DMARC FO 태그 설명: DMARC 장애 보고 옵션

블로그

DMARC FO 태그가 실패 보고를 수신하여 이메일 보안을 강화하는 방법을 알아보세요. 설정과 효과적인 이메일 인증을 위해 사용하는 방법을 알아보세요.

by 아호나 루드라

읽기 시간: 6
DMARC FO 태그 설명: DMARC 장애 보고 옵션
목차-

DMARC fo 태그는 DMARC 프로토콜 내에서 장애 보고 옵션을 결정합니다. 선택 사항이지만 DMARC 인증의 중요한 구성 요소로, 어떻게 실패 보고서(RUF) 생성 방법을 정의하는 중요한 구성 요소입니다.

이메일 인증을 활용하는 것은 이메일 커뮤니케이션의 보안을 강화하는 쉽고 유용한 방법입니다. DMARC (도메인 기반 메시지 인증, 보고 및 준수)는 이메일 인증 프로세스의 여러 이메일 인증 프로토콜 중 하나입니다. 도메인 소유자가 인증 절차를 지정하고 무단 액세스 및 사용으로부터 도메인을 보호하는 데 도움이 됩니다.

주요 내용

  • 실패 보고 옵션 지정하기: 'fo' 태그는 보고해야 하는 인증 및 정렬 문제의 유형을 정의하는 데 도움이 되는 선택적 태그입니다.
  • 다양한 실패 유형 지원: fo=0, fo=1, fo=d, fo=s의 네 가지 유형의 DMARC 장애 보고서를 지원합니다.
  • 다양한 보고 옵션의 조합 가능성: 보다 개인화되고 타겟팅된 경험을 위해 여러 가지 보고 옵션을 결합할 수 있습니다.
  • 모범 사례: 사이버 위협을 효과적으로 예방하기 위해서는 장애 보고서를 지속적으로 모니터링하고 검토하는 것이 중요합니다.

DMARC FO 태그란 무엇인가요?

DMARC의 "fo" 태그는 실패 옵션을 나타냅니다. 이 태그는 보고해야 하는 인증 및 정렬 문제의 유형을 결정하는 데 도움이 되는 선택적 태그입니다. 이를 통해 도메인 소유자는 보고 프로세스를 필터링하여 고유한 비즈니스 수요 및 요구 사항에 맞게 조정할 수 있습니다.

DMARC 장애 보고서가 고객을 지원하는 방법 

DMARC 보고서의 콘텐츠와 실행 가능한 인사이트를 통해 도움을 받을 수 있습니다:

DMARC 장애 보고서의 내용

DMARC 실패 보고서에는 인증 검사에 실패한 메시지에 대한 중요한 정보가 포함되어 있습니다. 더 구체적으로 살펴보면 다음과 같습니다:

  • 발신자의 IP 주소
  • 보내는 도메인
  • 메시지 시간
  • 인증 실패의 원인(들)
  • SPFDKIM 정렬 결과

중요한 이유 

이 보고서가 도움이 될 것입니다:

  • 인증에 실패하는 합법적인 발신자 찾기 
  • 악의적인 활동 시도 감지(예 스푸핑 및 피싱 공격) 탐지
  • SPF 또는 DKIM 설정에서 실수 및 잘못된 구성 찾기 
  • DMARC 구현 전략이 얼마나 효과적인지 모니터링하고 시간 경과에 따른 효과의 변화를 추적하세요.

DMARC FO 태그 옵션과 그 의미

"fo" DMARC 태그 는 네 가지 옵션(즉, 네 가지 특정 유형의 장애 보고서)을 지원합니다:

  • fo=0 (기본 옵션)

이 옵션을 사용하는 경우, DMARC 실패 보고서는 SPF와 DKIM(즉, 모든 기본 인증 메커니즘)이 모두 "통과" 결과를 생성하지 않는 경우에만 생성됩니다. 즉, fo=0은 가장 심각한 인증 실패에 대해서만 보고서를 생성합니다. 

  • fo=1(권장 옵션)

이 옵션은 SPF 또는 DKIM(즉, 기본 인증 메커니즘 중 하나)이 일치하는 "합격" 결과를 제공하지 않는 경우 DMARC 실패 보고서를 생성하도록 지시합니다. 이 옵션은 보다 포괄적인 보고 체계를 제공하므로 권장되는 옵션입니다.

  • fo=d (DKIM 전용 옵션)

이 fo=d 옵션을 사용하면 특히 다음과 같은 메시지에 대해 실패 보고서 생성을 트리거합니다. DKIM 서명 평가가 실패한 메시지에 대해서만 실패 보고서를 생성합니다. 이 옵션은 DKIM 관련 문제에 특별히 집중하려는 도메인 소유자에게 특히 유용합니다.

