도메인 소유자는 종종 이메일 인증 여정이 시행(DMARC p=rject)에서 끝난다고 가정하는 실수를 저지르곤 합니다. p=거부 이후의 단계가 도메인의 전반적인 이메일 보안 강도를 결정하는 중요한 단계라는 사실을 잘 알지 못합니다. 이메일 보안 자세를 결정하는 중요한 단계입니다. 스푸핑 및 피싱 공격에 대한 지속적인 보호를 위해서는 시행 이후부터 이메일 보안 전략을 수립하는 것이 필수적입니다. 여기에는 이메일 인증 설정의 전반적인 상태를 확인하기 위한 지속적인 모니터링, 보고 및 관리가 포함됩니다.
p=거부 정책 활성화라는 목표에 도달한 후에도 DMARC의 여정이 끝나지 않은 이유를 알아보세요.
p=거부란 무엇인가요?
DMARC DMARC 정책 에는 배포할 수 있는 3가지 확실한 시행 모드가 있습니다:
도메인 소유자가 스푸핑되거나 피싱 이메일 을 차단할 수 있습니다. 이메일 기반 공격 벡터로부터 도메인을 보호하기 위해 DMARC를 활용하려는 경우 p=거부가 적합한 정책 모드일 수 있습니다.
p=거부 모드를 활성화하는 방법은 무엇인가요?
DMARC에 대해 p=거부 정책을 사용하려면 아래 예시와 같이 도메인의 DNS 설정에서 DMARC DNS 레코드를 편집하기만 하면 됩니다:
이전 기록v=DMARC1; p=검역;
편집된 레코드: v=DMARC1; p=reject;
편집한 레코드의 변경 사항을 저장하고 DNS가 변경 사항을 처리할 수 있도록 시간을 줍니다.
호스팅된 DMARC 기능을 사용하는 PowerDMARC 고객인 경우, DNS에 액세스할 필요 없이 플랫폼에서 직접 정책 설정의 '거부' 옵션을 클릭하기만 하면 이전 모드에서 p=거부로 DMARC 정책 모드를 변경할 수 있습니다.
거부 시 DMARC와 관련된 잠재적 위험
도메인 소유자는 프로토콜 배포 프로세스를 서두르고 가능한 한 빨리 시행되기를 기대하는 경우가 많습니다. 하지만 이는 권장되지 않습니다. 그 이유를 설명하겠습니다:
- 매우 빠른 속도로 시행을 전환하면 이메일 전달성 문제가 발생할 수 있습니다.
- 합법적인 이메일 메시지의 손실로 이어질 수 있습니다.
- 자신의 도메인 외부에서 보낸 이메일에 대해 DMARC 실패가 발생할 수 있습니다.
p=거부에 안전하게 도달하는 방법?
거부 정책에는 자체 경고 및 면책 조항이 포함되어 있지만 다양한 이메일 사기 공격을 방지하는 데 효과적임은 부인할 수 없습니다. 이제 안전한 수신 거부로 전환하는 방법을 살펴보겠습니다:
p=none으로 시작
강제적인 정책으로 시작하는 대신 보다 유연하고 자유로운 정책으로 시작하는 것을 적극 권장하며, 바로 이것이 바로 p=none의 기능입니다. 이 정책은 보호 측면에서 큰 역할을 하지는 못하지만 구현 여정에 도움이 되는 훌륭한 모니터링 도구로 사용할 수 있습니다.
DMARC 보고 활성화
이메일 채널을 모니터링하면 잘못 구성된 프로토콜로 인한 원치 않는 전송 실패를 방지할 수 있습니다. 오류를 시각화하여 감지하고 더 빠르게 문제를 해결할 수 있습니다.
DMARC 보고 는 이메일 인증 정책의 효과를 파악하는 데 도움이 될 수 있습니다.
이메일 인증이 만병통치약은 아니지만, 보안을 위한 효과적인 도구가 될 수 있습니다. DMARC 보고를 통해 노력이 효과가 있는지, 전략을 조정해야 할 부분이 있는지 확인할 수 있습니다.
보고서에는 두 가지 유형이 있습니다:
- 애그리게이트(RUA)는 이메일 전송 소스, 발신자의 IP 주소, 조직 도메인 및 지리적 위치를 추적하는 데 도움이 되도록 설계되었습니다.
- 포렌식(RUF)은 스푸핑과 같은 포렌식 이벤트가 발생했을 때 인시던트 알림 보고서로 작동하도록 설계되었습니다.
- 둘 다 구성 SPF 및 DKIM 과 함께 DMARC
DMARC 구현과 관련하여 너무 많은 요리사가 국물을 망치지 않습니다. 오히려 보안 전문가들은 보호 기능을 강화하고 오탐 가능성을 낮추기 위해 DMARC를 SPF 및 DKIM과 함께 사용할 것을 권장합니다. 또한 원치 않는 DMARC 실패를 방지할 수 있습니다.
DMARC에는 다음 중 하나가 필요합니다. SPF 또는 DKIM 이 필요합니다.
이는 거부 정책을 안전하게 구현하는 데 중추적인 역할을 하며, SPF가 실패하고 DKIM이 통과하거나 그 반대의 경우에도 MARC가 의도한 메시지에 대해 통과하도록 보장합니다.
