피싱 및 이메일 기반 공격이 점점 더 기승을 부리고 있으므로, 다가오는 사이버 공격에 대한 방어를 강화하기 위해 DMARC 설정을 구성해야 합니다. DMARC(도메인 기반 메시지 인증 보고 및 준수) 프로토콜을 설정하는 것은 이메일 규정 준수를 위한 첫 번째 단계입니다. 이를 달성하는 가장 빠른 방법은 호스팅 제공업체의 도움을 받아 DNS 레코드를 생성하고 이를 게시하는 것입니다.
구성하려면 DMARC을 설정하려면 먼저 DMARC 레코드를 만들어야 합니다. 복잡하게 들릴 수 있지만 DMARC를 설정하는 과정은 비교적 간단합니다!
DMARC 설정 설명
DMARC 설정은 이메일 스푸핑, 피싱 및 이메일 사기를 방지하는 데 도움이 되는 이메일 인증 프로세스입니다. 이메일 통신의 진위 여부를 확인하기 위해 DMARC 설정은 SPF(발신자 정책 프레임워크) 및 DKIM(도메인키 식별 메일)과 같은 다른 이메일 인증 시스템과 함께 작동합니다.
DMARC를 구성해야 하는 이유는 무엇인가요?
피싱 공격의 90%가 이메일을 매개체로 사용하므로 이메일 인증은 필수입니다. FBI의 2020년 인터넷 범죄 신고 센터(FBI IC3 보고서 2020)에 따르면 미국에서 이메일 기반 공격에 대한 불만이 28,500건 접수되었다고 합니다. 이로 인해 DMARC는 즉시 주목받게 되었습니다.
알고 계셨나요?
- 2020년 전 세계 조직 도메인의 75%가 스푸핑된 피싱 이메일을 전송하기 위해 피싱 이메일 피해자에게
- 피싱 캠페인의 74%가 성공했습니다.
- BEC 사용 빈도가 작년에 비해 15% 증가했습니다.
- IBM은 작년에 5개 기업 중 1개 기업이 악성 이메일로 인한 데이터 유출을 경험했다고 보고했습니다.
도메인 확인 도메인을 확인하여 이메일 사기로부터 얼마나 보호받고 있는지 지금 바로 확인하세요!
DMARC 설정 요구 사항
DMARC 레코드를 설정하고 이를 사용하기로 결정한 경우 구현으로 넘어가기 전에 갖추어야 할 몇 가지 전제 조건이 있습니다.
- DNS 관리 콘솔에 액세스해야 합니다.
- 승인된 이메일 발신자를 모두 인식하고 있는지 확인하세요.
- DNS에 게시된 SPF 및/또는 DKIM 레코드
DMARC 설정의 기본 요소: SPF 및 DKIM 정렬
구성하려면 DMARC 정책 설정을 구성하려면 발신자 정책 프레임워크(SPF) 또는 도메인키 식별 메일(DKIM) 또는 둘 다를 구현해야 합니다.
SPF 는 도메인에서 아웃바운드 메일을 보낼 수 있는 IP 주소 또는 발신 소스를 메일 서버에 알려줍니다. DKIM 은 발신 메일에 디지털 서명을 추가하여 메시지 변조를 방지합니다. 이렇게 하면 피싱 사기에서 브랜드를 사칭하여 스팸 메시지 및 사기 이메일이 이메일 클라이언트에 도달하는 것을 방지할 수 있습니다.
도메인 정렬을 구성하여 보낸 사람: 도메인을 사용하여 SPF 및 DKIM 헤더 필드가 부분적으로 일치하는 경우 통과하도록 하거나, 대신 정확히 일치하도록 선택하여 보다 엄격한 인증을 선택할 수 있습니다.
DMARC는 어떻게 설정하나요? 단계별 가이드
DMARC DNS 설정을 시작하려면 아래 설정 단계를 따르세요:
1단계: DMARC 레코드 생성
먼저 정책을 정의하고 구현을 설정하는 DNS 레코드를 만드는 것으로 시작합니다.
무료 레코드를 만들려면 DMARC 생성기 도구를 사용하세요. 도구 화면을 열면 입력해야 하는 몇 가지 필수 기준이 있습니다.
2단계: 이메일에 적합한 DMARC 정책 선택하기
p=정책 태그는 DMARC 설정에서 구성해야 하는 필수 태그입니다. 이를 건너뛰면 레코드가 유효하지 않습니다.
p=정책 태그는 DMARC 설정에서 구성해야 하는 필수 태그입니다. 이를 건너뛰면 레코드가 유효하지 않습니다.