  • fo=s (SPF 특정 옵션)

이 설정은 정렬 상태와 관계없이 SPF 평가를 통과하지 못한 메시지에 대해서만 실패 보고서를 생성하도록 트리거합니다. 이 옵션은 SPF 관련 문제에 특히 주의를 기울이고자 하는 도메인 소유자에게 권장되는 옵션입니다.

여러 포렌식 보고 옵션 결합

"fo" 태그의 가장 큰 장점은 여러 보고 옵션을 결합할 수 있다는 점입니다. 이를 통해 도메인 소유자는 자신의 필요에 가장 적합한 맞춤형 보고 전략을 만들 수 있습니다. 여러 유형의 보고서를 지정하려면 콜론(:)을 사용하여 "fo" 태그의 각 옵션을 구분하면 됩니다.

예를 들어 옵션 0, 1, s에 대한 보고서를 받으려면 다음과 같이 DMARC 레코드에 "fo" 태그를 추가하면 됩니다:

FO=0:1:S

이 구성은 다음에 대한 보고서를 생성합니다:

  • 인증 완료 실패 (0)
  • 모든 인증 메커니즘 실패(1)
  • SPF 관련 장애(들)

각 장애 보고 설정을 사용해야 하는 시기: 예제 및 모범 사례

DMARC 장애 보고를 구현할 때는 다음 모범 사례를 고려하세요:

  • 기본값인 'fo=0'으로 시작하여 시스템에 보고서가 즉시 과부하되지 않도록 하세요.
  • 점차적으로 "fo=1"로 이동하여 보다 포괄적인 인사이트를 얻으세요. 
  • DKIM 문제에 집중해야 하는 경우 "fo=d"를, SPF 문제에 대한 자세한 정보가 필요한 경우 "fo=s"를 사용하세요. 
  • 보다 맞춤화된 접근 방식을 위해 이메일 인증 목표에 맞는 옵션을 조합해 보세요. 
  • 장애 보고서를 정기적으로 모니터링하고 분석하여 관련 문제를 즉시 해결하세요.

FO 태그를 사용하여 DMARC 레코드 설정하기

1. DMARC 레코드 만들기 

포렌식 보고 옵션을 사용하도록 설정한 상태에서 DMARC를 설정하려면 TXT 레코드를 만들어야 합니다. 다음 도구를 사용하면 됩니다. DMARC 레코드 생성기 도구를 사용하여 이 프로세스를 자동화할 수 있습니다. 이 DMARC 레코드는 수신 서버가 인증 검사에 실패한 메시지를 처리하는 방법을 지정합니다. "fo=값" 매개변수를 사용하여 DMARC 레코드 내에 "fo" 태그를 정의할 수 있습니다.

"fo" 태그가 있는 DMARC 레코드의 예입니다: 

v=DMARC1; p=quarantine; rua=mailto:[email protected]; ruf=mailto:[email protected]; fo=1; pct=100;

2. FO 설정 선택

설명한 대로 네 가지 옵션 중에서 선택할 수 있습니다:

  • fo=0: SPF와 DKIM이 모두 실패한 경우에만 실패 보고서를 생성합니다. 이 옵션은 보고를 최소화하고 불필요한 포렌식 보고서를 줄이려면 권장됩니다.
  • fo=1: SPF 또는 DKIM 중 하나에 실패할 경우 실패 보고서를 생성합니다. 이 옵션은 인증 실패 문제를 해결할 때 자세한 보고에 유용합니다.
  • fo=d: DKIM이 실패할 경우 실패 보고서를 생성합니다. 이 옵션은 DKIM 인증에 크게 의존하는 조직에 이상적입니다.
  • fo=s: SPF가 실패할 경우 실패 보고서를 생성합니다. 이 옵션은 SPF가 기본 인증 메커니즘인 경우에 적합합니다.

3. DNS에 DMARC 레코드 추가

"fo" 태그가 활성화된 DMARC를 설정하려면 생성한 DMARC 레코드를 DNS에 추가해야 합니다. 이렇게 하려면 다음과 같이 하세요: 

  • 도메인 등록기관의 DNS 관리 콘솔에 로그인합니다.
  • 도메인의 DNS 설정으로 이동합니다.
  • 다음 세부 정보가 포함된 새 TXT 레코드를 추가합니다:

호스트: _dmarc.example.com(example.com을 도메인으로 대체)

유형: TXT

Value: (DMARC 레코드 구문)

  • 변경 사항을 저장하고 DNS 전파를 허용합니다(최대 48시간이 소요될 수 있음).
  • DMARC 기록을 확인하려면 DMARC 검사기 도구를 사용하여 DMARC 기록을 확인하세요.

