TLS 암호화는 어떻게 작동하나요?
도메인에서 이메일을 보내면 MTA(메일 전송 에이전트)가 수신 서버에 쿼리를 수행하여 STARTTLS 명령을 지원하는지 확인합니다. 수신 서버가 STARTTLS를 지원하는지 확인하면 MTA는 암호화된 연결로 전환하여 이메일을 안전하게 전송합니다.
그러나 공격자는 이 프로세스를 방해하여 이메일을 자신들이 제어하는 서버로 리라우팅하거나 STARTTLS 쿼리가 실패하도록 하여 암호화되지 않은 연결을 통해 이메일을 보내도록 유도할 수 있습니다. 어떤 경우든 공격자는 이메일에 대한 전체 액세스 권한을 가질 수 있습니다.
왜 MTA-STS인가?
MTA-STS(MTA-Strict Transport Security)는 MITM 공격을 모두 완화하도록 설계된 보안 프로토콜입니다. 그 원리는 다음과 같습니다:
- HTTPS 지원 서버 사용
MTA가 DNS를 통해 쿼리하는 MX 레코드는 HTTPS를 통해 가져온 MTA-STS 정책 파일에 저장된 레코드와 비교됩니다. 또한 MTA는 MTA-STS 정책 파일을 캐시하므로 DNS 스푸핑 공격이 훨씬 더 어려워집니다.
- 필수 TLS
MTA-STS를 사용하면 도메인에서 암호화된 TLS를 사용하여 이메일을 의무적으로 전송하도록 하는 정책을 게시할 수 있습니다. 어떤 이유로 수신 서버가 STARTTLS를 지원하지 않는 것으로 확인되면 이메일이 전혀 전송되지 않습니다. 따라서 SMTP 다운그레이드를 수행할 수 없습니다.
PowerDMARC의 기능은 무엇인가요?
- TLS 보고
MTA-STS를 사용하면 TLS 암호화 연결을 통해 도메인으로 이메일을 전송하도록 설정할 수 있습니다. 이로 인해 이메일 전송에 가끔 문제가 발생할 수 있습니다. TLS 보고(TLS-RPT )를 사용하면 도메인의 이메일 상태에 대한 지속적인 보고서를 받을 수 있으므로 문제 발생 시 신속하게 해결할 수 있습니다. PowerDMARC는 이러한 보고서를 JSON 파일로 수신하여 누구나 읽을 수 있는 간소화된 차트와 표로 변환합니다. 시간 낭비를 줄일수록 문제를 더 빨리 해결할 수 있습니다.