이메일이 계속해서 중요한 커뮤니케이션 채널로 자리 잡으면서 기업과 개인 모두에 대한 DMARC 정책의 중요성은 계속 커질 것입니다. DMARC는 도메인 기반 메시지 인증, 보고 및 규정 준수를 의미합니다. 이는 이메일 보안의 중요한 도약을 의미합니다.
DMARC는 이메일 도메인 소유자가 이메일 인증 방법에 대한 정책을 게시할 수 있는 프레임워크를 제공하여 더욱 신뢰할 수 있는 이메일 생태계를 조성하는 데 도움을 줍니다. DMARC를 구현하면 조직은 이메일 기반 위협으로부터 브랜드, 직원 및 고객을 선제적으로 보호할 수 있습니다.
모든 이메일 관련 보안 문제에 대한 만병통치약은 아니지만 DMARC는 피싱 및 이메일 스푸핑 공격에 맞서 싸우는 데 중요한 도구입니다. 이 도움말에서는 DMARC 정책, 구현 방법, 당면 과제와 이점, 정책 구현을 위해 호스팅된 DMARC 솔루션을 선택해야 하는 이유를 살펴봅니다.
주요 내용
- DMARC(도메인 기반 메시지 인증, 보고 및 준수)는 피싱 및 스푸핑으로부터 도메인을 보호하는 이메일 인증 프로토콜입니다.
- DMARC 정책 옵션에는 다음이 포함됩니다: 적용하지 않고 이메일 활동을 모니터링하려면 없음(p=없음), 의심스러운 이메일에 플래그를 지정하려면 격리(p=검역), 인증되지 않은 이메일의 전달을 차단하려면 거부(p=거부)를 선택합니다.
- 데이터 침해의 30% 이상을 차지하는 피싱 공격과 도메인 남용(Verizon)으로부터 DMARC는 피싱 공격과 도메인 남용을 방지할 수 있습니다.
- DMARC 설정을 위한 DNS 구성은 복잡할 수 있습니다. 수동으로 구현하려면 기술 전문 지식이나 외부 컨설턴트가 필요할 수 있습니다.
- 사용자 친화적인 도구로 DMARC 정책 설정을 자동화하고 모니터링, 시행, 보고를 간소화하여 시간과 리소스를 절약할 수 있는 PowerDMARC.
DMARC 정책이란 무엇인가요?
DMARC 정책은 DNS(도메인 이름 시스템)를 사용하여 수신 메일 서버에 자신의 도메인에서 보낸 것으로 주장하지만 인증 검사에 실패한 이메일을 처리하는 방법을 지시하는 이메일 유효성 검사 시스템입니다. 이메일이 DMARC 유효성 검사에 실패할 경우 메일 서버가 취해야 할 조치를 지정하는 DMARC 레코드의 "p" 태그로 표시됩니다.
제대로 구현된 정책은 브랜드를 사칭하는 이메일을 얼마나 엄격하게 처리할지 결정하는 데 도움이 될 수 있습니다. 조직 도메인의 보안 경비원이라고 생각하세요. 경비원은 사용자의 ID에 따라 건물(이 경우 수신자의 받은 편지함) 출입 허용 여부를 결정합니다. 경비원은 사용자의 출입을 막거나(거부), 추가 검토를 위해 특별한 장소로 보낼 수도 있고(격리), 그냥 들여보낼 수도 있습니다(허용하지 않음).
DMARC 정책을 p=거부로 설정하면 스푸핑, 피싱 및 도메인 이름 남용을 방지하여 브랜드를 사칭하려는 악의적인 공격자에게 '침입 금지' 신호처럼 작용할 수 있습니다.
3가지 DMARC 정책 옵션: 없음, 격리, 거부
세 가지 DMARC 정책 유형은 다음과 같습니다:
1. DMARC 없음:
보호 기능을 제공하지 않는 '모니터링 전용' 정책입니다. 배포 여정의 초기 단계에 적합합니다. 이메일은 전달되지만 인증되지 않은 메시지에 대한 보고서가 생성됩니다. DMARC 레코드에서 이는 "p=none"으로 표시됩니다.
2. DMARC 검역:
의심스러운 이메일은 플래그가 지정되고 검토를 위해 수신자의 스팸 폴더에 보관됩니다. DMARC 레코드에서 이는 "p=검역"으로 표시됩니다.
