SPF, DKIM, DMARC란 무엇인가요?
SPF, DKIM, DMARC는 세 가지 주요 이메일 인증 프로토콜입니다. SPF, DMARC 및 DKIM을 함께 사용하면 권한이 없는 출처에서 도메인을 사용하여 잠재 고객, 고객, 직원, 타사 공급업체, 이해관계자 등에게 사기성 이메일을 보내는 것을 방지할 수 있습니다. SPF와 DKIM은 이메일의 합법성을 입증하는 데 도움을 주며, DMARC는 인증 검사에 실패한 이메일에 대해 수신자의 이메일 서버에 처리 방법을 알려줍니다.
- 발신자 정책 프레임워크(SPF): 발신자의 IP 주소를 확인하여 도메인을 대신하여 이메일을 보낼 수 있는 권한이 있는지 확인합니다.
- 도메인키 식별 메일(DKIM): 이메일에 디지털 서명을 추가하여 발신자의 신원을 확인하고 메시지 변조를 방지합니다.
- 도메인 기반 메시지 인증, 보고 및 적합성(DMARC): SPF 및 DKIM 검사를 시행하고 이메일 인증 결과에 대한 보고서를 생성하기 위한 정책 프레임워크를 제공합니다.
이메일 인증 이해
이메일 인증 은 이메일 소스의 적법성을 확인하는 프로세스입니다. 이는 합법적인 발신자만 도메인을 대신하여 이메일을 보낼 수 있도록 하기 위해 조직에서 취하는 필수적인 보안 조치입니다. SPF, DKIM 및 DMARC는 발신 출처와 이메일 콘텐츠를 확인하고 인증에 실패한 메시지에 대한 대응 방법을 정의함으로써 이메일 인증의 기둥을 형성합니다.
Verizon의 DBIR 보고서에 따르면 전체 사이버 공격의 94%가 이메일에서 시작된다고 합니다! 이는 스푸핑의 위협이 점점 더 커지고 있으며, 스푸핑의 다량 공격 특성을 더욱 강조합니다.
이메일 인증이 중요한 이유
이메일 인증은 이메일 스푸핑에 대한 첫 번째 방어선입니다. 이메일 스푸핑은 악의적인 의도를 가지고 도메인 이름과 이메일 주소를 위조하는 행위입니다. 스푸핑된 이메일은 공격자가 합법적인 기업을 사칭하여 의심하지 않는 피해자를 속이기 위해 발송합니다. 인증은 발신 출처의 합법성을 확인하여 위조된 이메일이 전송되는 것을 방지합니다. 이메일 인증 프로토콜을 구현한 후 자체 도메인에서 스푸핑 시도가 90% 이상 감소했다고 고객들이 보고했습니다.
SPF, DKIM, DMARC의 역할
이메일 인증은 피싱 및 사칭 기법을 사용하는 이메일 기반 사이버 공격으로부터 브랜드를 보호하는 데 중요합니다. 이메일 인증은 주로 SPF, DKIM 및 DMARC 프로토콜을 사용하며, 보안을 더욱 강화할 수 있는 MTA-STS, BIMI 및 ARC와 같은 추가 프로토콜도 사용할 수 있습니다! 이러한 프로토콜을 구현해야 하는 이유는 다음과 같습니다:
- 도메인 네임의 위조 및 오용을 방지할 수 있습니다.
- 비즈니스 명의로 계획되고 시도되는 피싱, 스팸, 랜섬웨어 공격 등을 방지하는 데 도움이 됩니다.
- 도메인의 이메일 전달률을 향상시킵니다. 이메일 전달률이 낮으면 내부 커뮤니케이션, 마케팅 및 PR 캠페인에 영향을 미칩니다, 고객 유지율등에 영향을 미칩니다.
PowerDMARC로 이메일 인증을 간소화하세요!
SPF, DKIM 및 DMARC 확인은 어디에서 할 수 있나요?
레코드가 도메인 네임 시스템 또는 DNS에 저장되어 있는지 확인하여 SPF, DKIM 및 DMARC를 확인할 수 있습니다. DNS는 도메인 네임을 해당 IP 주소로 변환하는 인터넷의 전화번호부라고도 불립니다. DNS는 도메인 정보를 DNS 레코드 형태로 저장하는 데이터베이스로 사용됩니다.
SPF, DKIM 및 DMARC 확인은 DNS에 게시하고 저장할 수 있는 기존 DNS 레코드를 검토하는 데 사용됩니다. 이메일 인증 검사 중에 수신 MTA는 DNS를 쿼리하여 이러한 레코드를 조회하고 레코드에 정의된 지침이나 정보에 따라 조치를 취합니다. PowerDMARC의 무료 SPF 레코드 검사기, DKIM 레코드 검사기, DMARC 레코드 검사기를 사용하여 DNS에 이러한 레코드가 포함되어 있는지 즉시 확인할 수 있습니다!
