메일 인증 프로토콜로 제로 스팸 메일 만들기 - DMARC Part

DMARC ( Domain-based Message Authentication Reporting and Conformance )

 

DMARC Flow

 

DMARC ( Domain-based Message Authentication Reporting and Conformance / 도메인 기반 메시지 인증, 보고 및 적합성 ) 은 이메일 인증 프로토콜로 이메일 도메인 소유자가 이메일 Spoofing 으로 알려진 무단 사용에서 도메인을 보호할 수 있도록 설계되었다.

DMARC의 구현 목적은 비즈니스 이메일 공격, 피싱 이메일, 이메일 사기 등 사이버 위협 행위에 도메인이 이용되지 않게 보호한다.

인증되지 않은 메일은 조직에서 보낸 것처럼 위장되었거나 승인되지 않은 서버에서 전송된 메일일 수 있다.

DMARC는 항상 다음의 2가지 이메일 인증 방법 또는 인증 확인에 사용된다.

 

SPF ( Sender Policy Framework )

도메인 소유자가 해당 도메인으로 된 이메일을 보낼 수 있는 IP 주소를 승인할 수 있다.

수신 서버에서는 특정 도메인에서 전송된 것처럼 보이는 메일이 도메인 소유자가 허용하는 서버에서 전송된 메일인지 확인할 수 있다.

 

메일 인증 프로토콜로 제로 스팸 메일 만들기 - SPF Part

 

DKIM ( Domain Keys Identified Mail )

전송된 모든 메일에 디지털 서명을 추가할 수 있다.

수신 서버에서는 이 서명을 통해 메일의 출처가 확실한지, 전송 중에 위조되거나 변경되지 않았는지 확인할 수 있다.

 

메일 인증 프로토콜로 제로 스팸 메일 만들기 - DKIM Part

 

---

 

DMARC 정책이란?

 

DMARC 정책은 Mail 이 SPF 및 DKIM 레코드에 대해 확인된 후 Mail에 어떤 일이 발생하는지 결정해 준다.

Mail 은 SPF 및 DKIM을 성공하거나 실패하게 되는데 DMARC 정책은 실패할 경우 Mail 이 스팸으로 표시되거나, 차단되거나, 의도한 수신자에게 전달될지 여부를 결정한다.

( DMARC 레코드가 없는 경우 이메일 서버는 이메일을 스팸으로 표시할 수 있지만, DMARC 레코드가 있는 경우 언제 스팸으로 표시해야 하는지에 대한 명확한 지침을 제공한다. )

" 이메일이 DKIM 및 SPF 테스트에 실패하면 스팸으로 표시해라. " 가 example.com의 도메인 정책일 때 아래 레코드를 등록할 수 있다.

728x90

DMARC 레코드를 구성하는 항목

 

항목	설명	비고
v	반드시 가장 먼저 선언되어야 한다. ‘DMARC1’로 입력	필수
p	반드시 v 다음에 선언되어야 한다. 수신 서버에서 DMARC로 인증되지 않은 메일에 대한 처리 방법 - none : 아무런 조치를 하지 않고 메일을 수신 - quarantine : 스팸 메일함으로 수신 - reject : 수신을 차단하고, 반송 처리	필수
sp	하위 도메인에서 전송된 메일에 대한 정책 - none : 아무런 조치를 하지 않고 메일을 수신 - quarantine : 스팸 메일함으로 수신 - reject : 수신을 차단하고 반송 처리
aspf	메일 정보와 SPF 서명의 문자열 일치 여부 설정 - s : 모두 일치해야 한다. - r : 부분 일치를 허용한다.
adkim	메일 정보와 DKIM 서명의 문자열 일치 여부를 설정 - s : 모두 일치해야 합니다. - r : 부분 일치를 허용합니다.
rua	해당 도메인의 DMARC 처리 보고서를 수신할 이메일 주소이다. 메일 주소 앞에 ‘mailto:’를 입력한다. 쉼표(,) 를 연결하여 여러 이메일 주소를 지정할 수 있다.

 

v=DMARC1; p=quarantine; adkim=s; aspf=s;

example.com 관리자가 이 정책을 더욱 엄격하게 만들고 이메일 서버에 더 강력하게 신호를 보내 승인되지 않은 메시지를 스팸으로 간주하기를 원하는 경우, 다음과 같이 "p=" 특성을 조정할 수 있다.