와 SPF (발신자 정책 프레임워크)를 사용하면 두 가지 방법 중 하나로 인증 실패에 대응하도록 시스템을 유연하게 구성할 수 있습니다: 하드 페일 또는 소프트 페일이 블로그에서는 SPF 하드 페일과 소프트 페일의 차이점, 두 가지를 구성하는 구문 및 사용 사례에 대해 설명합니다. 그럼 바로 시작해 보겠습니다!
SPF 소프트 페일과 하드 페일의 차이점
아래 표는 SPF 하드페일과 소프트페일의 기본적인 차이점을 설명합니다.
SPF 구문 | 실패 유형 | 상태 | 수신자가 취한 대응 조치 |
---|---|---|---|
v=spf1 include:domain1.com -all | 하드 실패 | 발신자 권한 없음 | 이메일이 거부될 수 있습니다. |
v=spf1 include:domain1.com ~all | 소프트 실패 | 발신자가 권한이 없는 사람일 수 있습니다. | 이메일이 배달되었지만 의심스럽거나 사기 가능성이 있는 것으로 표시된 경우 |
SPF 하드 페일 대 소프트 페일 : RFC에 정의된 대로
에 따르면 RFC 7208:
- SPF에 대한 '실패' 결과는 이메일 발신자가 발신 도메인에 의해 승인되지 않았음을 직접적으로 나타냅니다. "실패"는 하드 실패 결과(-all)와 동의어로, 권한이 없는 도메인을 사용했음을 명확하게 나타냅니다.
- 그러나 훨씬 더 편안한 접근 방식은 무단 도메인 사용의 '가능성'을 표시하는 SPF 소프트패일을 구성하는 것입니다.
PowerDMARC로 SPF를 간소화하세요!
하드 장애 대 소프트 장애에 대한 수신자 장애 처리
섹션 8.4에서는 SPF 하드 페일 결과와 SPF 소프트 페일 결과에 대한 결과 처리 시나리오를 다음과 같이 정의합니다:
1. SPF 합격/불합격
'실패' 또는 하드 실패 결과의 경우 수신자 서버가 승인되지 않은 이메일을 거부하도록 선택할 수 있습니다. SMTP 트랜잭션인 경우 적절한 오류 설명과 함께 550 5.7.1 오류 코드가 반환되어야 합니다.
수신자 서버가 SMTP 트랜잭션 중에 이메일을 거부하지 않는 경우 RFC는 수신자에게 수신된 SPF 또는 인증 결과 헤더에 SPF 결과를 기록할 것을 권장합니다.
2. SPF 소프트 실패
보다 유연한 정책으로 Softfail은 관리 관리 도메인에서 이메일이 승인되지 않은 것으로 의심되지만 완전히 거부하지는 않으려는 경우를 나타냅니다. 이 경우 메시지는 전달되지만 추가 검토를 위한 경고가 함께 표시됩니다.
SPF 소프트 페일 대 하드 페일: 무엇을 추천할까요?
SMTP 이메일 릴레이의 경우 하드 페일보다 더 안전한 방법으로 SPF 소프트 페일을 고려할 수 있습니다. 방법을 알아보세요:
SMTP 이메일 중계는 한 서버에서 다른 서버로 메시지를 자동으로 전송하는 것입니다. 즉, 도메인의 SPF 레코드에 IP 주소가 나열되지 않은 서버로 이메일이 전달됩니다. 따라서 실제로는 합법적이지만 이메일에 대한 권한이 없는 발신자가 됩니다.
이 활동을 제어할 수 있나요? 이메일이 수신자 측에서 자동으로 릴레이되므로 대답은 '아니요'입니다. 이러한 상황에서는 릴레이된 이메일에 대해 SPF가 실패합니다.
SPF 하드폴 정책을 사용하면 문제가 발생할 수 있습니다! 이미 알고 있듯이 하드 페일 메커니즘은 실패한 메시지를 거부할 수 있습니다. 따라서 도메인에 하드 페일 정책이 구성되어 있는 경우 이러한 릴레이 이메일이 전달되지 않을 수 있습니다.
최악의 부분은? SPF 실패 처리 정책에 의해 취해진 조치가 DMARC 및 DKIM 인증 결과보다 우선합니다. 즉, DKIM과 이후 DMARC가 통과하더라도 이메일이 전달되지 않을 수 있습니다.
아래에 명시된 대로 RFC 7489 섹션-10.1 에 명시된 대로 DMARC 작업 전에 SPF 검사를 수행하면 발신자의 SPF 메커니즘에 "-all"과 같은 접두사가 있으면 이메일이 즉시 거부될 수 있습니다. 이러한 거부는 이메일 처리 프로세스 초기에, 심지어 DMARC 처리가 수행되기 전에도 발생합니다.
따라서 이메일 발신자의 SPF 정책에 "-all" 메커니즘이 포함되어 있어 SPF 검사에 실패한 이메일을 거부하는 엄격한 정책을 나타내는 경우 DMARC 정책이나 처리가 수행되기 전에 메시지가 거부될 수 있습니다. 이러한 조기 거부는 이메일이 결국 DMARC 인증을 통과할지 여부와 관계없이 발생할 수 있습니다.
따라서 이러한 상황에서는 SPF 소프트메일이 하드메일 메커니즘보다 우위에 있습니다. 이는 승인된 이메일을 거부하는 대신 단순히 플래그를 지정하여 검토의 여지를 남겨두는 상당히 낮은 위험도의 접근 방식입니다.
