정답은 '예'입니다. DKIM 없이 DMARC를 구성할 수 있습니다.
하지만 그렇게 하는 것이 좋은 생각일까요?
이 문서에서는 이 질문에 대해 살펴봅니다. 그리고 DKIM 없이 DMARC를 구성할 때의 결과에 대해 설명합니다.
DMARC 인증 표준 이해
DMARC는 도메인의 이메일 메시지를 인증할 수 있는 프로토콜입니다. 일련의 규칙을 사용하여 이메일 메시지가 합법적인지 여부를 판단합니다.
SPF와 DKIM은 DMARC의 맥락에서 인증 목적으로 사용되는 다른 두 가지 프로토콜입니다.
SPF 는 발신자 정책 프레임워크의 약자로, 메일 제공업체가 발신자의 신원을 확인하고 스팸 메시지를 차단하는 방법을 지정합니다.
DKIM 은 DomainKeys Identified Mail의 약자로, 메시지를 전송할 때 암호화한 다음 대상 서버에 도달하면 공개 키 암호화를 사용하여 다시 서명하는 방식으로 작동합니다.
DMARC, SPF, DKIM - 이 세 가지를 결합하면 이메일 인증의 세 가지 기둥이 됩니다. 이러한 인증은 제3자에 의해 이메일이 위조, 변조 또는 해킹되지 않도록 보장합니다.
DMARC 평가 알고리즘
DMARC 평가 알고리즘은 SPF 및 DKIM의 인증 결과를 고려하는 부울 값입니다. 그 후 이메일 메시지를 합법적인 것으로 수락할지 여부를 결정합니다.
결과는 두 가지 가능한 결과에 따라 달라집니다:
1. 통과: 이메일이 SPF 인증과 DKIM 인증을 모두 통과하거나 이 중 하나만 통과합니다. 따라서 깨끗한 것으로 간주됩니다. 따라서 수신 서버에서 허용됩니다.
'통과' 인증 알고리즘을 간단한 방정식으로 표현하면 다음과 같습니다:
| DMARC 인증 패스 = 유효한 SPF 식별자 정렬이 있는 SPF 레코드 +/또는 유효한 DKIM 식별자 정렬이 있는 DKIM 레코드 |
또는 (DKIM이 누락된 경우)
| DMARC 인증 패스 = 유효한 SPF 식별자 정렬이 있는 SPF 레코드 |
또는 (SPF가 없는 경우)
| DMARC 인증 패스 = 유효한 DKIM 식별자 정렬이 있는 DKIM 레코드 |
2. 실패: 메시지가 SPF 및 DKIM 인증 검사에 모두 실패했으며, 이는 메시지가 잘못되었거나 악성 콘텐츠가 포함되어 있음을 나타냅니다.
DKIM 없이 DMARC를 설정할 수 있나요?
DMARC는 다음 세 가지 시나리오에서 통과합니다:
따라서 DKIM 없이도 DMARC를 설정할 수 있습니다.
DMARC는 인증 목적으로 SPF와 DKIM을 기반으로 구축되었지만, 이 둘은 서로 다른 기술입니다.
일반적으로 SPF는 "경로 권한 부여" 메커니즘으로, 특정 도메인을 대신하여 메시지를 보낼 수 있는 IP를 허용하는 것을 의미합니다. 반면 DKIM은 '콘텐츠 무결성' 메커니즘으로, 전송한 내용이 서버에 도달할 때 변경되지 않도록 보장합니다.
즉, 효과를 위해 서로 의존하지 않고 병렬로 또는 독립적으로 사용할 수 있습니다.
그러나 SPF와 DKIM은 함께 작동하여 보다 강력한 DMARC 인증 기능을 제공하므로 DMARC와 함께 사용하는 것이 좋습니다. DKIM이 없는 DMARC는 가능하지만 권장되지 않습니다.
이메일 클라이언트는 DKIM이 없는 이메일을 어떻게 처리하나요?
대부분의 이메일 클라이언트는 DKIM이 없는 이메일을 스팸으로 취급합니다.
경우에 따라 수신자의 이메일 서버에서 메시지가 스팸으로 플래그가 지정되어 스팸으로 표시될 수 있습니다.
일부 이메일 서비스 제공업체에서는 수신자에게 보낸 메시지가 의도한 도메인과 다른 도메인에서 보낸 것으로 표시될 수도 있습니다.
예를 들어 Outlook 및 Gmail에서 DKIM이 없는 이메일은 받는 사람의 받은 편지함에 올바른 발신자 주소가 표시되지만 다른 사람이 '보낸 사람' 또는 '경유'한 것으로 표시됩니다.