SPF, DKIM 및 DMARC는 어떻게 설정하나요?
다음 지침에 따라 도메인과 이메일을 보호하기 위해 SPF, DKIM 및 DMARC를 설정하세요.
- SPF DNS 레코드를 만듭니다.
- DKIM 공개 키를 생성합니다.
- 생성하기 DMARC 정책 만들기 DMARC 보고 기록 및 활성화
- DMARC 보고서를 받을 전용 사서함을 설정하거나 DMARC 보고서 분석기 플랫폼을 사용하세요.
- DNS에 SPF, DKIM 및 DMARC 레코드를 게시합니다.
SPF: 이메일 발신자 확인
발신자 정책 프레임워크 또는 SPF는 도메인 소유자가 자신의 도메인을 사용하여 이메일을 보낼 수 있는 모든 서버를 등록하는 이메일 인증 프로토콜입니다. 이는 TXT SPF 레코드 를 생성하면 됩니다. 보내는 IP가 목록에 없으면 인증에 실패하고 이메일이 스팸 또는 의심스러운 것으로 표시될 수 있습니다. 그러나 SPF에는 몇 가지 제한 사항이 있으며, 메시지가 전달되거나 DNS 조회 제한 10개를 초과하면 중단됩니다.
이미 SPF 레코드가 있는 경우 다음을 사용할 수 있습니다. SPF 레코드 검사기 를 사용하여 오류가 없는지 확인할 수 있습니다.
SPF 설정
- 모든 이메일 전송 소스(타사 공급업체 포함)를 식별합니다.
- 무료 SPF 생성기 도구를 사용하여 SPF 레코드를 만듭니다. 이 레코드는 모든 발신 소스를 인증해야 합니다.
- 레코드 구문을 복사합니다.
- DNS 관리 콘솔에 로그인합니다.
- .txt 리소스 유형 아래의 DNS 레코드 섹션에 레코드를 붙여넣습니다.
변경 사항이 적용될 때까지 몇 시간 정도 기다리세요. 변경이 완료되면 SPF 레코드 조회 도구 을 사용하여 오류 없는 레코드를 확인할 수 있습니다.
SPF와 관련된 일반적인 문제
SPF, DKIM 및 DMARC의 문제점을 알아볼 때 도메인 소유자가 특히 SPF 구현 시 직면하는 몇 가지 일반적인 문제가 있다는 점에 주목할 필요가 있습니다. 다음과 같습니다:
- DNS 조회 제한인 10을 초과하면 SPF가 중단됩니다.
- 무효 조회 제한인 2를 초과하면 SPF가 깨질 수 있습니다.
- SPF 레코드에는 255자 길이 제한이 있습니다.
- 전달된 메시지에 대한 SPF 실패
이러한 오류를 해결하려면 다음을 사용하여 SPF 레코드를 최적화해야 합니다. 매크로 를 사용하여 SPF 레코드를 최적화해야 합니다. 또한 SPF를 DKIM 및 DMARC와 결합하면 보다 원활한 인증 및 전달이 가능합니다.
DKIM: 이메일 콘텐츠 보호
도메인키 식별 메일 또는 DKIM을 사용하면 도메인 소유자가 자신의 도메인에서 보낸 이메일에 자동으로 서명할 수 있습니다. DKIM은 은행 수표의 진위 여부를 확인하기 위해 서명하는 것과 유사한 방식으로 작동합니다. DKIM 서명은 이메일 콘텐츠가 전송 과정에서 변경되지 않고 안전하게 유지되도록 보장합니다.
이 절차는 DKIM DNS 레코드에 공개 키를 저장하는 방식으로 진행됩니다. 수신 메일 서버는 이 레코드에 액세스하여 공개 키를 가져올 수 있습니다. 반면에 발신자가 비밀리에 저장한 개인 키는 이메일 헤더에 서명합니다. 수신 메일 서버는 쉽게 액세스할 수 있는 공개 키와 비교하여 발신자의 개인 키를 확인합니다.
DKIM 설정
- PowerDMARC의 무료 DKIM 레코드 생성기를 사용하여 DKIM 레코드를 생성하여 쉽게 DKIM을 설정할 수 있습니다. DKIM 레코드 생성기.
- 도구 상자에 도메인 이름을 입력하고 DKIM 레코드 생성 버튼을 클릭합니다.
- 비공개 및 공개 DKIM 키 한 쌍을 받게 됩니다.
- 도메인의 DNS에 공개 키를 게시합니다.
