그리고 SPF (Sender Policy Framework) 리디렉션은 SPF 레코드가 포함된 별도의 도메인 이름을 가리키는 레코드 수정자입니다. 도메인 소유자는 SPF 리디렉션을 사용하여 하나의 도메인에서 호스팅되는 단일 SPF 레코드를 사용하도록 여러 도메인을 구성할 수 있습니다. 어떤 면에서는 이 방법이 유용해 보일 수 있지만 권장하지 않습니다. 그 이유를 자세히 알아보세요!
SPF 및 리디렉션 수정자 소개
SPF는 인증된 당사자에 대한 기록을 유지하여 사칭 및 스팸으로부터 조직을 보호하는 이메일 인증 표준입니다.
SPF 리디렉션 수정자는 선택 사항이며 SPF 레코드당 한 번만 사용할 수 있습니다. SPF 리디렉션을 사용하려면 몇 가지 전제 조건이 있습니다. 전제 조건은 다음과 같습니다:
- 조직이 여러 도메인으로 작업하는 경우에만 의미가 있습니다.
- 이러한 모든 도메인은 동일한 이메일 인프라를 공유해야 합니다.
- 리디렉션되는 두 번째 도메인에는 유효한 SPF 레코드가 있어야 합니다.
- SPF 리디렉션을 사용하려면 리디렉션 체인에 참여하는 모든 도메인에 대한 제어 권한이 도메인 소유자에게 있어야 합니다.
SPF 리디렉션 수정자는 어떻게 작동하나요?
SPF 리디렉션의 기능을 더 잘 이해하기 위해 다음 예시를 살펴보겠습니다:
domain_test.com에 다음과 같은 SPF 레코드가 있는 경우:
v=spf1 리디렉션=domain_test2.com
이는 "domain_test" 대신 "domain_test2.com"에 대한 SPF 레코드를 사용해야 함을 나타냅니다. 그러면 domain_test에서 보낸 메일은 "domain_test2"를 사용하여 리디렉션됩니다.
SPF 리디렉션 수정자는 언제 사용할 수 있나요?
1. 단일 레코드를 여러 도메인에 사용해야 하는 경우
예를 들어
delaware.example.com. TXT "v=spf1 리디렉션=_spf.example1.com"
austin.example.com TXT "v=spf1 리디렉션=_spf.example1.com"
washington.example.com TXT "v=spf1 redirect=_spf.example1.com"
_spf.example.com. TXT "v=spf1 mx:example1.com -all"
이 예에서는 위 세 도메인의 모든 메일이 동일한 레코드(이 경우 "_spf.example1.com")로 설명되므로 사용자에게 관리상의 이점을 제공합니다.
2. 도메인 이름을 변경해야 하는 경우.
모든 메커니즘에서 "a", "mx" 및 "ptr" 값은 선택 사항입니다. 특정 값을 제공하지 않으면 현재 도메인으로 설정됩니다. 그러나 "리디렉션"을 사용하는 경우 "a", "mx" 및 "ptr" 메커니즘은 리디렉션된 도메인을 가리킵니다.
다음 예를 살펴보세요:
powerdmarc.com "v=spf1 a -all"
여기서 "a"는 지정된 값이 없으므로 예제에서 지정한 대로 SPF 레코드가 호스팅되는 곳인 "powerdmarc.com"의 DNS 'A' 레코드를 가리키게 됩니다.
이제 다음 예제를 살펴보겠습니다:
powerdmarc.com "v=spf1 리디렉션=_spf.powerdmarc.com"
_spf.powerdmarc.com "v=spf1 a -all"
위의 예에서 "a" 메커니즘은 "powerdmarc.com" 루트 도메인이 리디렉션하더라도 "_spf.powerdmarc.com"의 DNS 'A' 레코드를 가리키고 있습니다.
이는 SPF 유효성 검사 문제의 일반적인 원인 중 하나이며 디버깅하기 어렵습니다. 조직에서 SPF "리디렉션"을 사용하는 경우 리디렉션된 SPF 레코드에 명시적으로 정의된 도메인 이름이 없는 "a", "mx" 또는 "ptr" 메커니즘이 있는 경우 리디렉션된 도메인만 가리키게 된다는 점에 유의하세요.
SPF 리디렉션 사용의 단점
1. "리디렉션" 수정자는 DNS 조회 횟수를 추가합니다.
SPF 이메일 인증을 사용하는 경우, 도메인에서 수신자의 도메인으로 이메일을 보낼 때마다 수신자의 이메일 서버는 DNS 조회라고도 하는 DNS 쿼리 요청을 수행하여 DNS에서 기존의 인증된 IP 주소를 확인하고 수신된 이메일의 반환 경로 헤더에 있는 IP 주소와 비교합니다. SPF RFC7208은 이러한 조회의 최대 수를 10개로 제한합니다.
