이 문서에서는 DMARC 정책 재정의가 무엇인지, 어떻게 작동하는지, DMARC 정책 재정의와 DMARC 정책 실패의 차이점은 무엇인지, DMARC 레코드 재정의가 합법적인지 여부에 대해 자세히 설명합니다.
DMARC 정책 재정의: 설명
DMARC 정책 재정의는 수신 이메일 서버에서 DMARC 레코드를 재정의할 때 발생합니다. 이는 발신자가 수신 메일 서버의 정책과 일치하지 않는 경우 이메일을 거부하도록 지정했지만 수신 이메일 서버가 자체 정책 집합에 적합하지 않다고 판단할 때 발생합니다.
예를 들어 발신자가 엄격한 정책(예: "p=SPF 또는 DKIM이 없는 모든 메일 거부")을 지정하고 수신 이메일 서버는 완화되거나 느슨한 정책(예: "SPF 또는 DKIM이 없는 모든 메일 허용")을 지정한 경우입니다. 이 경우 수신 서버는 자체 로컬 정책으로 발신자의 DMARC 정책 설정을 재정의하고 DMARC 검사에 실패하더라도 수신자의 받은 편지함으로 메시지를 전달할 수 있습니다.
DMARC 정책 재정의 메커니즘 이해
DMARC는 이메일 수신자가 도메인에서 보낸 이메일에 대해 적용하는 데 사용할 수 있는 정책 설정을 전달하는 데 사용됩니다.
예를 들어 DMARC에 대한 정책을 사용하여 도메인에서 보낸 이메일에서 SPF 또는 DKIM 검사가 실패하는 경우 수신자의 이메일 서버가 수행해야 할 작업(p=거부 또는 p=없음 또는 p=검역)을 지시할 수 있습니다.
이 정도면 DMARC의 위력을 요약할 수 있겠죠?
하지만 수신 메일 서버에 수신 이메일을 처리하는 자체 로컬 정책 세트가 있는 경우에는 어떻게 해야 할까요? 발신자가 설정한 DMARC 정책을 준수할까요, 아니면 자체 로컬 정책으로 발신자의 정책을 재정의할까요?
글쎄요...
DMARC 사양에 따라 메일 수신자는 도메인 소유자가 게시한 DMARC 정책을 준수하기 위해 선의의 노력을 기울여야 합니다. 따라서 발신자의 검역, 거부 또는 없음과 같이 발신자의 DMARC 정책(p)에 지정된 것을 트리거해야 하는 메시지에 대해 발신자의 SPF, DKIM 및 보낸 사람 헤더 테스트가 실패하는 경우 발신자의 DMARC 정책(p)을 트리거해야 합니다.
이제 상황이 다음과 같다고 가정해 보겠습니다:
도메인(mypersonaldomain.org)에 DMARC 정책(p=none)이 있습니다.
수신자가 실행하는 이메일 서버(theirdomain.org)는 SPF 검사에 실패한 모든 메일을 거부합니다. 즉, (theirdomain.org)로 전송된 이메일이 SPF 검사에 실패하면 거부됩니다. 그렇죠?
하지만...
DMARC 정책 p=none이 적용된 내 도메인(mypersonaldomain.org)의 이메일이 somedomain.org에서 수신되어 SPF 검사에 실패하면 어떻게 되나요?
이 경우 수신 메일 서버(구성 방법)에 따라 발신자가 설정한 DMARC 정책에 동의하거나 로컬 정책에 정의된 규칙(SPF 검사 실패 시 p=거부)으로 발신자의 정책을 재정의하여 이메일을 거부할 수 있습니다.
Microsoft 365는 모든 p=거부 이메일을 거부하는 대신 사용자의 정크/스팸 폴더로 보내므로 실시간으로 이에 대한 예를 보여줍니다. 이는 O365가 최종 처리는 수신자가 결정하는 것이 좋다고 생각하기 때문입니다.