- 모든 발신 이메일의 헤더에 서명할 때 DKIM 개인 키를 사용하도록 메일 서버를 구성합니다. 이 서명 프로세스는 각 이메일에 DKIM 서명을 추가하며, 수신자의 메일 서버는 DNS에 게시된 해당 DKIM 공개 키를 사용하여 이를 확인합니다. 개인 키를 안전하게 보관하고 공개적으로 게시하거나 공개하지 않도록 하세요.
마지막으로 다음을 사용하여 DKIM 공개 키를 확인합니다. DKIM 조회 도구를 사용하여 올바른지 확인합니다.
DKIM의 이점
SPF, DKIM 및 DMARC 인증을 추가할 때 특히 DKIM은 이메일 인증에서 다음과 같은 몇 가지 이점이 있습니다:
- DKIM은 대부분의 경우 전달된 메시지를 올바르게 인증합니다.
- DKIM은 사이버 공격자가 이메일 콘텐츠를 변경하는 것을 방지합니다.
- DKIM을 사용하면 각 도메인이 자체 공개-개인 키 쌍을 독립적으로 관리할 수 있으므로 조직은 이메일 보안을 더욱 세밀하게 제어할 수 있습니다.
DMARC: 이메일 피싱 및 스푸핑 방지
도메인 기반 메시지 인증, 보고 및 적합성 또는 DMARC 은 수신자의 서버에 SPF, DKIM 또는 둘 다에 실패한 이메일에 대해 수행할 작업을 지시합니다. 수신자가 취하는 조치는 발신자가 구성한 DMARC 정책(없음, 격리 또는 거부)에 따라 달라집니다.
DMARC 정책은 DMARC 레코드 여기에는 유효성 검사에 통과하거나 실패한 모든 이메일에 대한 보고서를 도메인 관리자에게 보내는 지침도 저장됩니다. 이미 구현한 경우 DMARC 정책을 이미 구현한 경우에는 무료 DMARC 레코드 조회 도구 을 사용하여 올바른지 확인하세요.
DMARC 설정
- 무료 DMARC 생성기를 사용하여 DMARC 레코드를 만들 수 있습니다. DMARC 생성기.
- DMARC 정책(예: p=검역)을 선택하고 'rua' 태그에 이메일 주소(예: rua=mailto:[email protected])를 정의하여 DMARC 보고를 사용 설정합니다.
- 를 클릭합니다. 생성을 클릭합니다.
- TXT 레코드를 클립보드에 복사하여 DNS에 붙여넣어 프로토콜을 활성화합니다.
DMARC 구현을 확인하려면 DMARC 검사기 를 사용하여 구성을 확인합니다.
DMARC 시행 정책 및 조치
도메인 소유자가 인증되지 않은 이메일에 대해 조치를 취하도록 구성할 수 있는 DMARC 정책에는 3가지 유형이 있습니다. 다음과 같습니다:
- 없음: 없음: p=none으로 표시되는 없음 정책은 인증되지 않은 메시지에 대해 아무런 조치를 취하지 않고 메시지를 전달하는 무조치 정책입니다. 초보자에게 가장 적합합니다.
- 검역: p=검역으로 표시되는 검역 정책은 인증되지 않은 이메일을 검역하는 강제 DMARC 정책입니다.
- 거부: p=거부로 표시되는 거부 정책은 인증되지 않은 메시지를 거부하는 DMARC의 최대 시행 정책입니다.
귀하의 DMARC 정책 조치는 이메일 기반 위협을 방지하는 데 중요한 역할을 합니다. 정책을 적용하면 도메인 소유자는 스푸핑 및 피싱 공격으로부터 더 효과적으로 보호받을 수 있습니다.
고급 이메일 인증 기술
이메일 인증은 SPF, DKIM 및 DMARC에서 끝나지 않습니다. 도메인 및 이메일 보안을 더욱 강화하기 위해 고급 인증 기술을 구현할 수 있습니다. 그 중 몇 가지를 살펴보겠습니다:
MTA-STS, BIMI 및 ARC
인증용 MTA-STS 프로토콜은 이메일 메시지가 받은 편지함으로 TLS 암호화되어 전달되도록 합니다. 이 프로토콜은 통신하는 이메일 서버 간에 암호화된 SMTP 연결을 협상하여 중간자 공격 및 DNS 스푸핑 공격을 방지합니다.
BIMI는 메시지 식별을 위한 브랜드 지표로, 기업이 브랜드 로고를 이메일에 첨부할 수 있도록 도와줍니다. 이는 시각적 확인 및 인증 역할을 하여 브랜드 회상력과 신뢰도를 향상시킵니다.
