SPF, DKIM, DMARC가 이메일 전송, 보안을 주도하는 방법

세 가지 이메일 인증 표준이 함께 작동하여 보낸 사람의 이메일 배달 가능성과 받는 사람의 이메일 안전을 개선합니다.

SPF(Sender Policy Framework), DKIM(DomainKeys Identified Mail) 및 DMARC(Domain-based Message Authentication, Reporting, and Conformance)는 회사에서 보낸 이메일이 진짜인지 확인하고 악의적인 행위자가 스푸핑하거나 변조하지 않도록 합니다. 그들을.

SPF, DKIM, DMARC

SPF, DKIM 및 DMARC는 지정된 메시지가 인증된 IP 주소에서 전송되었고 발신자가 인증되었으며 발신자가 신원에 대해 투명하다는 수신 이메일 서버를 보여줍니다.

차례대로 하나씩 봅시다.

도메인에 대한 SPF 레코드 설정에는 승인된 발신 메일 서버 목록이 포함된 TXT 레코드 유형을 DNS(도메인 이름 시스템)에 추가하는 작업이 포함됩니다. SPF는 비즈니스 도메인의 이메일이 사기꾼이 아닌 인증된 소스에서 온 것인지 확인합니다.

DKIM 키는 DNS에 저장된 공개 키와 보내는 메일 서버에 저장된 개인 키의 두 부분으로 구성됩니다. 각 발신 이메일에 첨부된 DKIM 서명은 수신자의 메일 서버에서 진위를 확인하는 데 사용됩니다. DKIM은 또한 주어진 이메일 메시지가 변경되었는지 여부를 나타낼 수 있습니다.

DMARC는 SPF 또는 DKIM 인증에 실패한 경우 도메인에서 들어오는 이메일을 처리하는 방법을 회사에서 제어할 수 있는 정책 메커니즘입니다. 옵션은 "거부", "격리" 또는 "없음"입니다. 범죄자가 귀하의 도메인을 사용하려고 하는 경우 이는 알람 벨과 같을 수 있습니다.

SPF 레코드

SPF 레코드를 설정하려면 GoDaddy와 같은 등록 기관에서 도메인의 DNS 레코드에 액세스해야 합니다. 도메인을 확인하거나 새 서버로 이동해야 하는 경우 DNS 레코드를 업데이트했을 수 있습니다.

SPF 레코드는 단순히 도메인 DNS의 TXT 레코드입니다.

SPF 레코드는 'TXT' 유형이 됩니다. 그리고 사용 중인 SPF 버전으로 시작됩니다.

 v=spf1

버전 다음에는 다음과 같이 인증된 IP4 또는 IP6 주소 목록이 옵니다.

 v=spf1 ip4:192.168.0.1

이 SPF 레코드는 192.168.0.1 IP 주소의 이메일을 인증합니다. IP 주소 범위를 허용하려면 CIDR(Classless Inter-Domain Routing) 표기법("슬래시" 표기법이라고도 함)을 사용할 수 있습니다.

 v=spf1 ip4:192.168.0.0 /16

위의 SPF 레코드는 192.168.0.0에서 192.168.255.255까지의 IP 주소 범위를 승인합니다. 이것이 "/16"이 나타내는 것입니다.

SPF 레코드는 접두사 "a"를 사용하여 이름으로 도메인을 인증할 수 있습니다. 아래 레코드는 example.com 도메인과 연결된 서버를 인증합니다.

 v=spf1 a:example.com

마찬가지로 접두사 "mx"("메일 교환")는 특정 메일 서버에 권한을 부여합니다.

 v=spf1 mx:mail.example.com

제3자 발신자를 승인하려면 접두사 'include'를 사용하세요. 아래 예에서는 IP 범위와 Google 서버를 모두 허용합니다.

 v=spf1 ip4:192.168.0.0/16 포함:_spf.google.com

두 개의 SPF 한정자도 있습니다. 첫 번째는 ~모두 물결표(~)입니다. 두 번째는 하이픈(-)이 있는 -all입니다.

물결표 버전(~all)은 소프트 실패 한정자입니다. 대부분의 경우 수신 이메일 서버는 연결된 SPF 레코드에 없지만 의심스러운 것으로 간주하는 보낸 사람의 메시지를 수락합니다.

하이픈 버전(-all)은 hard-fail 한정자입니다. 수신 이메일 서버는 SPF 레코드에서 승인되지 않은 서버에서 보낸 메시지를 스팸으로 분류하고 거부할 가능성이 높습니다.

마지막으로 이들 모두는 상대적으로 복잡한 인증에 함께 사용될 수 있습니다.

 v=spf1 ip4:192.168.0.0/16 a:example.com 포함:_spf.google.com

SPF 레코드는 수신 이메일 서버가 회사 도메인에서 보낸 진짜 이메일 메시지를 식별하는 데 도움이 된다는 점을 기억하십시오.