이메일이 스푸핑되는 것을 방지하려면 다음과 같이 구성해야 합니다. DMARC 정책 를 설정해야 합니다. 그러나 전체 적용을 적용하기 전에 이메일을 모니터링하고 싶다면 '없음' 정책을 선택할 수 있습니다.
3단계: 보고를 활성화하고 "생성"을 클릭합니다.
나머지 기준은 필수는 아니지만 DKIM 및 SPF에 대한 정렬 유연성을 설정하거나 DMARC 보고를 사용하도록 설정하려는 경우 사용할 수 있습니다. RUA 및 RUF 보고서를 사용하면 메일 흐름과 인증 결과를 추적하여 불일치를 신속하게 감지할 수 있습니다.
마지막으로 '생성' 버튼을 클릭하여 DMARC 설정을 마무리하고 기록 생성 프로세스를 완료합니다.
4단계: 레코드 설정 게시 및 유효성 검사
TXT 레코드 생성을 완료했으면 "복사" 버튼을 사용하여 구문을 직접 복사한 다음 DNS 관리 콘솔로 이동합니다. DNS에 레코드를 붙여넣어 DMARC 설정을 완료합니다.
게시하는 방법에 대한 자세한 가이드를 읽어보세요. DMARC 레코드 를 게시하는 방법을 자세히 알아보세요.
DMARC 설정 예시
다음은 일반적인 DMARC 설정의 예입니다:
v=DMARC1; p=reject; adkim=s; aspf=s; rua=mailto:mymail@domain.com; ruf=mailto:mymail@domain.com; pct=100; fo=0;
참고: 이메일 인증 여정을 시작하는 동안에는 엄격한 정책으로 전환하기 전에 이메일 흐름을 모니터링하고 문제를 해결하기 위해 DMARC 정책(p)을 거부 대신 없음으로 유지할 수 있습니다.
레코드 구문 폭로하기
DMARC 설정의 구문은 이메일 인증 방법과 인증 후 취할 조치를 결정하므로 구현에서 가장 중요한 부분입니다. 몇 가지 주요 메커니즘을 살펴보겠습니다:
- "v" 필드는 DMARC의 프로토콜 버전인 DMARC1을 결정합니다.
- "p" 필드는 없음/거부/검역 정책으로 설정할 수 있는 필수 DMARC 정책 필드입니다.
- "rua" 집계 피드백 및 "ruf" 포렌식 보고서 필드는 수신 ESP가 수신자에게 보낸 이메일에 대한 피드백을 제공하는 데 도움이 되는 DMARC 보고 옵션으로, 정의된 이메일 주소나 전용 사서함으로 전송됩니다.
이는 몇 가지 예에 불과하며, 자세한 내용은 DMARC 태그에 대한 자세한 블로그에서 살펴볼 수 있습니다.
DMARC 레코드 설정 확인
DMARC를 설정한 후에는 구성을 확인하여 프로토콜이 필요에 따라 제대로 작동하는지 확인해야 합니다. 적절한 확인과 모니터링이 이루어지지 않으면 이메일 인증이 매우 어려워지고 오탐 또는 실패로 이어져 메일 전송 성능에 영향을 미칠 수 있습니다.
설정을 확인하기 위해 PowerDMARC의 DMARC 검사 도구를 무료로 사용할 수 있습니다. 이 도구는 레코드의 유효성 상태를 보여줄 뿐만 아니라 오류를 강조 표시하고 개선 사항을 제안하여 규정 준수를 더 빨리 달성할 수 있는 즉각적이고 효과적인 도구입니다!
사용하려면:
- 대상 상자에 도메인 이름을 입력합니다(예: 웹사이트 URL이 다음과 같은 경우 https://company.com 인 경우 도메인 이름은 company.com)
- "조회" 버튼을 클릭합니다.
- 화면에 표시되는 결과 보기
더 빠르고 정확하며 번거로움 없는 경험을 위해 수동 인증의 대안으로 이 인증 방법을 권장합니다.
DKIM 또는 SPF 없이 DMARC를 설정할 수 있나요?
아니요. 이메일이 인증되도록 하려면 두 가지 중 하나를 구성해야 합니다. 보안을 극대화하기 위해 두 가지를 모두 설정하는 것이 권장되지만, 이는 전적으로 선택 사항입니다.
기술 자료에서 두 가지 접근 방식에 대해 자세히 다루었습니다.