ARC(인증된 수신 체인)는 이메일 전달 중에 원본 SPF 및 DKIM 인증 헤더를 보존하여 폴백 메커니즘을 생성합니다. 이렇게 하면 전달된 메시지에 대한 불필요한 인증 실패를 방지할 수 있습니다.
이러한 기술을 언제 구현해야 할까요?
설정에 자신감이 생기면 DMARC 설정에 자신감이 생기면 이메일 인증 여정의 2단계에서 이러한 기술을 구현할 수 있습니다.
이러한 고급 설정은 브랜드 신뢰도를 높이고 이메일 평판을 더욱 향상시키고자 하는 모든 조직에 이상적입니다. 기본 인증 설정에 추가 보안을 제공하므로 정교한 사이버 공격에 더 효과적으로 대응할 수 있습니다.
이메일 인증 설정 구현 및 유지 관리하기
SPF, DKIM 및 DMARC 프로토콜을 구현했다면 이제 모든 것이 제대로 작동하는지 모니터링하고 유지 관리해야 할 때입니다. 다음은 인증 설정을 유지 관리하는 몇 가지 방법입니다:
모니터링 도구 사용
DMARC 모니터링 도구는 단일 인터페이스에서 이메일 인증 구현을 즉각적이고 간편하게 모니터링할 수 있는 클라우드 기반 AI 기반 플랫폼입니다.
DMARC 보고서 분석
DMARC 보고서를 분석하면 이메일 인증 결과와 도메인의 발신 출처에 대한 풍부한 정보를 얻을 수 있습니다. 이를 통해 불일치를 감지하고 스푸핑 시도를 방지할 수 있습니다.
정기 업데이트 및 유지 관리
SPF, DKIM, DMARC 및 고급 인증 기술을 정기적으로 확인하여 제대로 작동하는지 확인하는 것이 중요합니다. SPF는 새로운 발신 소스를 포함하도록 주기적으로 업데이트해야 할 수 있으며, 보안을 강화하기 위해 DKIM 키를 자주 교체해야 하고, 사이버 공격을 방지하기 위해 DMARC 정책을 적용해야 합니다. 업데이트 또는 적절한 유지 관리가 없으면 구현이 비효율적으로 작동할 수 있습니다.
마무리
도메인에 이러한 보안 프로토콜을 설정한 후에는 의심스러운 활동을 발견하기 위해 보고서를 모니터링해야 합니다. 이러한 프로토콜을 올바르게 구성하고 관리하면 도메인 보안과 전달성을 크게 향상시킬 수 있습니다.
이러한 인증 프로토콜을 함께 사용하면 피싱의 위험을 줄일 수 있지만 모든 이메일 기반 사이버 범죄로부터 보호할 수 있는 것은 아니라는 점을 기억하세요. 따라서 직원 교육 및 인식 제고와 함께 후속 조치를 취하는 것이 중요합니다.
SPF, DKIM 및 DMARC에 대한 일반적인 질문
SPF와 DKIM 없이 DMARC를 만들 수 있나요?
정답은 '아니요'입니다. DMARC를 설정하려면 먼저 SPF 또는 DKIM을 구현해야 합니다. SPF 또는 DKIM이 없으면 DMARC 구성이 작동하지 않습니다.
DMARC에는 SPF와 DKIM이 모두 필요하나요?
DMARC에는 SPF와 DKIM이 모두 필요하지 않습니다. 두 프로토콜 중 하나를 설정한 후 DMARC를 설정할 수 있습니다. 하지만 보안 강화를 위해 두 가지 프로토콜을 모두 구현하는 것이 좋습니다.
Gmail은 SPF 또는 DKIM을 사용하나요?
예. Gmail의 업데이트된 발신자 가이드라인에 따라 모든 발신자는 SPF 또는 DKIM을 구현해야만 Gmail 받은 편지함으로 이메일을 성공적으로 보낼 수 있습니다.
도메인에 2개의 DKIM 레코드를 가질 수 있나요?
도메인에는 서로 다른 선택기가 있는 2개 이상의 DKIM 레코드가 있을 수 있으므로 수신 서버가 인증 중에 올바른 DKIM 레코드를 쉽게 찾을 수 있습니다.
프로토콜이 활성화되어 있는지 어떻게 알 수 있나요?
도메인에 인증 프로토콜이 사용 설정되어 있는지 확인하려면 Powertoolbox의 DNS 레코드 검사 도구를 사용하거나 이메일 헤더를 분석하면 됩니다.
- 강화된 피싱 공격에서 구실 사기의 부상 - 2025년 1월 15일
- 2025년부터 결제 카드 업계에 DMARC가 의무화됩니다. - 2025년 1월 12일
- NCSC 메일 검사 변경 사항 및 영국 공공 부문 이메일 보안에 미치는 영향 - 2025년 1월 11일