3. DMARC 거부:
가장 엄격한 옵션수신 서버에 인증되지 않은 이메일을 완전히 거부하도록 지시합니다. DMARC 레코드에서는 "p=reject"로 표시됩니다.
어떤 옵션을 사용할지는 이메일 도메인 소유자가 설정하려는 적용 수준에 따라 다릅니다. 이러한 정책 옵션 간의 주요 차이점은 메일 발신자가 DNS 레코드에 정의한 지정된 정책을 준수할 때 수신 메일 전송 에이전트가 취하는 조치에 따라 결정됩니다.
1. DMARC 정책: 없음
DMARC 정책 없음(p=none)은 수신자 측에서 아무런 조치를 트리거하지 않는 완화된 모드입니다. 이 정책은 이메일 활동을 모니터링하는 데 사용할 수 있으며 일반적으로 모니터링 및 데이터 수집을 위해 초기 DMARC 구현 단계에서 사용됩니다.
이 옵션은 사이버 공격에 대한 보호 수준을 제공하지 않으며 인증 결과에 관계없이 모든 메시지가 전달되도록 허용합니다. 이 옵션은 DMARC 레코드에 "p=none" 태그를 사용하여 지정합니다.
예: v=DMARC1; p=none; rua= mailto:(이메일 주소);
없음 정책 구현 사용 사례
- '없음' 정책을 선택하는 도메인 소유자의 주된 목적은 엄격한 인증에 대한 선호도 없이 발신 소스에 대한 정보를 수집하고 통신 및 전달 가능성에 대한 감시를 유지하는 것이어야 합니다. 이는 아직 정책을 시행할 준비가 되지 않았고 현재 상황을 분석하는 데 시간이 걸리기 때문일 수 있습니다.
- 이메일 수신 시스템은 이 정책으로 구성된 도메인에서 보낸 메시지를 '무조치'로 처리하므로 이러한 메시지가 DMARC 정책에 실패하더라도 해당 메시지를 폐기하거나 격리하는 조치가 취해지지 않습니다. 이러한 메시지는 고객에게 성공적으로 전달됩니다.
- "p=none"을 설정한 경우에도 DMARC 보고서는 계속 생성됩니다. 수신자의 MTA는 조직 도메인 소유자에게 집계 보고서를 보내 해당 도메인에서 발신된 것으로 보이는 메시지에 대한 자세한 이메일 인증 상태 정보를 제공합니다.
2. DMARC 정책: 격리
이 옵션은 "p=검역" 태그를 사용하여 DMARC 레코드에 지정됩니다. p=검역은 도메인 소유자가 수신자에게 이메일을 스팸 또는 검역 폴더로 롤백하여 나중에 검토하도록 요청할 수 있으므로 일정 수준의 보호 기능을 제공합니다(DMARC가 실패할 경우).
이 정책은 수신 메일 서버가 DMARC 인증에 실패한 메시지를 의심으로 처리하도록 지시합니다. 이 정책은 종종 "없음"과 "거부"의 중간 단계로 구현됩니다.
예: v=DMARC1; p=검역소; rua=mailto:(이메일 주소);
격리 정책 구현 사용 사례
- '격리' 정책은 인증되지 않은 이메일을 완전히 폐기하는 대신 도메인 소유자가 보안을 유지하면서 이메일을 수락하기 전에 검토할 수 있는 옵션을 제공하여 '확인 후 신뢰' 접근 방식을 취합니다.
- DMARC 정책을 DMARC 검역으로 변경하면 DMARC 인증에 실패한 정상적인 메시지를 면밀히 검사하기 전에 손실되지 않도록 할 수 있습니다.
- 이 접근 방식은 시행 측면에서 중간 단계로 간주할 수 있으며 도메인 소유자가 p=거부로 원활하게 전환할 수 있습니다:
a) 이메일 메시지에 대한 DMARC의 영향을 평가합니다.
b) 플래그가 지정된 이메일을 폐기할지 여부에 대해 정보에 입각한 결정을 내릴 수 있습니다. - 또한 격리 정책은 받은 편지함의 혼란을 줄여 스팸 폴더에 메시지가 넘쳐나지 않도록 하는 데 도움이 됩니다.
