SPF 레코드는 어떻게 설정하나요? - SPF 설정 가이드

블로그

SPF 레코드를 설정하고 도메인에 추가하세요. 강력한 이메일 인증 및 보호를 위해 SPF 설정의 오류에 대해 알아보고 PowerDMARC로 모니터링하세요.

by 아호나 루드라

읽기 시간: 8
SPF 레코드는 어떻게 설정하나요? - SPF 설정 가이드
목차-

이메일은 비즈니스에 필수적인 도구이며, 대부분의 사람들이 매일 커뮤니케이션을 위해 이메일에 의존하고 있습니다. 하지만 이메일 사용자 수가 증가함에 따라 스팸, 이메일 스푸핑, 피싱, 이메일 사기 등의 문제도 함께 증가하고 있습니다. 이러한 유형의 공격은 평판 하락, 금전적 손실, 데이터 유출 등 심각한 피해를 초래할 수 있습니다. 이러한 공격을 방지하려면 기업은 이메일 시스템 보안을 위한 사전 조치를 취해야 합니다. 그 방법 중 하나는 SPF 설정을 구성하는 것입니다.

야후 메일, 구글 워크스페이스 등 주요 이메일 제공업체는 이메일 수신자를 잠재적인 사기로부터 보호하기 위해 발신자 정책 프레임워크(SPF), 도메인키 식별 메일(DKIM), 도메인 기반 메시지 인증, 보고 및 준수(DMARC) 등의 이메일 인증 프로토콜을 권장합니다.

주요 내용

  1. SPF와 같은 이메일 인증 프로토콜은 이메일 스푸핑 및 사기를 방지하는 데 필수적인 도구입니다.
  2. 유효한 SPF 레코드를 설정하려면 DNS 구성을 통해 권한이 부여된 이메일 서버를 지정해야 합니다.
  3. 새로운 발신 소스를 인식하고 권한이 없는 사용자를 차단하려면 SPF 레코드를 정기적으로 업데이트하는 것이 중요합니다.
  4. SPF 레코드를 테스트하면 올바르게 구성되고 의도한 대로 작동하는지 확인할 수 있습니다.
  5. SPF는 DMARC와 함께 사용하면 이메일 사기 및 사칭 공격에 대한 강력한 방어 기능을 제공합니다.

이메일 보안의 SPF - 설명 

SPF란?? SPF 는 발신자 정책 프레임워크의 약자입니다. 이메일 인증 프로토콜을 사용하면 도메인에 이메일을 보낼 권한이 있는 서버를 지정할 수 있습니다. SPF는 이메일 서버의 IP 주소를 나열하는 DNS 레코드를 도메인의 DNS 구성에 추가하는 방식으로 작동합니다. 이 레코드는 다른 이메일 서버에 도메인에서 보낸 이메일 중 권한이 부여된 IP 주소에서 오지 않은 이메일은 거부해야 한다고 알려줍니다.

권한이 없는 사용자가 도메인 네임을 사용하여 이메일을 보내지 못하도록 하려면 유효한 SPF 레코드를 설정하는 것이 필수적입니다. 예를 들어 스패머나 공격자가 도메인 네임을 사용하여 스팸 또는 피싱 이메일을 보낼 수 있습니다. 피싱 이메일을 보낼 수 있으며, 이는 평판에 해를 끼치고 차단으로 이어지며 고객과 직원의 보안을 위협할 수 있습니다.

PowerDMARC로 SPF 설정을 간소화하세요!

15일 평가판 시작 데모 예약하기

SPF 구성 요소 

주요 구성 요소 DNS의 SPF 레코드 의 주요 구성 요소는 다음과 같습니다:

  1. 버전 (v=spf1):
    SPF 버전을 지정하며, 항상 v=spf1.
  2. IP4 및 IP6 (ip4: / ip6:):
    도메인에 대해 이메일을 보낼 수 있는 승인된 IPv4 및 IPv6 주소를 나열합니다.
  3. A 및 MX 메커니즘 (a: / mx:):
    • a: 도메인의 A 레코드와 IP가 일치하는 서버의 이메일을 허용합니다.
    • mx: 도메인의 MX(메일 교환) 레코드에 나열된 서버의 이메일을 허용합니다.
  4. 메커니즘 포함 (include:):
    타사 서비스가 도메인을 대신하여 이메일을 보낼 때 유용한 다른 도메인의 SPF 레코드가 발신자에게 권한을 부여할 수 있도록 허용합니다.
  5. 모든 메커니즘 (모두):
    SPF 레코드 끝에 기본 규칙을 설정합니다. 옵션은 다음과 같습니다:

    • -all: 하드 실패(승인되지 않은 IP 거부).
    • ~모두: 소프트 실패(승인되지 않은 IP를 의심스러운 IP로 표시).
    • ?all: 중립(승인되지 않은 IP에 대해 아무런 조치를 취하지 않음).
    • +모두: 통과(모든 IP 허용, 거의 권장하지 않음).
  6. 리디렉션 (redirect=):
    내 도메인을 만드는 대신 다른 도메인의 SPF 레코드를 사용하려는 경우 이를 가리킵니다.
  7. 수정자:
    덜 일반적이지만 미세 조정을 위한 선택적 규칙입니다.