"리디렉션" 수정자를 사용하면 이 카운트도 증가합니다. 따라서 조직에서는 "리디렉션" 수정자를 사용할 때 주의해야 합니다. 10 DNS 조회 제한 를 초과할 수 있습니다. 이로 인해 SPF가 중단되어 인증 실패로 이어질 수 있습니다.
PowerDMARC에서는 사용자가 효과적인 SPF 평준화 도구인 PowerSPF를 구성하여 조회 횟수를 제한하고 오류 없는 SPF를 즐길 수 있습니다.
2. "리디렉션"을 사용하는 도메인에 정의된 SPF 정책이 없는 경우 허용 오류 결과가 반환됩니다.
SPF 레코드가 없거나 유효하지 않은 도메인을 포함하는 경우 확인 프로세스에 영향을 주지 않는 소프트패일(없음) 결과가 반환됩니다.
그러나 리디렉션된 도메인에 SPF에 대한 유효하지 않거나 누락된 레코드가 있는 경우 SPF 리디렉션 수정자를 사용하는 동안 하드 실패인 SPF Permerror 결과가 반환되며 SPF가 중단될 수 있습니다.
SPF 리디렉션 수정자 대신 SPF 포함 메커니즘 사용
몇 가지 일반적인 문제를 피하기 위해 리디렉션 수정자 대신 SPF 포함 메커니즘을 사용할 것을 권장하며, 그 내용은 다음과 같습니다:
- 리디렉션 메커니즘을 사용하면 레코드가 끝났음을 나타내며 더 이상 수정할 수 없습니다. 반면 SPF 포함을 사용하면 레코드를 수정하고 사용자의 의지에 따라 포함, a 또는 mx 레코드를 더 추가할 수 있으므로 유연성 측면에서 더 많은 것을 제공할 수 있습니다.
- 포함 메커니즘을 사용하면 SPF 레코드를 단축하여 SPF 문자 길이 제한을 넘지 않도록 할 수 있습니다. 원래 하나의 긴 SPF 레코드를 분할하여 spfrecord1.xyz.com과 spfrecord2.abc.com에 각각 SPF TXT 레코드를 만들고 도메인 중 하나에 대한 TXT 레코드에 두 도메인을 모두 포함할 수 있습니다(예: xyz.com).
- 있는 경우 SPF 레코드가 발견되지 않은 경우 를 찾을 수 없는 경우, 이메일이 계속 배달되는 대신 소프트폴트 결과를 반환하는 포함 메커니즘을 사용하여 위에서 언급한 리디렉션에 대한 오류 상태(허용 오류 값) 유지를 회피할 수도 있습니다.
- 모든 메커니즘에 영향을 주지 않는 SPF include와 달리, SPF 리디렉션 수정자는 서버가 SPF ~all 을 루트 도메인에 대해 렌더링하도록 서버에 지시합니다(예: 다음 사례):
domain1.com "v=spf1 리디렉션=_spf.domain2.com"
_spf.domain2.com "v=spf1 ip4:164.100.226.127 ~all
이는 리디렉션을 사용하는 레코드의 경우 "모두" 메커니즘이 처음부터 없기 때문이며, 포함 메커니즘을 사용하는 동안 공존할 수 있습니다. 따라서 리디렉션된 하위 도메인에 대해 설정된 "~all"은 루트 도메인에도 적용됩니다.
결론
10개의 DNS 조회 제한과 같이 '리디렉션' 수정자를 사용할 때는 주의해야 할 사항이 많으므로 조직에서 SPF 레코드를 설정할 때 주의해야 합니다. 조직은 수시로 SPF 레코드를 최적화하여 DNS 조회가 한도 내에 있는지 확인해야 합니다. 조직의 모든 SPF 관련 쿼리에 대해서는 PowerSPF. 이 제품은 자동 플래트닝을 수행하고 넷블럭을 자동 업데이트하여 인증된 IP가 항상 최신 상태로 안전하게 유지되도록 합니다. 또한 허용 오류나 DNS 조회 한도 초과에 대해 걱정할 필요가 없습니다.
SPF로 이메일을 보호하는 가장 좋은 방법은 DKIM 및 무료 DMARC. 이렇게 하면 스팸 메일과 스피어 피싱 시도로부터 조직을 보호하는 데 도움이 됩니다. PowerDMARC를 확인하여 조직에서 스푸핑 방지 DMARC 기술 서비스 제공업체를 사용하고 있는지 확인하세요.
- SMTP 야후 오류 코드 설명 - 2024년 5월 1일
- SPF 소프트 페일 대 하드 페일: 차이점은 무엇인가요? - 2024년 4월 26일
- FTC, 이메일이 사칭 사기의 인기 매체라는 보고서 발표 - 2024년 4월 16일