2025년 DMARC 요구 사항
by
읽기 시간: 3 분
지난 몇 년 동안 구글, 야후 및 기타 주요 이메일 제공업체는 이메일 보안 요건을 크게 변경했습니다. 오늘날 다양한 업계와 국가에서 DMARC, DKIM, SPF 및 MTA-STS로 도메인을 인증하는 것은 권장 사항 또는 필수 사항입니다.
주요 이메일 제공업체, 정부 기관 및 규제 기관의 이러한 접근 방식의 급격한 변화는 이메일 보안 강화를 위한 전 세계적인 노력을 극명하게 반영하는 것입니다. 이러한 노력의 목표는 이메일 전달률을 높이고 스팸 발송률을 낮추며 중대한 데이터 유출과 평판 손상을 초래할 수 있는 이메일 기반 사이버 공격을 줄이는 것입니다.
이처럼 빠르게 진화하는 요구 사항으로 인해 DMARC는 곧 전 세계 필수 사이버 보안 전략의 필수 구성 요소가 될 것입니다.
2025년의 주요 DMARC 요구 사항
글로벌 DMARC 요구 사항
- 구글 및 야후 대량 발신자 요구 사항
대량 발신자 (하루 5,000개 이상의 이메일을 발송하는 경우)는 TLS, DKIM 및 SPF로 도메인을 인증하고 DMARC 정책이 p=none 이상이어야 합니다. 이 요건은 원래 2024년 2월부터 시행되었습니다.
- Google 및 야후 일반 발신자 요구 사항
일반 이메일 발신자들도 합법적인 이메일을 인증하고 높은 스팸 발송률과 사칭을 방지하기 위해 SPF 또는 DKIM을 구현해야 합니다.
- PCI-DSS 버전 4 권장 사항
PCI DSS v4.0에서는 피싱을 방지하기 위한 메커니즘을 권장하며, 모범 사례로 DMARC, SPF 및 DKIM을 사용할 것을 권장합니다.
지역별 DMARC 요구 사항
| 지역 | 요구 사항 이름 | 요구 사항 설명 | 소스 링크 |
|---|---|---|---|
| EU 국가 | GDPR(일반 데이터 보호 규정) | GDPR에 따라 귀사는 귀사를 대신하여 유럽 소비자의 데이터를 처리하는 모든 클라우드 서비스 제공업체와 데이터 처리 계약(DPA)을 체결해야 합니다. | 자세히 보기 |
| EU 국가 | DORA(디지털 운영 복원력 법) | 20가지 유형의 금융 기관과 ICT 제3자 서비스 제공업체에 적용되는 디지털 운영 복원력 법(DORA)은 금융 부문(은행, 보험사, 투자 회사 등)의 운영 복원력에 관한 규칙을 조화시키는 것을 목표로 합니다. DMARC는 이메일 기반 사이버 공격으로부터 보호하여 간접적으로 DORA 법 준수를 보장하기 때문에 금융 기관에 매우 중요할 수 있습니다. | 자세히 보기 |
| 캐나다 | 이메일 관리 서비스 구성 요구 사항 | 정부 이메일은 SPF, DKIM 및 DMARC를 사용하여 인증해야 합니다. | 자세히 보기 |
| 덴마크 | 정부 기관을 위한 최소 기술 요구 사항 | 정부 기관은 모든 도메인에서 p=거부라는 DMARC 정책을 구현해야 합니다. | 자세히 보기 |
| 뉴질랜드 | 뉴질랜드 정보 보안 매뉴얼 버전 3.6 | DMARC 및 DKIM 제어 규정 준수를 SHOULD에서 MUST로, DMARC 정책 설정을 p="none"에서 p="reject"로 변경합니다. | 자세히 보기 |
| 아일랜드 | 공공 부문 사이버 보안 기준 표준 | 공공 부문 사이버 보안 기준에서는 이메일 보안을 강화하기 위해 SPF, DKIM, DMARC 및 TLS를 사용할 것을 권장합니다. 그러나 이는 권장 사항일 뿐 필수 사항은 아닙니다. | 자세히 보기 |
| 네덜란드 | "준수 또는 설명" 표준 | 정부 기관은 DKIM, SPF, STARTTLS 및 DANE과 함께 DMARC를 구현해야 하는 의무 사항입니다. 이는 이메일 보호 및 인증에 대한 '준수 또는 설명' 표준의 일부입니다. | 자세히 보기 |
