SPF 기록을 최적화하는 방법은?
by
읽기 시간: 6 분
이 글에서는 도메인에 맞게 SPF 레코드를 쉽게 최적화하는 방법을 살펴봅니다. 고객, 파트너 및 직원 간에 메시지를 주고받을 수 있는 이메일 도메인을 소유하고 있는 기업 및 소규모 비즈니스의 경우 받은 편지함 서비스 제공업체에서 설정한 SPF 레코드가 기본적으로 존재할 가능성이 높습니다. 기존 SPF 레코드가 있든 새 레코드를 만들어야 하든 상관없이 이메일 전송 문제를 일으키지 않도록 도메인에 맞게 SPF 레코드를 올바르게 최적화해야 합니다.
일부 이메일 수신자는 SPF를 엄격하게 요구하므로 도메인에 대해 게시된 SPF 레코드가 없는 경우 수신자의 받은 편지함에서 이메일이 스팸으로 표시될 수 있습니다. 또한 SPF는 도메인을 대신하여 이메일을 보내는 승인되지 않은 소스를 탐지하는 데 도움이 됩니다.
먼저 SPF란 무엇이며 왜 필요한지 이해해 보겠습니다.
주요 내용
- SPF는 이메일을 보낼 때 인증된 IP 주소를 지정하여 이메일 스푸핑을 방지하는 데 도움이 되는 중요한 이메일 인증 프로토콜입니다.
- 적절한 이메일 전송을 보장하고 스팸 분류를 방지하려면 도메인의 DNS에 올바른 형식의 SPF 레코드를 게시하는 것이 필수적입니다.
- SPF 구성 시 DNS 조회 제한 10개를 초과하면 오류가 발생하고 이메일 전송 문제가 발생할 수 있습니다.
- SPF 레코드를 정기적으로 확인하고 최적화하면 구문 오류 및 동일한 도메인에 대한 여러 개의 SPF 레코드와 같은 일반적인 문제를 방지하는 데 도움이 됩니다.
- 자동화된 도구를 사용하면 이메일 보안 표준을 효율적으로 충족하기 위해 SPF 레코드를 관리하고 최적화하는 프로세스를 간소화할 수 있습니다.
발신자 정책 프레임워크(SPF)
SPF는 기본적으로 도메인에서 이메일을 보낼 수 있는 권한이 있는 IP 주소를 지정하는 표준 이메일 인증 프로토콜입니다. 이 프로토콜은 발신자 주소를 해당 도메인의 DNS에 게시된 특정 도메인의 승인된 발신 호스트 및 IP 주소 목록과 비교하여 작동합니다.
SPF는 DMARC(도메인 기반 메시지 인증, 보고 및 준수)와 함께 이메일 전송 중에 위조된 발신자 주소를 탐지하고 스푸핑 공격, 피싱 및 이메일 사기를 방지하도록 설계되었습니다.
호스팅 공급업체가 도메인에 통합한 기본 SPF는 도메인에서 이메일을 보낼 타사 공급업체가 여러 곳 있는 경우 도메인에서 보낸 이메일이 SPF에 대해 인증되도록 보장하지만, 이 기존 SPF 레코드를 요구 사항에 맞게 조정하고 수정해야 한다는 점을 알아두는 것이 중요합니다. 어떻게 할 수 있을까요? 가장 일반적인 두 가지 방법을 살펴보겠습니다:
- 새로운 SPF 기록 수립
- 기존 SPF 기록 최적화
PowerDMARC로 SPF 기록 최적화를 간소화하세요!
SPF 기록을 최적화하는 방법에 대한 지침
새로운 SPF 기록 만들기
SPF 레코드를 만드는 것은 도메인의 DNS에 TXT 레코드를 게시하여 도메인에 대한 SPF를 구성하는 것입니다. 이는 SPF 레코드 최적화 방법을 시작하기 전에 반드시 거쳐야 하는 필수 단계입니다. 인증을 막 시작하여 구문에 대해 잘 모르는 경우 무료 온라인 SPF 레 코드 생성기를 사용하여 도메인에 대한 SPF 레코드를 생성할 수 있습니다.