DMARC 장애 보고서를 모니터링하고 해석하는 방법 

DMARC 장애 보고서는 도메인에서 시도된 포렌식 인시던트에 대한 심층적인 인사이트를 제공할 수 있습니다. 하지만 보고서를 읽는 것은 어려울 수 있습니다! 이러한 보고서를 쉽게 모니터링하고 해석하려면 

  • 전용 사서함을 사용하세요: 포렌식 보고서를 받을 때는 전용 이메일 주소를 사용하는 것이 좋습니다. 이렇게 하면 받은 편지함의 혼잡을 줄이고 보고서를 보다 효율적으로 모니터링하는 데 도움이 됩니다.
  • 보고서 분석: 포렌식 보고서는 XML(확장 가능한 마크업 언어)로 생성됩니다. 이 언어에 익숙하지 않은 분들은 DMARC 보고서 분석기 도구를 사용할 수 있습니다. 이 도구는 수동 해석에 대한 훌륭한 대안으로, 보고서를 보다 체계적이고 사람이 읽을 수 있게 만들어 줍니다.
  • 악성 소스 식별: 장애 보고서에 제공된 정보를 사용하여 도메인을 스푸핑하려는 악의적인 발신 소스를 신속하게 식별할 수 있습니다.
  • 정책을 조정합니다: 마지막으로 조치를 취해야 할 때입니다. 도메인에서 잠재적인 스푸핑 시도를 인지한 경우 도메인의 DMARC 정책 이 적용되지 않는다면 문제가 발생할 수 있습니다! 이메일 위협 방지를 시작하려면 DMARC에 대해 p=거부 정책으로 점진적으로 전환하세요.

일반적인 DMARC FO 문제 해결

잘못 구성된 DMARC 레코드

DMARC 레코드 구문 오류, 필수 태그 누락, 잘못된 서식 등 여러 가지 이유로 실패가 발생할 수 있습니다. 게시하기 전에 온라인 DMARC 레코드 검사기를 사용하여 레코드의 유효성을 검사하는 것이 좋습니다.

잘못된 FO 설정

포렌식 보고서를 받지 못하거나 불완전한 보고서를 받는다면 잘못된 태그 설정 때문일 수 있습니다. 이 문제를 해결하려면 다음 사항을 확인하세요: 

  • The ruf 태그가 유효한 이메일 주소로 올바르게 설정되어 있습니다.
  • 이메일 제공업체는 포렌식 보고서를 지원합니다.
  • fo 값은 보고 요구 사항에 따라 올바르게 구성됩니다.

SPF/DKIM 구성 오류

SPF 또는 DKIM 실패는 DMARC 보고서 결과에 영향을 줄 수 있습니다. 부당한 실패를 방지하려면 다음 사항을 확인하세요:

  • SPF 레코드에 올바른 전송 IP가 있는지 확인합니다.
  • DKIM 서명이 DNS에 올바르게 정렬되고 게시되었는지 확인합니다.
  • SPF 및 DKIM 테스트 온라인 검증 도구.

장애 보고서에 대한 응답

인증된 당사자에 대한 장애 분석

정상적인 발신자도 인증에 실패하는 것을 발견하면 즉시 조치를 취하세요. 승인된 발신자와 협력하여 이메일 구성이 올바른지 확인하세요. 이렇게 하면 이메일 커뮤니케이션의 흐름을 개선하고 합법적인 출처와 불법적인 출처를 효과적으로 필터링하는 데 도움이 됩니다.

정기적으로 DNS 레코드 업데이트

DMARC 실패 보고서의 결과를 주의 깊게 살펴보세요. 그런 다음 SPF, DKIM 또는 DMARC 레코드를 적절히 조정하여 종합적인 보안 프레임워크를 구축하세요.

승인되지 않은 발신자에 대한 조치 취하기

도메인의 악의적인 활동이나 무단 사용을 발견하는 경우 해당 IP 주소를 차단/신고하세요. 이렇게 하면 데이터 유출을 방지하고 전반적인 온라인 보안을 개선하는 데 도움이 됩니다.

더 엄격한 정책으로 전환

앞서 언급했듯이, 점차적으로 DMARC 정책 엄격도를 점차 높여보세요. 완화 모드(즉, p=없음)에서 p=검역으로, p=거부로 전환하면 도메인에 대한 사이버 공격이 성공할 가능성이 줄어듭니다.

요약

통합 DMARC 실패 태그와 함께 보고하는 것은 이메일 보안 태세를 강화하기 위한 전략적 조치입니다. 도메인 소유자는 올바른 장애 보고 옵션을 활용하여 인증 문제에 대한 심층적인 가시성을 확보하고, 악의적인 활동을 탐지하며, 이메일 인증 전략을 개선할 수 있습니다.

이러한 보고서를 정기적으로 모니터링하고 분석하면 사전 예방적으로 조정하여 도메인을 안전하게 보호할 수 있습니다. 사이버 위협이 계속해서 증가함에 따라 매년 30% 이상효과적인 장애 보고를 통해 DMARC 정책을 미세 조정하면 커뮤니케이션에 대한 신뢰를 유지하는 데 도움이 됩니다.

CTA

아호나 루드라의 최신 포스트 (전체 보기)
잘못된 도메인 이름이란 무엇이며 이를 수정하는 방법DNS 증폭 공격: 예시, 탐지 및 완화