모든 발신 소스 포함
SPF 레코드에서 발신 소스를 누락하면 원치 않는 DMARC 실패를 피하려고 할 때 특히 큰 피해를 입을 수 있습니다. 모든 이메일 전송 소스(타사 이메일 공급업체 및 다음과 같은 서비스 제공업체 포함)의 목록을 작성하는 것이 중요합니다. Gmail, Microsoft O365, Yahoo Mail, Zoho 등)
이는 DMARC와 함께 SPF만 사용하는 경우 특히 중요합니다. 발신 소스를 추가하거나 제거할 때마다 SPF 레코드에 동일한 변경 사항이 반영되어야 합니다.
p=거부 후에는 어떻게 되나요?
p=reject에 성공적으로 도달하면 다음을 기대할 수 있습니다:
- 이메일 보안 시행: SPF 및 DKIM 인증 검사를 모두 통과한 이메일(또는 DMARC 설정에 따라 적어도 하나 이상)만 수신자에게 전달됩니다. 이러한 검사에 실패한 이메일은 거부되며 의도한 받은 편지함에 도달하지 못합니다.
- 스푸핑 및 피싱 공격 감소: p=거부에 도달하면 자신의 도메인에 대한 직접 도메인 스푸핑 및 이메일 피싱 공격의 위험이 최소화됩니다.
- 도메인 사칭 위험 감소: DMARC를 적용하면 도메인 사칭의 위험도 최소화하여 공격자가 도메인 이름을 위조하여 악성 이메일을 대신 보내는 데 악용하는 것을 방지할 수 있습니다.
p=거부 이후에도 DMARC 여정을 계속해야 하는 이유는 무엇인가요?
p=거부를 활성화한다고 해서 도메인이 모든 잠재적 위협과 새로운 위협을 마술처럼 제거하지는 않습니다! 단지 방어 능력이 더 좋아졌을 뿐입니다. 이것이 바로 p=reject를 설정한 직후에 DMARC 여정을 중단해서는 안 되는 이유입니다:
- 이메일 전달성 문제: p=reject에 도달한 후 이메일 트래픽을 면밀히 모니터링하지 않으면 이메일 전달률 문제가 발생할 수 있습니다.
- 새로운 공격 벡터: 위협 행위자들은 때때로 새롭고 정교한 사이버 공격 방법을 개발하여 이메일 인증 확인을 p=거부에서도 우회하는 경우가 많습니다.
- 미세 조정: 정상적인 이메일이 거부되는 경우 SPF, DKIM 또는 타사 서비스 구성을 조정해야 할 수 있습니다. 예를 들어 새 서비스가 사용자를 대신하여 이메일을 보내는 경우 SPF 레코드를 업데이트하거나 해당 서비스에 대한 DKIM을 구성해야 할 수 있습니다.
p=거부 달성 후 주요 우선 순위
p=거부를 달성한 후에는 이메일 보안을 더욱 강화하고 도메인의 평판을 유지하기 위해 다음과 같은 필수 단계를 수행해야 합니다:
지속적인 모니터링 및 분석
DMARC 보고서를 계속 검토하고 인사이트를 모니터링하여 무단 이메일 또는 잘못된 구성의 새로운 소스를 식별할 수 있습니다.
비활성 도메인 및 하위 도메인 보호
하위 도메인과 비활성 도메인에도 동일한 p=거부 정책이 적용되는지 확인하세요. 안전하지 않은 하위 도메인과 파킹된 도메인은 해커에게 악용되는 경우가 많습니다.
BIMI(메시지 식별을 위한 브랜드 지표) 구현하기
시행된 DMARC 정책은 다음을 위한 필수 요구 사항입니다. BIMI. 따라서 이를 달성했다면 자연스럽게 다음 단계는 도메인에 BIMI를 사용하도록 설정하는 것입니다! 이렇게 하면 발신 이메일에 브랜드 로고를 첨부할 수 있을 뿐만 아니라 Google, Yahoo, Zoho Mail 등 여러 지원 사서함에서 파란색 확인 확인 표시를 받을 수 있습니다.
수신 메시지에 MTA-STS 사용 설정하기
DMARC를 사용하여 발신 이메일을 보호하는 동안 수신 이메일은 어떻게 되나요? 활성화 MTA-STS 를 사용하면 TLS 암호화를 적용하여 보안 연결을 통해 전송된 메시지만 사서함에 도달할 수 있도록 하여 중간자 공격을 방지할 수 있습니다.
타사 공급업체 관리
회원님을 대신하여 이메일을 전송하는 타사 공급업체가 엄격한 이메일 인증 및 보안 표준을 준수하는지 검토하고 확인합니다. 공급업체와의 계약에 이메일 인증 규정 준수에 관한 조항이 포함되어 있는지 확인하세요.
위협 인텔리전스 기술 살펴보기
예측 위협 인텔리전스 서비스는 고급 AI 기반 기술을 통해 새로운 이메일 기반 위협과 사이버 공격을 탐지, 예측, 완화하는 데 도움을 줄 수 있습니다. 이러한 서비스를 보안 스택에 추가하면 도메인 보호 기능을 크게 향상시킬 수 있습니다.
p=거부 후 생활 요약하기
이메일 인증 프로토콜을 모니터링하는 것은 p=거부 이후의 삶에서 필수적인 부분입니다. 이를 통해 보안 조치의 효과를 유지할 수 있을 뿐만 아니라 보안 조치의 기능에 대한 심층적인 통찰력을 확보하여 가장 적합한 보안 조치를 결정할 수 있습니다.
PowerDMARC는 p=없음에서 거부로 원활하게 전환하는 동시에 다음 단계를 준비할 수 있도록 도와줍니다. 전달 가능성 문제를 해결하고 이메일 인증 프로토콜을 손쉽게 관리하세요, 지금 바로 지금 바로 문의하세요!
- 강화된 피싱 공격에서 구실 사기의 부상 - 2025년 1월 15일
- 2025년부터 결제 카드 업계에 DMARC가 의무화됩니다. - 2025년 1월 12일
- NCSC 메일 검사 변경 사항 및 영국 공공 부문 이메일 보안에 미치는 영향 - 2025년 1월 11일