| 사우디 아라비아 | 필수 사이버 보안 제어(ECC) 구현 가이드 | 사우디아라비아 조직은 사기성 메시지를 걸러내기 위해 고급 피싱 보호 기술로 DKIM, SPF 및 DMARC를 사용하는 것이 좋습니다. | 자세히 보기 |
| UK | 정부 사이버 보안 정책 핸드북 원칙 | 2024년 3월, 정부 사이버 보안 정책이 최소 사이버 보안 정책을 대체했습니다. 이 업데이트는 MTA-STS 및 TLS-RPT를 '권장'에서 '필수'로 변경하고 PTR 레코드에 대한 참조를 추가했습니다. | 자세히 보기 |
| 미국 | 구속력 있는 운영 지침 18-01 | 구속력 있는 운영 지침 18-01에 따라 모든 연방 기관은 STARTTLS, SPF, DKIM 및 p=거부라는 DMARC 정책을 사용해야 합니다. | 자세히 보기 |
| 미국 | HIPAA(건강 보험 이동성 및 책임에 관한 법률) | 1996년의 의료정보 이동 및 책임에 관한 법률(HIPAA)에 따라 HIPAA 개인정보 보호 규정은 특정 민감한 건강 관련 정보를 보호하기 위한 국가 표준을 결정합니다. DMARC는 HIPAA 규정을 준수하는 데 필수적인 도구가 될 수 있습니다. | 자세히 보기 |
| 호주 | ASD(호주 신호국)의 정보 보안 매뉴얼 | 이메일 기반 위협을 차단하기 위해 SPF, DKIM 및 DMARC를 사용할 것을 권장합니다. | 자세히 보기 |
| 호주 | ASD(호주 신호국)의 정보 보안 매뉴얼 | 이메일 기반 위협을 차단하기 위해 SPF, DKIM 및 DMARC를 사용할 것을 권장합니다. | 자세히 보기 |
| 호주 | 가짜 이메일에 대처하는 방법 | 스푸핑을 최소화하기 위해 보안 전문가와 이메일 서버 운영자를 위한 SPF, DKIM, DMARC와 같은 이메일 인증 프로토콜 구현에 대한 권장 사항을 간략하게 설명합니다. | 자세히 보기 |
| 호주 | 사이버 보안 사고를 완화하기 위한 전략 | 호주 신호국(ASD)의 사이버 위험 완화 전략에 대한 자세한 내용입니다. | 자세히 보기 |
| 벨기에 | DMARC, SPF 및 DKIM을 통한 랜섬웨어 보호 및 예방 | 벨기에 사이버 보안 센터에서 제공하는 지침입니다. | 자세히 보기 |
| 체코 공화국 | 사이버 보안에 관한 법률 - 이행 지침 | 전자 메일을 보내는 도메인에는 RFC 7489에 언급된 특정 매개 변수를 준수하는 DMARC 레코드가 있어야 합니다. | 자세히 보기 |
| 핀란드 | Microsoft 365 서비스를 보호하는 방법 | 핀란드 교통 통신청 Traficom의 국립 사이버 보안 센터는 Exchange Online 서버에 대한 보호 전략을 설명합니다. | 자세히 보기 |
| 프랑스 | 건강한 정보 시스템을 위한 가이드라인 | 인증 메커니즘을 구현하고 이메일 인프라와 관련된 공용 DNS 레코드(MX, SPF, DKIM, DMARC)를 올바르게 구성하는 방법에 대한 제안 사항입니다. | 자세히 보기 |
| 프랑스 | 사이버 위협 개요 2021 | 사이버 위협과 가능한 완화 기술에 대한 개요는 프랑스 국립 보안청에서 발표했습니다. | 자세히 보기 |
| 독일 | 인터넷 서비스 제공업체를 위한 조치 권장 사항 | 이메일 보안 및 인증을 포함한 사이버 보안에 관한 BSI 간행물. | 자세히 보기 |
| 인도 | 은행의 사이버 보안 프레임워크 | 인도 중앙은행의 레벨 I 규정 준수에 따라 금융 기관은 이메일 위협을 방지하기 위해 적절한 보안 조치를 구현해야 합니다. | 자세히 보기 |
| 노르웨이 | 이메일 보안을 위한 기본 조치 | 이메일 보안을 강화하기 위한 DMARC 구현에 대한 권장 사항이 포함되어 있습니다. | 자세히 보기 |