DMARC 정책 재정의의 다섯 가지 가치
전달됨 - 전달 패턴을 식별하는 로컬 알고리즘에 따라 이메일이 전달되었을 가능성이 높습니다. 인증이 실패할 수 있습니다.
local_policy - 로 설정된 경우 메일 수신기의 로컬 정책에 따라 해당 이메일이 도메인 소유자가 요청한 조치를 받지 않아도 됩니다. 예를 들어 요청된 정책이 "거부"로 설정되어 있지만 ARC 검사를 통과한 경우 메일 수신자는 해당 결정을 재정의하고 이메일을 거부하지 않도록 선택할 수 있습니다.
| ARC란 무엇인가요?
ARC 는 다음을 의미합니다. 인증된 수신 체인 (ARC)의 약자입니다. ARC를 사용하면 전달 또는 메일링 리스트에 의해 이메일의 DKIM 및 SPF 프로토콜이 더 이상 손상되지 않습니다. 이는 ARC가 라우터, 중개자 및 인터넷의 한 노드에서 다른 노드로 메시지를 전달할 때 메시지를 수정할 수 있는 기타 시스템('홉')에서 이메일 인증 결과를 보존하기 때문입니다. 따라서 ARC 체인이 존재한다면 메시지를 삭제할 수 있는 수신 메일 서버가 테스트 결과를 평가하여 예외를 만들어 이러한 간접 메일 흐름의 정상적인 메시지가 목적지에 도달하도록 허용할 수 있습니다. |
메일링 리스트 - 메일링 리스트에서 보낸 이메일이므로 필터 프로그램에서 합법적이지 않은 것으로 판단했습니다.
sampled_out - DMARC 레코드에"pct" 설정이 설정되어 있어 메시지가 정책에 적용되지 않았습니다.
trusted_forwarder - 이 실패는 이메일을 로컬에서 관리되는 신뢰할 수 있는 전달자 목록에 연결한 증거에 의해 예상되었습니다.
기타 - 일부 정책에는 목록의 다른 항목에서 다루지 않은 예외가 포함되어 있습니다.
DMARC 정책 재정의: 허용되나요?
RFC 7489의 섹션 6에 따르면 메일 서버는 발신자의 정책에 따라 메시지를 존중하고 처리해야 한다고 명시되어 있습니다. 재정의는 DMARC의 정신에 위배되지만 사서함 제공업체는 발신자의 정책을 재정의할 수 있는 권리를 보유합니다. 따라서 수신 서버가 로컬 정책으로 DMARC 정책을 재정의하는 것은 허용됩니다.
즉, 이메일 서버가 따라야 하는 정책이 그렇지 않다고 명시되어 있음에도 불구하고 위조된 메시지를 전송할 수 있습니다.
DMARC 정책 재정의 보고서를 보내야 하나요?
DMARC 정책 재정의는 주로 다음과 같은 경우에 발생합니다:
- 수신자의 휴리스틱은 인증에 실패했지만 인증된 소스에서 보냈을 가능성이 있는 메시지를 식별합니다.
- 사서함 공급자가 다음과 같은 메시지를 표시합니다. 다음과 같은 이유로 DMARC에 실패했습니다. 이메일 전달 을 받았지만 그 합법성에 대해 충분히 확신하는 경우 정책을 무시하고 어쨌든 메시지를 전달할 수 있습니다.
DMARC 정책 재정의는 허용되지만 RFC 7489의 섹션 6 및 7.2에 따르면 수신자가 도메인 소유자의 게시된 정책을 벗어나기로 선택한 경우 해당 사실과 그 이유(종합 피드백 보고 형식 사용)를 도메인 소유자에게 다시 보고해야 합니다.
DMARC 정책 재정의는 어떻게 허용되나요?
DMARC는 두 부분으로 구성됩니다:
DMARC 정책 - 이는 발신 조직에서 설정하며(발신 조직의 공용 DNS에서 SPF 및 DKIM과 함께) 수신 측에서 해당 정책을 준수하지 않는 메시지를 처리하는 방법을 정의합니다.
DMARC 확인 - 수신 조직(수신 조직의 이메일 보안 게이트웨이)에서 사용하며 특정 조직에서 받은 모든 메시지에 대해 해당 회사의 DMARC 레코드에 나열된 정책이 있는지 확인합니다. 그러나 발신 조직의 DMARC 정책 적용을 재정의할 수 있는 기능은 수신 조직에도 적용됩니다.