SPF 예시

v=spf1 ip4:192.168.1.1 include:_spf.thirdparty.com -all

이 예에서는 다음 주소의 이메일을 허용합니다. 192.168.1.1 에서 온 이메일은 허용하고 타사 SPF 레코드를 포함하여 다른 IP에서 온 이메일은 거부합니다. -all.

SPF 설정 마스터하기

SPF 설정은 도메인 소유자의 DNS에 있는 SPF 이메일 인증 프로토콜 구성을 말합니다. SPF 설정을 사용하면 합법적인 발신 소스를 인증하여 수신 서버가 진짜 이메일 발신자와 단순히 합법적인 도메인 이름을 사칭하는 발신자를 쉽게 구분할 수 있습니다. 이는 이메일 기반 사이버 공격으로부터 보호하기 위해 이메일 유효성 검사에서 필수적인 단계입니다. 

SPF 레코드 설정 및 추가 방법

SPF 설정은 활성 소스뿐만 아니라 비발송 도메인을 악의적인 사용으로부터 안전하게 보호하는 데에도 필수적입니다. SPF 레코드를 설정하는 과정은 간단하며 다음 단계로 이루어집니다:

1단계: 이메일 서버 결정하기

첫 번째 단계는 도메인에 이메일을 보낼 수 있는 권한이 있는 서버를 결정하는 것입니다. 이러한 서버에는 메일 서버, 사용 중인 타사 이메일 서비스 제공업체 또는 도메인 이름을 사용하여 이메일을 보내는 기타 서버가 포함될 수 있습니다.

2단계: SPF 레코드 생성

인증된 이메일 서버를 식별한 후에는 다음을 사용하여 SPF 레코드를 만들 수 있습니다. SPF 레코드 생성기 도구. SPF 레코드는 도메인의 DNS 구성에 있는 TXT(텍스트) 레코드로, SPF 설정에 필수적인 요소입니다. 다음과 같은 간단한 구문을 사용하여 SPF 레코드를 만들 수 있습니다:

v=spf1 ip4:<IP address> -all

In this example, the “v=spf1” indicates that this is an SPF record, and “ip4:<IP address>” indicates the IP address of the authorized email server. The “-all” at the end indicates that any emails that do not come from authorized IP addresses should be rejected.

3단계: SPF 기록 게시

SPF 레코드를 만든 후에는 도메인의 DNS에 게시해야 합니다. 도메인 관리자는 필요한 DNS 업데이트를 수행하여 프로토콜을 쉽게 활성화할 수 있습니다. DNS 공급업체의 웹사이트에 로그인하여 SPF 레코드가 포함된 새 TXT 레코드를 추가하면 됩니다. 또는 IT 팀이나 호스팅 공급업체에 이 작업을 요청할 수도 있습니다.

4단계: SPF 기록 테스트

SPF 레코드를 게시한 후에는 제대로 작동하는지 테스트하는 것이 중요합니다. 온라인에서 사용할 수 있는 SPF 레코드 검사기를 사용하여 SPF 레코드를 테스트할 수 있습니다(예: MXToolbox에서 제공하는 도구). 이러한 도구는 SPF 레코드가 유효한지 여부와 올바르게 구성되었는지 여부를 알려줍니다.

SPF 기록에 대한 5가지 오해 

인터넷에서 잘못된 결정을 내릴 수 있는 특정 SPF 기록에 관한 속설이 퍼지고 있습니다. 하나씩 짚어보겠습니다: 

1. SPF만으로도 스푸핑을 방지할 수 있습니다. 

이는 사실이 아닙니다. SPF 설정만으로는 스푸핑이나 사칭과 같은 사이버 공격을 막을 수 없습니다. 이를 방지하려면 도메인 소유자가 자신의 도메인에서 보낸 사기성 이메일을 거부할 수 있는 DMARC(도메인 기반 메시지 인증, 보고 및 준수)와 SPF를 함께 사용해야 합니다. 

