaman, kontinuitas, pengarsipan, dan integrasi pelatihan kesadaran keamanan

Mimecast · Langganan per pengguna

Ancaman & Kerentanan (CIS RAM)

Skenario Ancaman

Kompromi Email Bisnis melalui Pemalsuan Domain

Integrity

Penyerang mengirim email yang tampak berasal dari domain organisasi kepada karyawan, mitra, dan pelanggan, menyamar sebagai eksekutif untuk mengotorisasi transfer kawat palsu atau pengungkapan data karena tidak ada kebijakan DMARC yang menolak pesan palsu.

Kampanye Phishing Menggunakan Peniruan Domain yang Tepat

Confidentiality

Aktor ancaman membuat email phishing yang meyakinkan menggunakan domain tepat organisasi di header From, melewati kecurigaan pengguna karena email tampak berasal dari sumber internal tepercaya, dimungkinkan oleh ketiadaan penegakan SPF/DKIM/DMARC.

Kerusakan Reputasi Merek dari Kampanye Email Palsu

Integrity

Penyerang menggunakan domain organisasi untuk mengirim spam atau malware ke pihak eksternal, merusak reputasi merek dan berpotensi menyebabkan domain masuk daftar blokir oleh penyedia email karena DMARC tidak dikonfigurasi untuk mencegah penggunaan yang tidak sah.

Kerentanan (Saat Pengamanan Tidak Ada)

Tidak Ada Kebijakan DMARC yang Dipublikasikan atau Diatur ke Monitor-Only

Organisasi tidak memiliki catatan DNS DMARC, atau diatur ke p=none (hanya monitor), memungkinkan email palsu yang menggunakan domain organisasi dikirimkan ke penerima tanpa penegakan atau penolakan.

Konfigurasi SPF dan DKIM yang Hilang atau Tidak Lengkap

Catatan SPF hilang, terlalu permisif (menggunakan +all), atau tidak mencakup semua sumber pengiriman yang sah, dan penandatanganan DKIM tidak dikonfigurasi untuk semua aliran email keluar, melemahkan fondasi yang diperlukan untuk penegakan DMARC yang efektif.

Persyaratan Bukti

Jenis	Item Bukti	Frekuensi Pengumpulan
Teknis	Konfigurasi keamanan email (catatan SPF, DKIM, DMARC)	Diverifikasi setiap kuartal
Dokumen	Dokumen kebijakan yang mengatur (terkini, disetujui, dikomunikasikan)	Ditinjau setiap tahun

Templat Kebijakan Terkait

Kebijakan Keamanan Email

Control 9

Kebijakan Keamanan Browser Web

Control 9

Pengamanan Terkait di Kontrol 9

9.1 Pastikan Penggunaan Hanya Browser dan Klien Email yang Sepenuhnya Didukung

9.2 Gunakan Layanan Penyaringan DNS

9.3 Pelihara dan Terapkan Filter URL Berbasis Jaringan

9.4 Batasi Ekstensi Browser dan Klien Email yang Tidak Diperlukan atau Tidak Diotorisasi

9.6 Blokir Jenis File yang Tidak Diperlukan

9.7 Terapkan dan Pelihara Perlindungan Anti-Malware Server Email