DMARC 정책 설정 DMARC 정책 은 "의무가 아닌 요청"즉, 본질적으로 '요청' 메일 서버가 내 도메인에서 보내거나 도메인을 사칭한 이메일 메시지를 어떻게 처리해야 하는지 알려달라고 '요청'하는 것입니다.
그러나 이메일 수신자가 수신 이메일을 처리할 때 엄격한 지침을 따를 필요는 없습니다. 수신자는 수락 또는 거부하는 메시지에 관한 정책을 개발하고 그에 따라 해당 기준을 적용할 수 있습니다.
예를 들어 이메일 수신자가 메시지를 유효한 것으로 간주하는 경우입니다. 따라서 이메일이 DMARC 검사에 실패하더라도 수신자는 로컬 정책을 적용하여 받은 편지함으로 전달할 수 있습니다. 또한 이메일 수신자의 정책이 도메인 소유자의 정책보다 우선할 수 있습니다.
수신 조직이 내 DMARC 정책을 재정의하려면 어떻게 해야 하나요?
다른 조직에서는 자체 DMARC 확인 도구를 사용하여 DMARC 정책 구성을 재정의하고 수신 메시지에 대한 조치 방법에 대한 자체 정책 집합을 결정할 수 있습니다. 시스템에 따라 관리자 권한이 있는 사용자는 모든 도메인을 재정의하거나 특정 도메인만 재정의할 수 있습니다.
DMARC 정책은 도메인 소유자가 설정하며 각 정책은 해당 조직의 도메인에만 적용된다는 점에 유의해야 합니다. 따라서 DMARC 정책은 다른 조직의 주소나 해당 메시지에 영향을 줄 수 없습니다.
DMARC 정책 실패와 DMARC 정책 재정의: 차이점은 무엇인가요?
DMARC 실패 은 메일 서버가 DMARC를 제대로 구현하지 않아 수신자 측에서 SPF 및 DKIM 확인에 실패하는 경우입니다. 적법성을 확인하지 못하면 받은 편지함에서 스팸으로 표시되거나 메시지가 거부될 수 있습니다. 여기서 수신 메일 서버는 발신자의 정책을 준수하며 로컬 정책으로 해당 정책을 재정의하지 않습니다.
DMARC 정책 재정의는 수신 메일 서버가 발신자의 정책을 따르지 않을 때 발생합니다. 대신 로컬 정책으로 발신자의 DMARC 정책을 재정의합니다. 즉, 발신자의 메시지에 SPF 또는 DKIM 확인 없이 p=거부라는 엄격한 정책이 있는 경우 수신 메일은 정책을 무시하고 메시지를 받은 편지함으로 계속 전달합니다.
PowerDMARC로 DMARC 정책 재정의에 대한 적절한 추적 유지
이메일 스푸핑 및 사칭을 방지하기 위해서는 DMARC 정책 재정의에 대한 최신 정보를 유지하는 것이 중요합니다. 하지만 대부분의 조직은 DMARC 정책 재정의를 추적할 시간이나 리소스가 없습니다.
DMARC 정책 재정의는 중지할 수 없지만, DMARC 서비스를 통해 이를 추적할 수 있습니다. 정책 모드를 재정의하는 조직과 수신자 측에서 허용된 메시지 유형 및 이메일 유형에 대한 전체 보고서를 제공합니다. 이를 통해 발신자는 스푸핑 또는 사칭이 발견될 경우 이를 추적하고 필요한 조치를 취할 수 있습니다.
가입하기 무료 DMARC 체험판 에 가입하여 직접 테스트해 보세요!
- SPF 소프트 페일 대 하드 페일: 차이점은 무엇인가요? - 2024년 4월 26일
- FTC, 이메일이 사칭 사기의 인기 매체라는 보고서 발표 - 2024년 4월 16일
- 서브도메인 메일링과 서브도메인 피싱의 증가 - 2024년 3월 18일