올바른 구문을 사용하는 SPF 레코드 항목은 다음과 같이 표시됩니다:
v=spf1 ip4:38.146.237 include:example.com -all
| v=spf1 | 사용 중인 SPF 버전을 지정합니다. |
| IP4/IP6 | 이 메커니즘은 도메인에서 이메일을 보낼 수 있는 권한이 있는 유효한 IP 주소를 지정합니다. |
| 포함 | 이 메커니즘은 수신 서버에 지정된 도메인의 SPF 레코드 값을 포함하도록 지시합니다. |
| -all | 이 메커니즘은 SPF를 준수하지 않는 이메일이 거부되도록 지정합니다. 이 태그는 SPF 레코드를 게시하는 동안 사용할 수 있는 권장 태그입니다. 그러나 SPF 소프트 실패의 경우 ~로 대체할 수 있습니다(규정을 준수하지 않는 이메일은 소프트 실패로 표시되지만 여전히 허용됨). 또는 모든 서버가 도메인을 대신하여 이메일을 보낼 수 있도록 지정하는 +로 대체할 수 있지만 이는 강력히 권장하지 않습니다. |
도메인에 이미 SPF를 구성한 경우 무료 SPF 레코드 검사기를 사용하여 SPF 레코드를 조회 및 검증하고 문제를 감지할 수도 있습니다.
SPF 구성 시 일반적인 문제와 오류
1) 10 DNS 조회 제한
도메인 소유자가 도메인에 SPF 인증 프로토콜을 구성하고 채택하는 동안 직면하는 가장 일반적인 문제는 SPF에 10개를 초과할 수 없는 DNS 조회 수 제한이 있다는 것입니다. 여러 타사 공급업체에 의존하는 도메인의 경우 10개의 DNS 조회 제한을 쉽게 초과하여 SPF가 중단되고 SPF PermError가 반환됩니다. 이러한 경우 수신 서버는 자동으로 SPF 레코드를 무효화하고 차단합니다.
DNS 조회를 시작하는 메커니즘: MX, A, 포함, 리디렉트 수정자
2) SPF 무효 조회
무효 조회는 NOERROR 응답 또는 NXDOMAIN 응답(무효 응답)을 반환하는 DNS 조회를 말합니다. SPF를 구현하는 동안 DNS 조회가 처음부터 무효 응답을 반환하지 않도록 하는 것이 좋습니다.
3) SPF 재귀 루프
이 오류는 지정한 도메인의 SPF 레코드에 하나 이상의 INCLUDE 메커니즘과 관련된 재귀적 문제가 포함되어 있음을 나타냅니다. 이 오류는 INCLUDE 태그에 지정된 도메인 중 하나에 원래 도메인의 INCLUDE 태그가 포함된 SPF 레코드가 있는 도메인이 포함되어 있을 때 발생합니다. 이로 인해 이메일 서버가 SPF 레코드에 대한 DNS 조회를 계속 수행하게 되는 무한 루프가 발생합니다. 이로 인해 결국 DNS 조회 횟수 제한인 10회를 초과하여 이메일이 SPF에 실패하게 됩니다.
4) 구문 오류
도메인의 DNS에 SPF 레코드가 있을 수 있지만 구문 오류가 포함되어 있으면 아무 소용이 없습니다. 도메인 이름 또는 메커니즘 이름을 입력할 때 SPF TXT 레코드에 불필요한 공백이 포함되어 있으면 수신 서버가 조회를 수행하는 동안 여분의 공백 앞의 문자열이 완전히 무시되어 SPF 레코드가 무효화될 수 있습니다.
5) 동일한 도메인에 대한 여러 SPF 레코드
단일 도메인에는 DNS에 SPF TXT 항목이 하나만 있을 수 있습니다. 도메인에 SPF 레코드가 두 개 이상 포함되어 있으면 수신 서버가 모든 레코드를 무효화하여 이메일이 SPF에 실패하게 됩니다.