2. SPF 기록에 +모두 사용 가능

all을 사용하면 모든 서버가 도메인을 대신하여 이메일을 보낼 수 있습니다. 이렇게 하면 SPF 프로토콜의 목적이 무효화됩니다. 대신 도메인에 SPF를 효과적으로 배포하려면 ~all 또는 -all을 사용하는 것이 좋습니다. 

3. 전달된 이메일에 대한 SPF 작동 

우리 모두는 그것이 사실이기를 바랍니다. 하지만 안타깝게도 메일 전달 시나리오에서는 중개 서버의 헤더 정보 변경으로 인해 SPF가 중단될 수 있습니다. 이러한 경우 효과적인 이메일 인증을 위해 DKIM 또는 ARC와 같은 프로토콜이 유용하게 사용될 수 있습니다. 

4. 무제한 DNS 조회가 가능한 SPF 레코드 

RFC는 SPF 레코드에 대해 최대 10회의 DNS 조회를 지정하며, 이를 초과하면 SPF 허용 오류 결과가 발생합니다. 평탄화 또는 가급적이면 SPF 매크로와 같은 SPF 최적화 방법을 사용하여 항상 SPF 한도 내에서 유지되도록 하는 것이 중요합니다.

5. SPF를 사용하면 "설정하고 잊어버릴 수 있습니다!" 

SPF 실수를 하지 마세요! 업데이트된 발신자 목록이 도메인을 대신하여 이메일을 보낼 수 있도록 SPF 레코드를 수시로 업데이트해야 합니다! 이는 합법적인 이메일이 수신자의 서버에 의해 차단되지 않도록 하기 위한 중요한 단계입니다. 

SPF 레코드는 어떻게 작동하나요?

  • 도메인 소유자는 수동으로 또는 도메인을 대신하여 이메일을 보낼 수 있는 발신 소스를 지정하는 온라인 도구를 사용하여 SPF 레코드를 만듭니다. 
  • 이메일이 전송되면 수신자의 서버는 발신자의 DNS에서 DNS 쿼리를 수행하여 SPF 레코드를 조회하고 승인된 출처를 확인합니다. 
  • 일치하는 항목이 있으면 이메일이 받은 편지함에 안전하게 도착하지만, 일치하지 않으면 의심스러운 것으로 플래그가 지정될 수 있습니다. 이는 도메인 소유자가 SPF 레코드에 정의한 작업 한정자(~모두, -모두, ?모두)에 따라 달라집니다. 

정확한 SPF 설정을 위한 팁

다음은 강력한 SPF 레코드 설정을 위한 몇 가지 팁입니다:

  • 모든 인증된 이메일 서버를 포함합니다: 도메인에 대한 이메일을 보낼 수 있는 모든 승인된 이메일 서버를 SPF 설정에 포함해야 합니다. 여기에는 메일 서버, 타사 이메일 서비스 공급업체 또는 도메인 이름을 사용하여 이메일을 보내는 기타 모든 서버가 포함될 수 있습니다.
  • "-all" 메커니즘을 사용합니다: SPF 레코드 끝에 있는 "-all" 메커니즘은 다른 이메일 서버가 승인된 IP 주소에서 오지 않은 이메일을 거부하도록 지시합니다. 이는 권한이 없는 사용자가 도메인 이름을 사용하여 이메일을 보내는 것을 방지하기 위한 중요한 단계입니다.
  • "포함" 메커니즘을 사용합니다: "포함" 메커니즘을 사용하면 다른 도메인의 SPF 레코드를 포함할 수 있습니다. 이 기능은 타사 이메일 서비스 공급업체를 사용하여 도메인에 대한 이메일을 보내는 경우에 유용합니다. 타사 이메일 서비스 제공업체의 SPF 레코드를 SPF 설정에 포함하면 해당 서버에서 보낸 이메일도 인증되도록 할 수 있습니다.
  • "~모두" 메커니즘을 사용하여 테스트합니다: "~모두" 메커니즘은 다른 이메일 서버에 인증된 IP 주소에서 발송되지 않은 이메일을 "소프트 실패"로 표시하도록 지시합니다. 즉, 이러한 이메일은 계속 배달되지만 의심스러운 것으로 표시됩니다. 테스트 중에 이 메커니즘을 사용하여 이메일을 즉시 거부하지 않고도 SPF 레코드가 올바르게 작동하는지 확인할 수 있습니다.
  • SPF 레코드를 최신 상태로 유지: 이메일 인프라가 변경되면 이러한 변경 사항을 반영하도록 SPF 레코드를 업데이트해야 합니다. 여기에는 새 이메일 서버를 추가하거나 오래된 서버를 제거하는 것이 포함될 수 있습니다.