SPF 레코드는 어떻게 작동하나요?
이메일에 SPF를 구현하려면 도메인의 DNS에 SPF 레코드를 만들고 게시해야 합니다. SPF 레코드의 일반적인 예는 다음과 같습니다:
v=spf1 include:_spf.google.com ~all
이 SPF 레코드에서는 Google의 SPF 레코드에 나열된 IP 주소에서 발신되는 모든 이메일을 승인합니다. 실패 메커니즘은 레코드 맨 끝(~모두)에 정의되어 있습니다(예: 소프트폴).
따라서 SPF 레코드는 사용되는 프로토콜 버전, 인증하는 발신 소스 및 실패 메커니즘을 정의합니다. DNS에 이 레코드를 게시하면 권한이 부여된 발신자만 도메인을 대신하여 이메일을 보낼 수 있습니다. 권한이 없는 출처가 회원님을 사칭하려고 하면 레코드에 정의된 실패 메커니즘 유형에 따라 SPF가 실패합니다.
안전한 SPF 구현 전략
승인되지 않은 스푸핑 및 피싱 공격으로부터 이메일 커뮤니케이션을 보호하려면 최적의 SPF 구현이 필수적입니다. 모범 사례를 따르면 조직은 이메일 보안 태세를 강화하고 브랜드 평판을 보호할 수 있습니다. 다음은 SPF를 안전하게 구현하기 위한 몇 가지 전략과 가이드라인입니다:
1. SPF 레코드 생성 도구 사용
SPF 구현 프로세스는 레코드 생성으로 시작됩니다. SPF 태그를 제대로 이해하면 레코드를 수동으로 생성할 수 있습니다. 하지만 이 방법은 인적 오류가 발생하기 쉽습니다. 이상적으로는 자동화된 SPF 생성기 도구를 사용하는 것이 가장 이상적입니다. 이 도구를 사용하면 조직의 필요에 맞게 맞춤 설정된 오류 없는 정확한 SPF 레코드를 만들 수 있습니다.
2. 적절한 SPF 메커니즘 사용
'포함', 'a', 'IP4' 등의 SPF 메커니즘을 활용하여 허용된 발신 소스를 지정합니다. 이메일 인프라에 따라 메커니즘을 신중하게 선택하고 이메일 전송 관행을 정확하게 반영하는지 확인하세요.
3. SPF 기록 유지 및 최적화
발신자 정책 프레임워크 레코드가 오작동하지 않도록 유지 관리하고 최적화해야 합니다. 권한이 부여된 발신자가 수신자 측의 DNS 조회 제한 10개를 초과하면 SPF가 중단되는 경향이 있습니다. 최적의 조회 제한을 유지하기 위해 워드프레스닷컴의 호스팅 SPF 솔루션이 최선의 선택입니다! 도메인 소유자가 클릭 한 번으로 SPF를 최적화하여 조회 및 무효화 한도 내에서 오류 없는 SPF를 유지할 수 있도록 도와드립니다.
4. SPF와 DMARC 결합
배포 DMARC (도메인 기반 메시지 인증, 보고 및 준수)를 SPF와 함께 배포하면 추가적인(그러나 필수적인) 보안 계층을 제공합니다. 도메인 소유자는 DMARC를 통해 SPF에 실패한 이메일에 대해 취할 조치를 포함하여 이메일 처리 정책을 지정할 수 있습니다.
DMARC는 이메일 사기, 유출 및 사칭 공격을 최소화하는 데 있어 입증된 결과를 보여주었습니다.
5. 엄격한 SPF 장애 처리 정책 시행
다음을 처리하도록 레코드를 구성합니다. SPF 인증 실패 실패한 도메인의 이메일을 거부하거나 표시하는 등 엄격한 정책으로 처리하도록 레코드를 구성하세요. 이를 위해 중립 정책 대신 SPF 하드 페일 또는 SPF 소프트 페일을 구현할 수 있습니다.
6. SPF 인증 결과 모니터링
구현 DMARC 보고서 를 구현하여 SPF 합격, 불합격과 같은 SPF 인증 결과와 정렬 오류를 모니터링합니다. A DMARC 분석기 도구를 사용하면 SPF 인증 데이터를 체계적이고 사람이 읽을 수 있는 방식으로 파싱하고 분석할 수 있습니다.
마지막 말
"어느 것이 더 낫습니까?"라는 질문에 대한 직접적인 답은 없습니다. SPF 하드페일과 소프트페일 중 어느 것이 더 나은가?"라는 질문에 대한 직접적인 답은 없습니다. 하드페일 태그가 더 나은 보안을 제공할 수는 있지만, 발신 소스를 모니터링하기 위한 올바른 솔루션을 선택하는 것이 중요합니다.
PowerDMARC의 고급 도메인 인증 및 보고 플랫폼은 모든 규모의 비즈니스에 포괄적인 SPF 및 DMARC 솔루션을 제공합니다. 가입하기 지금 무료 평가판에 등록하세요!
- 야후 재팬, 2025년 사용자를 위한 DMARC 도입 권장 - 2025년 1월 17일
- 악성코드 확산을 위해 SPF의 잘못된 구성을 악용하는 MikroTik 봇넷 - 1월 17, 2025
- DMARC 인증되지 않은 메일이 금지됨 [해결됨] - 2025년 1월 14일