3. DMARC 정책: 거부
이 옵션은 DMARC 레코드에서 "p=reject"를 사용하여 지정합니다. 이는 가장 엄격한 정책으로, 인증되지 않은 메시지를 수신자에게 거부하도록 지시합니다.
DMARC 정책 거부는 최대한의 적용을 제공하여 DMARC 검사에 실패한 메시지가 전혀 전달되지 않도록 합니다. 이 정책은 도메인 소유자가 이메일 인증 설정에 대해 확신이 있을 때 구현됩니다.
예: v=DMARC1; p=거부; rua= mailto:(이메일 주소);
정책 구현 사용 사례 거부
- DMARC 정책 거부는 이메일 보안을 강화합니다. 공격자가 피싱 공격을 시작하거나 도메인을 직접 스푸핑하는 것을 방지할 수 있습니다. DMARC의 거부 정책은 의심스러운 메시지를 차단하여 사기성 이메일을 차단합니다.
- 의심스러운 메시지를 격리하지 않을 자신이 있다면 '거부' 정책을 사용하는 것이 좋습니다.
- DMARC 거부를 선택하기 전에 철저한 테스트와 계획을 세우는 것이 중요합니다.
- DMARC 거부 시 도메인에 대해 DMARC 보고가 활성화되어 있는지 확인하세요.
- 시행 여정을 직접 설정하려면 p=없음으로 시작한 다음 일일 보고서를 모니터링하면서 천천히 거부로 이동하세요.
기타 DMARC 정책
DMARC는 구현을 미세 조정할 수 있는 추가 정책 매개변수를 제공합니다.
- 백분율(pct=) 매개변수를 사용하면 DMARC가 적용되는 메시지의 비율을 지정하여 점진적으로 정책을 적용할 수 있습니다.
예: pct=50은 메시지의 50%에 정책을 적용합니다. - 하위 도메인 정책(sp=)은 하위 도메인에 대한 별도의 규칙을 설정하는 정책 레코드입니다. 하위 도메인을 다르게 처리해야 할 때 유용합니다.
예: v=DMARC1; p=reject; sp=quarantine; rua=mailto:[email protected]`
PowerDMARC로 올바른 방법으로 DMARC 정책을 설정하세요!
DMARC가 중요한 이유
이메일은 쉽게 위조될 수 있어 진짜와 가짜를 구분하기 어렵습니다. 이것이 바로 DMARC가 필요한 이유입니다. DMARC는 메시지를 통과시키기 전에 발신자의 신원을 확인하는 이메일 보안 체크포인트와 같습니다.
포브스는 2025년까지 사이버 범죄와 관련된 비용이 연간 10조 5,000억 달러에 달할 것으로 추정합니다 . 한편, Verizon은 모든 데이터 침해의 30% 이상이 피싱 공격의 결과라고 보고하며 DMARC와 같은 강력한 보호 기능의 필요성을 강조하고 있습니다.
IETF의 RFC 7489에 따르면 DMARC에는 이메일 발신자가 인증 기본 설정을 지정할 수 있는 고유한 기능이 있습니다. 이 기능을 활성화하면 이메일 처리 및 잠재적인 도메인 남용에 대한 보고서를 받을 수도 있습니다. 따라서 DMARC는 도메인 유효성 검사 측면에서 두드러집니다.
최신 DMARC 통계에 따르면 상당수의 도메인이 여전히 피싱 공격에 취약한 것으로 나타났는데, 이는 DMARC 구현이 부족하기 때문입니다.
DMARC 설정 프로세스를 시작하려면 적절한 DNS를 변경하고 프로토콜에 대한 DNS TXT 레코드를 포함해야 합니다. 그러나 기술 전문가가 아닌 사용자가 DMARC 프로토콜을 수동으로 구현하는 것은 상당히 복잡할 수 있습니다. 비즈니스를 위해 이를 관리하기 위해 외부의 부분적인 CISO를 고용하는 경우 비용이 상당히 많이 들 수도 있습니다. 따라서 PowerDMARC의 DMARC 분석기는 쉬운 대안이 될 수 있습니다. DMARC 분석기를 사용하면 DMARC 정책 설정을 자동화하여 시간과 비용을 모두 절약할 수 있습니다.
DMARC 보고 옵션
DMARC의 보고 옵션은 다음과 같습니다:
- 인증 결과 및 전송 소스에 대한 상위 수준 데이터에 대한 집계 보고서(rua=)를 확인하세요.