PowerDMARC를 통한 SPF 설정 최적화의 이점

DNS 조회 제한은 이메일 서버에 의해 부과되는 제한 사항입니다. 이 제한은 이메일의 SPF 레코드를 확인할 때 수행할 수 있는 DNS 조회 횟수를 제한합니다. 이 제한은 일반적으로 10개의 DNS 조회로 설정되며, 이메일 서버가 이 제한을 초과하면 SPF가 중단되어 이메일 전달성 문제가 발생할 수 있습니다.

SPF 평탄화 은 이메일의 SPF 레코드를 확인하는 데 필요한 DNS 조회 횟수를 줄이는 데 사용되는 기술입니다. 여러 개의 SPF 레코드를 단일 레코드로 결합하는 방식으로 작동하므로 이메일 인증에 필요한 DNS 조회 횟수를 줄일 수 있습니다.

다음은 SPF 평탄화가 어떻게 도움이 되는지 보여주는 예시입니다:

회사에서 여러 타사 서비스를 사용하여 이메일을 보낸다고 가정해 보겠습니다. 여기에는 마케팅 자동화 소프트웨어, 헬프데스크 시스템 및 소규모 비즈니스를 위한 CRM 도구. 이러한 각 서비스는 DNS SPF 레코드의 IP 주소 목록 또는 각 서비스에 대한 개별 SPF 레코드에 추가되며, 이러한 서비스를 모두 도메인의 SPF 레코드에 포함하면 DNS 조회 제한인 10개를 초과하게 됩니다.

SPF 플래트닝을 사용하면 이러한 중복 IP를 모두 단일 포함으로 결합할 수 있습니다. 즉, 이메일 서버가 SPF 레코드를 확인하기 위해 DNS 조회를 수행할 때 개별 SPF 레코드와 IP 주소 각각에 대해 여러 번 조회할 필요 없이 한 번 또는 몇 번만 조회하면 됩니다.

요약하자면 

SPF 설정은 이메일 시스템을 보호하고 이메일 사기를 방지하는 데 중요한 단계입니다. SPF 레코드를 생성하여 도메인의 DNS 구성에 게시하면 도메인에서 보내는 이메일이 인증되었는지 확인하고 권한이 없는 사용자가 도메인 이름을 사용하여 이메일을 보내는 것을 방지할 수 있습니다. 위에 설명된 팁에 따라 강력한 SPF 레코드를 생성하고 이메일 시스템을 보호할 수 있습니다.

SPF 레코드 설정에 관한 자주 묻는 질문

큰 SPF를 분할해서 사용할 수 있나요?

SPF 문자 수 제한 및 동일한 도메인에 대해 두 개 이상의 SPF 레코드를 게시하는 것에 대한 추가 제한으로 인해 큰 SPF 레코드를 작은 레코드로 분할하는 것은 권장되지 않습니다. 대신 다음 전략을 시도해 보세요: 

  1. SPF 기록을 간단하고 간결하게 작성하세요 
  2. 더 적은 수의 인클루드 사용 및 IP 범위 결합 
  3. SPF 관리 솔루션 및 타사 서비스 사용

SPF 레코드를 사용하는 이유는 무엇인가요?

SPF 레코드는 승인된 출처만 도메인을 대신하여 이메일을 보낼 수 있도록 하여 외부 노출 및 사칭 시도를 제한하는 데 사용됩니다. 

SPF는 언제 필요한가요?

이메일 인증 프로토콜인 SPF는 이메일 통신의 진위 여부를 확인하고 최신 업계 규정을 준수하기 위해 필요합니다. 자세히 알아보기 SPF 구성의 중요성.

SPF 기록을 최적화하는 방법은?

DNS에 액세스하여 필요한 변경을 수행하여 SPF 레코드를 수동으로 최적화할 수 있습니다. 그러나 보다 번거롭지 않고 쉬운 옵션은 SPF 레코드 관리를 위한 플래트닝 또는 매크로 최적화를 제공하는 타사 SPF 최적화 서비스를 배포하는 것입니다. 

내 SPF 기록이 설정되었는지 어떻게 알 수 있나요?

온라인에서 SPF 기록을 확인할 수 있습니다. SPF 레코드 조회 도구 을 사용하여 SPF 레코드가 올바르게 설정되었는지 확인할 수 있습니다.

아호나 루드라의 최신 포스트 (전체 보기)
BIMI 기록: BIMI 레코드 생성 및 게시를 위한 5단계비미 레코드 게시서비스형 이메일 스푸핑서비스로서의 이메일 스푸핑