DMARC 설정의 이점 및 용도
DMARC 설정은 다음과 같은 상황에서 유용할 수 있습니다:
- 승인된 발신자만 이메일 도메인을 대신하여 이메일을 보낼 수 있도록 하려면 다음과 같이 하세요.
- 이메일 피싱 및 직접 도메인 스푸핑 공격을 방지하려면 다음과 같이 하세요.
- 사용자를 대신하여 이메일을 보내는 IP 주소 또는 출처를 확인하려면 다음과 같이 하세요.
- 스팸성 메시지가 수신자에게 전달되는 것을 방지하려면 다음과 같이 하세요.
- 합법적인 이메일 트래픽의 이메일 전송률 개선하기
가장 적합한 DMARC 설정은 무엇인가요?
이메일 기반 공격으로부터 최대한의 보호를 원하는 경우 가장 좋은 DMARC 설정은 p=거부입니다(여기서 p는 레코드 정책을 지정하는 데 사용되는 메커니즘입니다). 적절한 DMARC 설정은 원하는 적용 수준(수신자가 DMARC에 실패한 이메일을 얼마나 엄격하게 처리할 것인지)에 따라 달라집니다.
모니터링만 하려면 '없음' 정책으로 DMARC를 설정할 수 있으며, 격리 또는 스팸 폴더에 있는 승인되지 않은 이메일을 삭제하거나 수락하기 전에 검토하려면 '격리'를 구성할 수 있습니다.
DMARC를 활용하여 도메인 스푸핑 방지
도메인이 스푸핑되는 것을 방지하고 피싱 및 BEC 공격을 차단하도록 DMARC를 구성하려는 경우 DMARC 레코드를 생성할 때 다음 기준을 선택하는 것이 좋습니다:
DMARC 정책을 다음과 같이 설정합니다. p=reject
이것은 무엇을 의미하나요?
조직에서 '거부' DMARC 설정을 선택하여 DMARC 적용을 구성하면 도메인에서 보낸 이메일 메시지가 DMARC 인증에 실패할 때마다 악성 이메일이 이메일 수신자의 받은 편지함으로 전달되지 않고 수신 이메일 서버에서 즉시 거부됩니다.
DMARC를 끄려면 어떻게 하나요?
도메인에 대한 이메일 인증을 해제하면 도메인이 광범위한 사이버 공격에 취약해지고 사이버 범죄자가 도메인을 사칭할 수 있는 공개 액세스를 제공하므로 권장하지 않거나 권장하지 않는 것이 좋습니다. 이를 고려한 후에도 프로토콜을 비활성화하려는 경우 아래 단계를 따르세요:
- DNS 등록기관의 관리 콘솔에 액세스합니다.
- 고급 DNS 편집기로 이동하여 DNS 설정을 편집합니다.
- DMARC를 비활성화할 도메인을 찾습니다.
- DMARC TXT 레코드 삭제
- 변경 사항을 저장하고 변경 사항이 반영될 때까지 잠시 기다립니다.
콘솔에 액세스할 수 없는 경우 도메인 등록기관에 문의하여 레코드를 삭제하는 데 도움을 받을 수도 있습니다.
DMARC에 대한 DNS 항목을 삭제하면 특정 도메인에 대한 프로토콜이 자동으로 비활성화됩니다. 그러나 DMARC를 사용하도록 설정한 도메인이 여러 개 있는 경우에는 해당 도메인의 DNS 항목을 수동으로 삭제해야 조직에서 비활성화할 수 있습니다.
PowerDMARC로 간편하게 DMARC 설정하기
언제 계정을 생성하면 계정을 만들면 당사가 프로토콜 구현 및 설정을 처리합니다. 또한 도메인과 이메일의 상태를 관리 및 모니터링하고, 집계 보고서를 분석하며, 전용 대시보드에서 인증 결과를 정리합니다.
수동 설정의 번거로움을 겪고 싶지 않다면 15일 무료 체험을 통해 프로세스를 자동화할 수 있습니다. 이메일 인증의 이점을 누리고 도메인을 효과적으로 보호할 수 있는 방식으로 DMARC를 설정하려면 다음에 가입하세요. DMARC 분석기 지금 가입하세요!
- SPF 허용 오류 수정: SPF 너무 많은 DNS 조회 제한 극복하기 - 2024년 4월 26일
- DMARC 레코드를 3단계로 게시하는 방법은 무엇인가요? - 2024년 4월 2일
- DMARC가 실패하는 이유는 무엇인가요? 2024년 DMARC 장애 수정하기 - 2024년 4월 2일