| 필리핀 | 워너크라이 랜섬웨어에 대한 사이버 보안 조치에 대한 DICT의 발표 | 이메일 스푸핑을 방지하기 위해 강력한 스팸 필터를 활성화하고 SPF, DMARC, DKIM과 같은 기술을 사용하여 인바운드 이메일을 인증하도록 조언합니다. | 자세히 보기 |
| 폴란드 | 전자 통신 남용 방지법 - 이메일 제공업체 및 공공기관에 대한 새로운 의무 사항 | 2023년 9월 25일부터 폴란드의 공공 기관은 이메일 발신자를 인증하고 스푸핑 및 스미싱을 방지하기 위해 SPF, DKIM 및 DMARC를 구현해야 합니다. | 자세히 보기 |
| 포르투갈 | 기술 권장 사항 01/2019 및 01/2020 | 조직 내 이메일 보안을 강화하려면 SPF, DKIM 및 DMARC 표준을 구현하는 것이 좋습니다. 다음 네 가지 조치, 즉 도메인의 DNS에 SPF, DKIM, DMARC 및 MX 레코드를 구성하면 수신자에게 이메일이 '파킹된' 도메인에서 발신되어서는 안 되며 발신된 경우 삭제되어야 함을 알리는 데 도움이 됩니다. 이러한 조치는 최적의 효과를 위해 지정된 순서대로 적용해야 합니다. | 더 읽기 (2019) 더 읽기 (2020) |
| 스코틀랜드 | 스코틀랜드 공공 부문 사이버 복원력 프레임워크 V1.2 | 스팸 및 멀웨어 필터링 활성화는 물론 DKIM 및 SPF 레코드와 함께 DMARC를 구현할 것을 권장합니다. 인바운드 이메일에 강제 DMARC 정책을 적용하는 것도 확장된 모범 사례입니다. | 자세히 보기 |
| 싱가포르 | 비즈니스 이메일 침해(BEC) 플레이북 | 이 간행물에서는 조직이 DMARC를 활용하여 악성 이메일을 차단하고 도메인 스푸핑 및 피싱 시도가 수신자 받은 편지함에 도달하는 것을 최소화할 수 있다고 설명합니다. | 자세히 보기 |
2025년에 DMARC 규정 준수가 중요한 이유
DMARC 레코드 사용의 장점:
- DMARC는 이메일 피싱으로부터 귀하와 귀하의 회사를 보호합니다, 도메인 스푸핑, 이메일 사칭 및 비즈니스 이메일 침해(BEC) 위협으로부터 회사를 보호합니다.
- 이메일 발신자 평판은 다음을 통해 개선됩니다. DMARC 적용.
- DMARC는 이메일 전달률을 10%까지 점진적으로 높여줍니다.
- 도메인 서버에 DMARC를 구현하면 이메일이 스팸으로 표시되지 않도록 하여 열람률을 높일 수 있습니다.
또한 기업에서는 도메인에서 비즈니스 이메일을 보낼 수 있는 사용자를 쉽게 추적할 수 있습니다. 이를 통해 부정직한 관행을 피할 수 있습니다. 어떻게? 도메인의 DMARC 레코드를 DNS 항목에 게시하면 수신하는 모든 이메일 서버가 수신 이메일을 확인하여 적법성을 확인한 후 수신자의 받은 편지함으로 전달합니다.
2025년 DMARC 요건 충족의 과제
모든 규모의 비즈니스는 2025년 DMARC 요구 사항을 충족하는 데 있어 몇 가지 문제에 직면할 수 있습니다:
1. 수동 설정의 복잡성
다음과 같은 프로토콜 구현 DMARC, SPF, DKIM 과 같은 프로토콜을 구현하는 것은 기술적으로 까다로울 수 있어 꺼려지고 종종 잘못 구성되는 경우가 있습니다. 하지만 DMARC 서비스 제공업체의 최신 자동화된 솔루션 덕분에 이 문제는 크게 개선되었습니다. 이제 모든 규모의 비즈니스는 필요에 맞는 다양한 서비스 제공업체 중에서 선택할 수 있으므로 수작업으로 인한 번거로움과 복잡성을 피할 수 있습니다.
2. 장애물 모니터링
요구 사항을 충족하도록 DMARC를 구성하는 것은 프로토콜 설정에서 끝나는 것이 아닙니다. 여정은 이제부터 시작입니다! DMARC 구현에서 최상의 결과를 얻으려면 보고서를 통해 결과를 모니터링해야 합니다. DMARC 원시 보고서는 해독하기 어려울 수 있지만, 다음과 같은 DMARC 보고서 분석기 도구를 사용하면 사람이 읽을 수 있고 모니터링하기 쉬우며 실행 가능한 인사이트를 얻을 수 있습니다!
