SPF와 DKIM은 등록된 도메인의 이메일 유효성을 검사합니다. DMARC 정렬은 인증을 도메인에 연결하는 역할을 합니다.
DMARC 정렬을 이해하려면 작동 방식을 이해해야 합니다. DMARC를 구현하면 SPF와 DKIM의 결과를 연결하여 도메인에서 오는 모든 이메일을 인증합니다. 특정 이메일에 대해 DMARC는 보낸 사람: 헤더에 있는 도메인인 '중앙 ID'라는 것을 사용합니다. 이 도메인은 이메일의 발신 도메인으로 간주되며 조직의 도메인 이름이 포함됩니다.
도메인에서 보낸 이메일이 수신 서버에 도착하면 SPF는 반환 경로를 확인하고 DKIM은 암호화된 서명의 유효성을 검사합니다. 이 두 가지 검사는 서로 다른 두 도메인에서 두 개의 다른 도메인에서 개별적으로 수행됩니다. DMARC는 각각의 인증 결과를 가져와서 SPF 또는 DKIM에 사용된 도메인이 보낸 사람: 도메인(중앙 ID)과 일치하는지 확인합니다. 둘 중 하나라도 맞으면 DMARC 정렬이 완료됩니다.
하지만 한 가지 작은 문제가 있습니다. 범죄자를 포함하여 누구나 도메인을 구입하여 SPF 및 DKIM을 구현할 수 있습니다. 따라서 이론적으로 누군가 조직의 도메인을 보낸 사람 주소(중앙 ID)로 이메일을 보내고 자신의 도메인의 반환 경로를 사용하여 SPF 인증을 통과하는 것이 가능해야 합니다. 사용자는 일반적으로 보낸 사람: 주소만 보고 받는 사람: 주소는 보지 않으므로 두 주소가 일치하지 않는다는 사실조차 알지 못합니다.
바로 이 부분에서 DMARC 정렬이 시작됩니다. 이메일의 유효성을 검사할 때 DMARC는 3개의 식별자를 확인합니다:
SPF 또는 DKIM의 식별자가 정렬되면 이메일이 DMARC 정렬을 달성하고 DMARC 인증을 통과하여 사용자의 받은 편지함으로 안전하게 전달됩니다.
특히 SPF와 DKIM 정렬에는 두 가지 종류가 있습니다:
엄격한 정렬을 사용 하려면 From: 헤더와 Return Path/"d=" DKIM 필드의 도메인이 모두 100% 일치해야 합니다.
보다 완화된 정렬은 요구 사항이 좀 더 완화되었습니다. 하위 도메인도 동일한 조직 도메인(보낸 사람: 도메인) 아래에 있는 한 허용됩니다.
DMARC 정렬은 특히 발신: 및 반환 경로 도메인이 일치하도록 하여 공격자가 각각 다른 도메인을 사용하려고 시도하지 못하도록 함으로써 SPF의 한계를 해결합니다.
또한 보낸 사람: 헤더가 DKIM 서명에 제공된 도메인과 일치하도록 요구함으로써 DKIM을 악용할 수 있는 허점을 해결하여 추가 헤더 필드를 사용하여 이메일을 전달할 가능성을 제거합니다.