DKIM 키

DKIM은 귀하의 도메인을 보호하고 누군가가 귀하의 회사를 사칭하는 것을 방지합니다. 두 개의 DKiM 키를 사용하면 수신자의 이메일 서버에서 회사에서 메시지를 보냈는지 그리고 보낸 후에 변경되지 않았는지 확인할 수 있습니다.

DKIM 설정의 첫 번째 단계는 공개 키와 비공개 키를 생성하는 것입니다. 개인 키는 도메인에서 이메일을 보내는 데 사용되는 서버에서 안전합니다. 공개 키는 DNS에 TXT 레코드로 추가됩니다.

까다로운 부분은 키를 생성하는 정확한 절차가 이메일 서비스 공급자마다 다르기 때문에 키를 생성하는 것입니다. 회사에서 자체 메일 서버를 호스팅하는 경우에는 완전히 다릅니다.

이메일 서비스 제공업체는 지침을 제공합니다. 다음은 특정 순서 없이 몇 가지 예입니다.

• Mailchimp: 이메일 도메인 인증 설정,
• Klaviyo: 전용 전송 도메인 설정 방법,
• Zoho 캠페인: 내 도메인을 인증하는 방법,
• MailerLite: 이메일 도메인 인증,
• 운동가: DKIM, SPF, DMARC,
• ConvertKit: 이메일 전송을 위해 확인된 도메인 사용,
• MailUp: 이메일의 배달 가능성 극대화,
• ActiveCampaign: SPF, DKIM 및 DMARC 인증,
• 키프: DKIM.

각각의 경우 이메일 공급자의 CNAME 레코드를 도메인의 DNS에 추가(복사 및 붙여넣기)하면 DKIM이 완료됩니다. 이 레코드는 회사의 아웃바운드 이메일 마케팅 메시지를 인증하기 위한 공개 키를 나타냅니다.

DMARC

DMARC는 또 다른 보호 계층을 제공하며 SPF 또는 DKIM 인증에 실패한 메시지를 어떻게 처리할지 이메일 서버에 지시합니다.

DMARC의 기초는 도메인의 DNS에 배치된 TXT 레코드입니다. 여기에는 최소 두 가지 요소가 포함된 DMARC 정책이 포함됩니다.

• 이메일 인증에 대한 집계 보고서를 수신할 이메일 주소 및
• 인증에 실패한 이메일에 대해 수행할 조치(예: 거부 또는 검역).

다음은 DNS의 DMARC TXT 레코드 예입니다.

 v=DMARC1; p=격리; rua=mailto:[email protected]; ruf=mailto:[email protected].

레코드는 DMARC 버전으로 시작합니다.

 v=DMARC1;

"p" 요소는 인증에 실패한 이메일에 대한 조치를 지정합니다. 이 경우 수신 서버에 이러한 메시지를 보관 영역으로 이동하도록 지시하는 "격리"로 설정됩니다. 다른 옵션으로는 "없음"(이메일을 중지하지는 않지만 SPF 또는 DKIM 오류를 모니터링함) 또는 "거부"가 있습니다.

 p=격리;

접두사 "rua" 및 "ruf"는 집계 보고서(rua - 집계 데이터에 대한 보고 URI) 및 포렌식 보고서(ruf - 실패 데이터에 대한 보고 URI)를 보낼 위치를 수신 서버에 알려줍니다. 이러한 보고서는 귀하의 비즈니스를 사칭하려는 범죄자를 공개할 수 있습니다.

추가 수정자는 다음과 같습니다.

• pct — DMARC 정책이 적용되는 이메일 메시지의 비율입니다.
• sp — 하위 도메인에 대한 DMARC 정책입니다.
• adkim — DKIM에 엄격(adkim:s) 또는 완화(adkim:r) 모드를 지정합니다.
• aspf — SPF에 엄격(adkim:s) 또는 완화(adkim:r) 모드를 지정합니다.

타사 서비스는 공식 표준을 기반으로 DMARC 레코드를 생성하는 데 도움이 될 수 있습니다. 이러한 서비스에는 다음이 포함됩니다.

• MX툴박스,
• 파워DMARC,
• 드마시안,
• EasyDMARC.

발신자와 수신자 보호

도메인에 SPF, DKIM 및 DMARC 레코드를 설정하면 이메일 서버가 회사에서 보낸 메시지를 인증된 메시지로 인식하고 사기꾼을 거부합니다. 그 결과 회사의 평판을 보호하고 피싱 공격 및 기타 유형의 이메일 사기로부터 고객을 보호합니다.