이메일 인증을 처음 사용하거나 DMARC 분석기를 처음 사용하는 경우, 오늘부터 이메일 인증 여정의 판도를 바꿀 수 있는 몇 가지 DMARC 규칙을 준수해야 합니다. 가장 기본적인 몇 가지 규칙을 요약하면 다음과 같습니다:

1. 인증을 허용하지 않는 정책을 사용하지 마세요.

4. 4. 도메인에 대한 SPF 레코드도 설정합니다.

5. 5. 도메인에 대한 DKIM 서명을 설정합니다.

이제 전반적인 인증 인프라를 강화하는 데 도움이 될 수 있도록 이러한 DMARC 규칙을 다른 규칙과 함께 자세히 살펴보겠습니다. 

DMARC에 대해 들어본 적이 있을 텐데, 그게 뭔가요?

DMARC는 도메인 기반 메시지 인증, 보고 및 준수의 약자입니다. 도메인 위조를 최소화하기 위해 이메일이 전달되기 전에 이메일이 인증되었는지 확인하는 이메일 보안 프로토콜입니다. 이메일 발신자가 본인이 맞는지 확인하여 피싱 공격 및 기타 이메일 공격을 방지하기 위한 목적으로 만들어졌습니다.

DMARC는 어떻게 사용하나요?

간단합니다! 먼저 도메인의 DNS 레코드에 DMARC를 사용하도록 설정합니다. 그런 다음 누군가가 DMARC를 사용하지 않고 내 도메인에서 이메일을 보내려고 하면 도메인과 연결된 공개 키가 없으면 이메일을 보낼 수 없게 되며, 이는 권한이 있는 경우에만 가능합니다. 이렇게 하면 합법적인 이메일만 수신자의 받은 편지함에 도달할 수 있으며, 네트워크 외부에서 온 메시지에 대한 알림을 설정할 수도 있습니다.

프로세스는 다음과 같이 작동합니다: 

• 발신자가 DMARC 레코드 를 설정하고 DNS 레코드에서 DKIM 서명(선택 사항이지만 권장됨)을 사용하도록 설정합니다.
• 해당 도메인에서 이메일이 전송되면 사용된 설정과 설정된 내용에 대한 정보가 포함된 헤더가 포함됩니다. 이 헤더는 Gmail과 같은 수신자가 메시지가 예상 형식에 따라 전송되었는지 여부를 확인하는 데 사용할 수 있습니다. 
• 이러한 설정에 문제가 있는 경우 발신자의 의도적인 것인지 여부에 따라 실패 또는 소프트 실패로 플래그가 지정되며, 의도적인 경우 발신자는 원인을 수정할 때까지 해당 설정을 완전히 무시할 수 있습니다.

DMARC의 가장 큰 장점 중 하나는 설정이 매우 간편하다는 것인데, 몇 단계만 거치면 완료할 수 있습니다!

기업용 DMARC 규칙 101 

DMARC 정책을 설정할 때 DMARC 정책을 설정할 때 따라야 할 몇 가지 규칙이 있습니다. 다음은 가장 중요한 상위 5가지 DMARC 규칙 목록입니다:

1. 정책은 TXT 레코드여야 하며 DNS에 게시되어 있어야 합니다. DNS에 TXT 레코드가 없는 경우 프로토콜을 구현하지 않은 것입니다.
2. 인증되지 않은 메시지를 차단하려면 정책을 p=거부 또는 p=검역으로 설정해야 합니다. 
3. 여러 정책을 사용하고 각 정책에 대해 서로 다른 인증 수준(예: '내 브랜드' 대 '내 조직')을 설정하는 경우, 모든 정책에 고유한 SPF 레코드와 DKIM 서명이 있는지 확인하세요! 그렇지 않으면 모두 하나의 규칙으로 묶여 제대로 동기화되지 않습니다.
4. 또한 DMARC를 사용하려면 도메인에 대한 SPF 및/또는 DKIM 레코드를 설정해야 합니다. 이 규칙은 공격자가 다른 사람의 이메일 주소나 도메인 이름을 사용하여 합법적으로 보이지만 실제로는 승인된 출처에서 보낸 것이 아닌 피싱 이메일을 보내는 스푸핑 공격을 방지하는 데 도움이 되므로 DMARC를 사용하지 않으려는 경우에도 필수적으로 설정해야 합니다.
5. 또 다른 중요한 DMARC 규칙은 다른 조직에서 이 시스템을 사용하는 이메일과 관련된 문제를 보고할 수 있도록 이메일 주소가 포함된 DMARC 레코드를 게시하도록 요구합니다. 이를 DMARC 보고서라고 합니다. 