이는 수신자에게 혼란을 줄 수 있으며, 심지어 다른 사람이 내가 아닌 다른 사람이 메시지를 보낸 것으로 오해할 수도 있습니다.
예 #1(Outlook)
그림 1 DKIM 미사용: Outlook은 받는 사람의 받은 편지함에 '보낸 사람' 주소를 표시합니다.
그림 2 DKIM 사용: Outlook에는 보낸 사람 주소만 표시됩니다.
예 #2(Gmail)
그림 3 DKIM 미사용: Gmail은 수신자의 받은 편지함에 '경유' 주소를 표시합니다.
그림 4 DKIM 사용: Gmail에는 발신자 주소만 표시됩니다.
하지만 이메일에 DKIM이 있으면 위에서 언급한 문제가 발생하지 않을 가능성이 높습니다. 발신 서버가 더 이상 클라이언트 화면에 표시되지 않으므로 스팸이나 정크 폴더로 들어갈 가능성이 줄어듭니다. 또한 발신자 주소만 알 수 있으므로 이메일 마케팅 전략을 통해 고객을 찾고 있는 발송 기업에게는 높은 신뢰도를 제공합니다.
DKIM이 있는 경우와 없는 경우의 DMARC 설정 결과
DKIM으로 DMARC를 설정하면 이메일 메시지가 스팸 필터에 플래그가 지정되어 차단되는 것을 방지하는 데 도움이 됩니다.
그러나 DKIM 없이 DMARC를 설정하면 수신자가 발신자의 이메일 주소를 확인하려고 할 때 지연될 뿐만 아니라 오탐이 증가할 수 있습니다.
이 섹션에서는 DKIM을 사용하여 DMARC를 설정할 때와 DKIM을 사용하지 않고 DMARC를 설정할 때 발생할 수 있는 몇 가지 결과에 대해 살펴보겠습니다.
1. 이메일 신뢰 확인 시
SPF 기반 접근 방식만 사용할 경우 DMARC 보호는 보이지 않는 '봉투 발신자' 주소(메일 발신자 또는 반송 경로)로만 제한됩니다. 이러한 주소는 발신자로부터 반송(배달 불가 보고서)을 수신하는 데 사용됩니다.
그러나 DKIM을 SPF와 결합하면 "헤더 보낸 사람:" 주소와 수신자에게 표시되는 주소에 대해 DMARC 보호가 활성화됩니다. 따라서 DMARC를 SPF와 함께 사용하는 것보다 더 높은 이메일 신뢰도를 제공합니다.
2. 이메일 전달 시
SPF 인증은 SPF 레코드(이메일을 보내려는 서버의 IP 주소)가 포함된 이메일을 다른 서버로 보내는 방식으로 작동합니다. 그러면 다른 서버는 이 IP 주소가 자신들에게 등록되어 있는지 여부를 인증하고 자체 SPF 레코드를 반환하며, 등록되어 있지 않은 경우 요청을 거부합니다.
이제 이메일 전달의 경우 중간 서버의 IP 주소가 보내는 도메인의 SPF 목록에 있다는 보장이 없기 때문에 SPF 인증이 실패할 수 있습니다. 그 결과, 정상적인 이메일에는 DKIM 서명 가 없는 정상적인 이메일은 DMARC 인증에 실패하여 오탐이 발생합니다.
이 도메인에 DKIM이 구성되어 있었다면 오탐이 발생하지 않았을 것입니다.
하지만 왜 그럴까요?
DKIM 서명(d=)은 이메일 본문 자체에 첨부되는 반면, SPF는 'Return-Path' 헤더에 첨부됩니다.
이메일 전달의 경우 이메일 본문을 건드리거나 수정하지 않으므로 이메일 본문에 포함된 DKIM 서명(d=)이 그대로 유지됩니다. 즉, 이메일 본문에 포함된 공개키와 개인키 쌍으로 발신자의 신원을 확인할 수 있고 DMARC 인증이 통과됩니다.
반면 SPF는 이메일 전달 시 변경되는 '반환 경로' 헤더에 첨부됩니다. 따라서 유효성이 확인되지 않아 오탐이 발생합니다.
결론적으로, 이메일 전달로 인해 SPF 인증은 실패하지만 DKIM은 이메일 본문에 첨부되어 있기 때문에 이메일 전달 후에도 살아남습니다. 따라서 DKIM과 함께 DMARC도 설정하는 것이 중요합니다.