6) SPF 기록의 길이
DNS에서 SPF 레코드의 최대 길이는 255자로 제한됩니다. 그러나 이 제한을 초과할 수 있으며 SPF용 TXT 레코드에는 DNS 쿼리 응답에 맞게 512자 제한을 초과하지 않는 범위 내에서 여러 문자열을 함께 연결하여 포함할 수 있습니다( RFC 4408에 따름). 이 규정은 나중에 개정되었지만 이전 DNS 버전을 사용하는 수신자는 긴 SPF 레코드가 포함된 도메인에서 보낸 이메일의 유효성을 검사할 수 없습니다.
SPF 기록 최적화
SPF 기록을 즉시 수정하려면 다음 SPF 모범 사례를 사용할 수 있습니다:
- SPF 레코드에 이메일 소스를 왼쪽에서 오른쪽으로 중요도가 낮은 순서대로 입력해 보세요.
- DNS에서 더 이상 사용되지 않는 이메일 소스 제거
- A 및 MX 대신 IP4/IP6 메커니즘 사용
- 포함 메커니즘의 수를 가능한 한 적게 유지하고 중첩된 포함을 피하세요.
- DNS에 동일한 도메인에 대해 두 개 이상의 SPF 레코드를 게시하지 마세요.
- SPF 레코드에 중복 공백이나 구문 오류가 없는지 확인하세요.
SPF 평탄화에 대한 참고 사항:
SPF 플래트닝를 사용하면 INCLUDE와 같은 메커니즘을 단일 IP 주소 목록으로 변환하여 SPF 레코드의 DNS 조회 횟수를 크게 줄일 수 있으므로 10개의 DNS 조회 제한을 피할 수 있습니다. 하지만 항상 권장되는 것은 아닙니다:
- 동적 인프라: 이메일 서비스 제공업체가 전송 IP를 업데이트하는 경우 매번 플랫화된 SPF 레코드를 수동으로 업데이트해야 하므로 유지 관리가 번거로워집니다.
- 레코드 길이: 평탄화하면 지나치게 긴 SPF 레코드가 생성되어 DNS 쿼리 제한을 초과하여 오류가 발생할 수 있습니다.
솔루션: SPF 기록을 평탄화하기로 선택한 경우 자동화된 SPF 평탄화 도구 을 사용하여 프로세스를 간소화하고 기록을 동적으로 업데이트할 수 있습니다.
PowerSPF로 간편하게 SPF 기록 최적화하기
위에서 언급한 모든 수정 사항을 구현하여 SPF 기록을 수동으로 최적화하거나, 번거로움을 잊고 모든 작업을 자동으로 수행하는 동적 PowerSPF에 의존할 수 있습니다! PowerSPF는 클릭 한 번으로 SPF 기록을 최적화할 수 있도록 도와줍니다:
- 간편하게 전송 소스 추가 또는 제거
- DNS를 수동으로 변경할 필요 없이 레코드를 쉽게 업데이트하세요.
- 버튼 클릭 한 번으로 최적화된 자동 SPF 기록 얻기
- 항상 10개의 DNS 조회 제한을 유지하세요.
- PermError 완화 성공
- SPF 레코드 구문 오류 및 구성 문제는 잊어버리세요.
- 사용자를 대신하여 SPF 제한을 해결해야 하는 부담을 덜어드립니다.
지금 바로 PowerDMARC에 가입하여 SPF 제한을 영원히 없애세요!
사이버 보안 전문가, CEO PowerDMARC
마이담은 15년 이상의 업계 경력을 가진 기술 기업가이자 사이버 보안 전문가, PowerDMARC의 CEO 겸 설립자입니다. 마이담은 맨체스터 대학교에서 글로벌 MBA를 취득했으며 CISSP, CISM, CRISC, ISC2 CCSP를 비롯한 다양한 전문 자격증을 보유하고 있습니다.
마이탐 알 라와티의 최신 글 (전체 보기)
- DMARC 레코드를 생성하고 게시하는 방법 - 2025년 3월 3일
- 2025년에 "SPF 기록을 찾을 수 없음"을 수정하는 방법 - 2025년 1월 21일
- DMARC 보고서 읽는 방법 - 2025년 1월 19일