보호 강화를 위한 추가 DMARC 규칙

1. 파킹된 도메인(비활성 도메인)도 공격자가 브랜드를 성공적으로 사칭하기 위해 스푸핑할 수 있으므로 파킹된 도메인에 대한 DMARC 정책을 설정하는 것을 고려하세요. 
2. 동일한 도메인에 대해 여러 개의 SPF 또는 DMARC 레코드를 설정하는 것은 엄격히 권장하지 않습니다. 단일 도메인에는 하나의 SPF 및 DMARC 레코드만 포함되어야 합니다. 그러나 더 나은 보호를 위해 주기적인 키 로테이션을 사용하도록 설정하여 동일한 도메인에 대해 둘 이상의 DKIM 레코드를 구성할 수 있습니다.  
3. 하위 도메인에 대해 다른 적용 모드를 구현하지 않으려는 경우 하위 도메인에 대한 정책 설정을 건너뛸 수 있습니다. 이는 기본 도메인에 대한 DMARC 정책이 하위 도메인에 자동으로 상속되기 때문입니다. 
4. 도메인 외부(내 도메인 범위에 속하지 않는 외부 이메일 주소)에서 DMARC 보고서를 받으려면 외부 도메인 확인을 사용 설정하여 외부 도메인이 해당 보고서 수신에 동의한다는 사실을 서버에 알려야 합니다. 
5. 마지막으로, DMARC는 만병통치약이 아니며 모든 공격으로부터 사용자를 보호하지 못한다는 점에 유의해야 합니다. 보안을 강화하려면 신뢰할 수 있는 바이러스 백신 및 방화벽을 DMARC와 함께 사용해야 합니다. 

인증 프로세스의 어느 단계에서 이러한 DMARC 규칙을 구현해야 하나요?

이제 막 시작하는 경우 인증 프로세스를 시작할 때 위에서 언급한 모든 DMARC 규칙을 준수할 필요는 없습니다. 예를 들어, p=거부 정책으로 시작하면 전송률에 문제가 발생할 수 있습니다. 대신 정책을 적용하기 전에 이메일 채널을 모니터링하기 위해 없음 정책으로 시작하는 것이 좋습니다.

여기서 문제가 조금 복잡해질 수 있습니다. 여러분과 비즈니스에 가장 적합한 속도를 결정하는 것이 중요합니다. 시행을 선택할 준비가 될 때까지 프로토콜을 완벽하게 제어할 수 있도록 프로토콜에 대한 완화된 정책을 구현하여 천천히 시작하세요.

• 정보
• 최신 게시물

아호나 루드라

Ahona는 도메인 및 이메일 보안을 전문으로 5년 이상 사이버 보안 주제에 대해 글을 써온 경력이 있는 PowerDMARC의 마케팅 매니저입니다. Ahona는 저널리즘 및 커뮤니케이션 학위를 취득한 후 2019년부터 보안 분야에서 경력을 쌓았습니다.

아호나 루드라의 최신 포스트 (전체 보기)

• 블록체인이 이메일 보안을 개선할 수 있을까요? - 2024년 5월 9일
• 데이터센터 프록시: 프록시 세계의 주력 제품 공개 - 2024년 5월 7일
• 최근 피싱 공격에서 DMARC "없음" 정책을 악용한 킴수키(Kimsuky) - 2024년 5월 6일