- 포렌식 보고서(ruf=)를 통해 자세한 인증 실패 정보를 확인할 수 있습니다.
이러한 매개변수를 통해 조직은 DMARC 인증 결과에 대한 귀중한 인사이트를 수집하여 DMARC 인증에 실패하거나 통과한 이메일 수에 대한 인사이트를 얻을 수 있습니다. DMARC 보고서도 도움이 됩니다:
- 잠재적인 문제와 남용 패턴 파악
- 이메일 설정에서 잘못된 구성 감지
- 이메일 행동 및 메일 흐름에 대한 인사이트 얻기
- SPF 및 DKIM 프로토콜에 대한 인증 결과 검토
DMARC 구현의 일반적인 이점 및 과제
동안 DMARC는 이메일 보안에 상당한 이점을 제공하지만을 제공하지만 조직은 구현 과정에서 몇 가지 문제에 직면하는 경우가 많습니다. 그렇기 때문에 대부분의 사람들이 호스팅 DMARC-솔루션을 구성, 모니터링 및 업데이트하는 데 도움을 주는 서비스인 DMARC 솔루션 클라우드 플랫폼에서 쉽게 구성하고 업데이트할 수 있도록 도와주는 서비스입니다.
실제 시나리오에서 DMARC 정책을 구현하는 것은 일반적으로 단계적 접근 방식을 따릅니다. 이 방법을 통해 조직은 합법적인 이메일 흐름을 방해할 위험을 최소화하면서 이메일 보안을 점진적으로 강화할 수 있습니다.
다음 가이드를 따라 DMARC 구현 방법 을 구현하는 방법을 안내합니다. 하지만 전문가의 도움을 받으려면 호스팅된 DMARC 솔루션을 선택하는 것이 가장 이상적입니다. 전문가가 DMARC 구현 및 적용 여정 전반을 안내해 드립니다.
DMARC 정책 오류 문제 해결
DMARC를 사용할 때 오류 메시지가 표시될 수 있습니다. 다음은 몇 가지 일반적인 DMARC 정책 오류입니다:
- 구문 오류: 프로토콜이 올바르게 작동하도록 레코드를 설정하는 동안 구문 오류를 주의해야 합니다.
- 구성 오류: DMARC 정책을 구성하는 동안 발생하는 오류는 일반적이며 DMARC 검사 도구를 사용하여 피할 수 있습니다.
- DMARC sp 정책: DMARC 거부 정책을 구성하고 하위 도메인 정책을 없음으로 설정하면 규정 준수를 달성할 수 없습니다. 이는 아웃바운드 이메일에 대한 정책 재정의 때문입니다.
- "DMARC 정책이 사용되지 않음" 오류: 도메인 보고서에서 이 오류가 강조 표시되면 DNS에 DMARC 도메인 정책이 없거나 "없음"으로 설정되어 있는 것을 가리킵니다. 레코드를 편집하여 p=거부/검역소를 통합하면 문제가 해결됩니다.
PowerDMARC를 사용한 DMARC 정책 시행
PowerDMARC의 DMARC 분석기 플랫폼은 DMARC 프로토콜을 손쉽게 설정할 수 있도록 도와줍니다. 클라우드 네이티브 인터페이스를 사용하여 버튼 클릭 몇 번으로 기록을 모니터링하고 최적화할 수 있습니다. 지금 바로 문의하여 DMARC 정책을 구현하고 결과를 쉽게 모니터링하세요!
DMARC 정책 FAQ
콘텐츠 및 사실 확인 검토 프로세스
이 콘텐츠는 사이버 보안 전문가가 작성했습니다. 기술적 정확성과 관련성을 보장하기 위해 사내 보안팀의 세심한 검토를 거쳤습니다. 모든 사실은 공식 IETF 문서와 대조하여 확인되었습니다. 정보를 뒷받침하는 보고서 및 통계에 대한 참조도 언급되어 있습니다.
- 2025년에 "SPF 기록을 찾을 수 없음"을 수정하는 방법 - 2025년 1월 21일
- MTA-STS란 무엇인가요? 올바른 MTA STS 정책 설정 - 2025년 1월 15일
- DKIM 실패를 수정하는 방법 - 2025년 1월 9일