3. IP 주소 업데이트 시
이메일을 보내면 수신 서버에서 이메일 헤더를 확인하여 이메일이 변조되었는지 여부를 확인합니다. 변조된 경우 수신 서버는 메시지를 거부하고 알림을 보냅니다.
바로 이때 SPF가 등장합니다. SPF는 사용자의 IP 주소가 발신 서버의 SPF 레코드에 유효한 주소로 등록되어 있는지(즉, 스푸핑된 IP 주소가 없는지) 확인합니다.
IP 주소가 변경되면 SPF 레코드를 새 주소로 업데이트해야 합니다. 이 작업에 걸리는 시간은 IP 주소를 얼마나 자주 변경하는지에 따라 다르며, 대부분의 경우 새 SPF 레코드가 적용되려면 최대 48시간이 걸립니다.
그렇다면 이메일 제공업체가 새 IP를 범위 내에 추가하면 어떻게 될까요? 이 경우 SPF 레코드 업데이트의 전파 시간으로 인해 이메일 전송이 지연될 수 있습니다.
그러나 DKIM과 SPF를 모두 구성한 후에는 DKIM의 암호화 서명을 사용하여 sender@yourdomain.com 메일 서버가 메일을 보낼 수 있는 권한이 있음을 증명함으로써 이 문제를 해결할 수 있습니다.
즉, IP 범위가 변경되더라도 DKIM은 특정 도메인에서 보낸 이메일이 진짜인지, 합법적인지 확인할 수 있습니다.
DKIM 없이 DMARC 사용: 가능한 합격/불합격 시나리오
DKIM과 SPF 메커니즘을 사용하면 스푸핑 방지라는 동일한 목표를 달성하기 위해 서로 다른 두 가지 도구를 효과적으로 사용하게 됩니다.
둘 다 독립적으로 작동하지만 독립적으로 실패할 수도 있습니다. 예를 들어, SPF는 DKIM과 독립적으로 실패할 수 있고, DKIM은 SPF와 독립적으로 실패할 수 있습니다.
다음은 DKIM을 사용하거나 사용하지 않고 DMARC를 설정할 때 발생할 수 있는 네 가지 정상/실패 시나리오입니다:
| 시나리오 | 의미 | 이메일 배달 상태 |
| SPF 적합, DKIM 적합 | 이메일이 합법적인 출처에서 전송되도록 보장합니다. 서버에 유효한 SPF 레코드와 유효한 DKIM 서명이 있으므로 메일을 보낼 수 있는 권한이 있는 서버입니다. | 받은 편지함으로 배달 |
| SPF 정상, DKIM 실패 | 이는 인증된 서버에서 메일을 배달했지만 DKIM 서명의 유효성 검사에 실패했음을 의미합니다. | 스팸 또는 정크 폴더로 배달됨 |
| SPF 실패, DKIM 정상 | 메일의 DKIM 서명은 유효하지만 보내는 서버에 메일을 전달할 수 있는 권한이 없음을 의미합니다. | 스팸 또는 정크 폴더로 배달됨 |
| SPF 실패, DKIM 실패 | SPF와 DKIM이 모두 실패하면 이메일이 스푸핑된 것으로 간주되어 수신자의 DMARC 사용 메일 서버에서 거부됩니다. | 배달되지 않음/거부됨 |
완벽한 DMARC 구현이 필요한 시점입니다!
SPF와 DKIM은 이메일 스푸핑을 방지하기 위해 적절한 DMARC 레코드를 구현하는 데 사용되는 가장 일반적인 이메일 보호 메커니즘입니다. 기존 이메일 인프라에 적절한 DMARC 구현이 적용되면 이메일 메시지가 의도한 대로 전달됩니다. 즉, 스팸 신고가 줄어들고 블랙리스트에서 오탐이 줄어들며 모든 구독자에 대한 전달률 통계가 개선됩니다.
PowerDMARC는 완벽한 DMARC 구현 서비스를 제공하며 도메인에 대해 생성된 DKIM, SPF 및 DMARC 정책을 제공합니다. 따라서 이메일에서 더욱 신뢰할 수 있는 결과를 얻을 수 있습니다.
DKIM 기록 생성 온라인 또는 무료 DMARC 평가판 을 통해 복잡하고 끊임없이 변화하는 이메일 보안에 대한 완벽한 솔루션을 확인하세요.
- 데이터센터 프록시: 프록시 세계의 주력 제품 공개 - 2024년 5월 7일
- 최근 피싱 공격에서 DMARC "없음" 정책을 악용한 킴수키(Kimsuky) - 2024년 5월 6일
- 세금 신고 시즌에 세금 사기 및 IRS 사칭 이메일 공격 증가 - 2024년 5월 2일