3. 타사 발신자 관리
도메인을 대신하여 이메일을 보내는 모든 타사 서비스를 식별하는 것이 중요합니다. 이러한 서비스가 일치하는 DKIM 서명으로 이메일을 올바르게 인증하는지 확인해야 합니다. 이 작업을 수동으로 수행하는 것은 어려울 수 있습니다, 관리형 DMARC 서비스 를 사용하면 큰 차이를 만들 수 있습니다.
4. 이메일 전달성 문제
에서 이동 DMARC 정책 에서 p=없음에서 p=거부로 변경하려면 세심한 모니터링이 필요합니다. 조직은 종종 합법적인 이메일을 차단하는 것을 두려워합니다. 일관된 전달성을 보장하려면 보고서를 통해 이메일 채널을 모니터링하면서 DMARC를 점진적으로 적용하는 것이 좋습니다.
5. 전문성 부족
많은 IT 팀이 DMARC, SPF 및 DKIM에 대한 심층적인 지식이 부족합니다. 조직은 직원들에게 무료로 제공되는 DMARC 교육 과정을 수강하여 지식을 쌓도록 권장할 수 있습니다. 또는 전문가 패널을 보유한 DMARC 관리 제공업체에 아웃소싱하면 기존 직원을 교육하고 숙련도를 높이는 데 드는 시간과 노력을 줄일 수 있습니다.
2025 규정 준수에 PowerDMARC가 도움이 되는 방법
PowerDMARC 은 DMARC 요구 사항을 충족하기 위한 원스톱 이메일 인증 플랫폼입니다. PowerDMARC는 다음을 제공합니다:
- 자동화된 규정 준수 모니터링 변경되는 DMARC 규정에 대한 자동화된 규정 준수 모니터링.
- 정책 시행 가이드 를 사용하여 P=없음에서 P=거부로 안전하게 이동할 수 있습니다.
- 실시간 위협 인텔리전스 을 통해 피싱 시도가 발생하기 전에 탐지합니다.
- 90여 개국의 포춘지 선정 100대 기업 및 MSP가 신뢰합니다.
- 포괄적인 SPF 및 DKIM 정렬 을 사용하여 타사 발신자가 제대로 인증되었는지 확인합니다.
- 고급 보고 및 분석 를 통해 이메일 인증 실패에 대한 자세한 DMARC 보고서를 통해 완벽한 가시성을 확보할 수 있습니다.
- BIMI 및 MTA-STS 지원 추가 인증 계층을 통해 브랜드 신뢰와 이메일 보안을 강화할 수 있습니다.
- 자동화된 SPF 최적화 을 사용하여 SPF 조회 실패를 방지할 수 있습니다. SPF 매크로.
마지막 말
2025년은 DMARC 시행의 전환점이 될 것이며, 조직은 이메일 중단과 보안 위험을 피하기 위해 지금 행동에 나서야 합니다. 주요 이메일 공급업체의 정책이 더욱 엄격해짐에 따라 규정 준수는 더 이상 선택 사항이 아닙니다. 도메인이 DMARC를 준수하나요? 지금 바로 규정 준수 상태를 확인하고 이메일 채널을 보호하기 위해 필요한 조치를 취하세요.
너무 늦을 때까지 기다리지 마세요! 시작하려면 지금 바로 PowerDMARC에 연락하여 무료 DMARC 평가판 2025년 DMARC 요건을 완벽하게 준수할 수 있습니다!
도메인 및 이메일 보안 전문가 PowerDMARC
Ahona는 도메인 및 이메일 보안을 전문으로 5년 이상 사이버 보안 주제에 대해 글을 쓴 경력이 있는 PowerDMARC의 마케팅 매니저입니다. Ahona는 저널리즘 및 커뮤니케이션 학위를 취득한 후 2019년부터 보안 분야에서 경력을 쌓았습니다.
아호나 루드라의 최신 글 (전체 보기)
- DMARC 오탐: 오탐: 원인, 수정 및 예방 가이드 - 2025년 6월 13일
- 뉴질랜드 정부, 새로운 보안 이메일 프레임워크에 따라 DMARC 의무화 - 2025년 6월 9일
- 이메일 스푸핑이란 무엇인가요? - 2025년 5월 29일
