도메인에 여러 개의 DMARC 레코드를 보유하는 것은 절대 안 되며, 그 이유는 다음과 같습니다. DMARC와 같은 이메일 인증 프로토콜을 구현하는 것이 조직의 평판과 데이터 보안에 필수적이며, 이를 위해 도메인 소유자는 DNS에 TXT 레코드를 게시해야 한다는 것을 잘 알고 있습니다. 하지만 커뮤니티에서 자주 반복되는 질문은 "내 도메인에 여러 개의 DMARC 레코드를 가질 수 있나요?"입니다. 대답은 '아니오'입니다. 동일한 도메인에 여러 개의 DMARC 레코드가 있으면 레코드가 무효화되어 도메인에 대해 설정된 DMARC 인증 정책이 작동하지 않을 수 있습니다.
MTA는 DMARC 레코드를 어떻게 처리하나요?
도메인의 DNS에 게시된 DMARC 레코드는 다음과 같이 보입니다:
TXT mydomain.com v=DMARC1; p=reject; rua=mailto:[email protected]
따라서 DMARC가 구성된 도메인이 이메일을 보내면 이메일 수신 MTA는 v=DMARC1로 시작하는 모든 TXT 레코드를 가져옵니다. MTA는 보내는 도메인의 DNS를 쿼리하며 다음과 같은 시나리오가 발생할 수 있습니다:
- 소스 도메인의 DNS에서 유효한 단일 DMARC 레코드를 찾아 DMARC 정책 사양에 따라 이메일을 처리합니다.
- 발신 도메인에 대한 DMARC 레코드를 찾지 못하면 DMARC 처리가 자동으로 중단되고 이메일은 출처를 확인하지 않고 전달됩니다.
- 동일한 도메인에서 여러 DMARC 레코드를 발견하며, 이 경우 DMARC 처리도 중단되고 적용된 정책이 실행되지 않습니다.
여러 DMARC 레코드: 어떻게 해결하나요?
도메인에 대해 DMARC를 구성하고 정책을 설정하면 MTA가 사용자의 의도와 일치하는 방식으로 이메일에 응답하도록 할 수 있습니다. 이것이 DMARC가 사칭 및 스푸핑으로부터 도메인을 보호할 수 있는 방법입니다. 구성된 프로토콜이 효과적으로 작동하도록 하려면 다음 단계를 따르는 것이 좋습니다:
- 도메인에 대해 여러 DMARC 레코드를 게시하지 않았는지 확인하세요.
- DMARC 레코드에 구문 오류가 없는지 확인합니다.
- DMARC 레코드를 수동으로 생성하는 대신무료 DMARC 레코드 생성기와 같은 신뢰할 수 있는 도구를 사용하여 작업을 수행하세요.
- 도메인에 대한 DMARC 보고서를 사용 설정하여 이메일 흐름과 인증 결과를 수시로 모니터링하여 배달 문제를 추적하고 악의적인 발신 소스에 대한 조치를 취할 수 있습니다.
- 허용 오류 결과를 피하기 위해 조회 한도를 SPF 10 미만으로 유지해야 합니다.
도메인에 DMARC를 올바르게 구현하고 여러 DMARC 레코드를 피하기 위해 취할 수 있는 여러 단계의 대안은 DMARC 분석기에 간단히 가입하는 것입니다.
PowerDMARC는 백그라운드에서 대부분의 복잡성을 처리하여 이메일 인증 여정을 자동화하고 이메일 전송률에 문제를 일으킬 수 있는 구성 오류를 완화할 수 있도록 지원합니다.
