Amazon SES에서 DKIM을 사용하여 이메일 인증 - Amazon Simple Email Service
DKIM 서명 키 길이DKIM 고려 사항상속된 DKIM 서명 속성 이해

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Amazon SES에서 DKIM을 사용하여 이메일 인증

DomainKeys Identified Mail(DKIM)은 특정 도메인에서 전송했다고 주장하는 이메일이 해당 도메인의 소유자가 실제로 승인했는지 확인하기 위해 고안된 이메일 보안 표준입니다. 퍼블릭 키 암호화를 사용하여 프라이빗 키를 사용한 이메일에 서명합니다. 그러면 수신자 서버는 도메인의 DNS에 게시된 퍼블릭 키를 사용하여 전송 중에 이메일의 일부가 수정되지 않았는지 확인할 수 있습니다.

DKIM 서명은 선택 사항입니다. DKIM 준수 이메일 공급자에서 배달 가능성을 개선하기 위해 DKIM 서명을 사용하여 이메일을 서명할 수 있습니다. Amazon SES는 DKIM 서명을 사용하여 메시지에 서명할 수 있는 세 가지 옵션을 제공합니다.

  • Easy DKIM: SES가 퍼블릭-프라이빗 키 페어를 생성하고 해당 자격 증명에서 보내는 모든 메시지에 DKIM 서명을 자동으로 추가합니다. Amazon SES에서 Easy DKIM 섹션을 참조하세요.

  • BYODKIM(자체 DKIM 사용): 사용자가 자체 퍼블릭-프라이빗 키 페어를 제공하면 SES가 해당 자격 증명에서 보내는 모든 메시지에 DKIM 서명을 추가합니다. Amazon SES에 자체 DKIM 인증 토큰(BYODKIM) 제공 섹션을 참조하세요.

  • DKIM 서명 수동 추가: 사용자가 SendRawEmail API를 사용하여 전송하는 이메일에 자체 DKIM 서명을 추가합니다. Amazon SES에서 수동 DKIM 서명 섹션을 참조하세요.

DKIM 서명 키 길이

현재 많은 DNS 공급자가 DKIM 2048비트 RSA 암호화를 완벽하게 지원하므로 Amazon SES는 또한 이메일 인증을 보다 안전하게 수행할 수 있도록 DKIM 2048을 지원함으로써 API 또는 콘솔에서 Easy DKIM을 구성할 때 이를 기본 키 길이로 사용합니다. 2048비트 키는 BYODKIM(자체 DKIM 사용)에서 설정 및 사용할 수도 있습니다. 이때 서명 키 길이가 1024비트 이상이어야 하며 2048비트를 넘지 않아야 합니다.

Easy DKIM으로 구성된 경우 보안 및 이메일 전송 가능성을 위해 1024 및 2048비트 키 길이를 사용하도록 선택할 수 있으며 여전히 2048비트를 지원하지 않는 DNS 공급자에 의해 발생하는 문제가 있는 경우 1024비트로 되돌릴 수 있는 유연성도 제공합니다. 새 ID를 만들 때 1024비트를 지정하지 않으면 기본적으로 DKIM 2048비트를 사용하여 만들어집니다.

전송 중인 이메일의 전송 가능성을 유지하기 위해 사용자의 DKIM 키 길이를 변경할 수 있는 빈도에는 제한이 있습니다. 제한 사항은 다음과 같습니다.

  • 이미 구성된 것과 동일한 키 길이로 전환할 수 없습니다.

  • 24시간 동안 두 번 이상 다른 키 길이로 전환할 수 없습니다(해당 기간 동안 첫 번째 다운그레이드가 1024비트로 이루어지지 않은 경우).

이메일이 전송 중일 때 DNS는 퍼블릭 키를 사용하여 이메일 인증합니다. 따라서 키를 너무 빠르게 또는 자주 변경하면 이전 키가 이미 무효화되어 DNS가 이메일을 DKIM 인증하지 못할 수 있으므로 이러한 제한 사항으로 인해 보호됩니다.

DKIM 고려 사항

DKIM을 사용하여 이메일을 인증할 때 다음 규칙이 적용됩니다.

  • 'From' 주소에 사용하는 도메인에 대해서만 DKIM을 설정하면 됩니다. 'Return-Path' 또는 'Reply-to' 주소에 사용하는 도메인에 대해서는 DKIM을 사용하지 않아도 됩니다.

  • Amazon SES는 일부 AWS 리전에서 사용할 수 있습니다. 둘 이상의 AWS 리전을 사용하여 이메일을 보내는 경우 모든 이메일이 DKIM 서명되도록 각 모든 리전에서 DKIM 설정 프로세스를 완료해야 합니다.

  • DKIM 속성은 상위 도메인에서 상속되기 때문에 DKIM 인증을 사용하여 도메인을 확인할 때 다음을 수행합니다.

    • DKIM 인증은 해당 도메인의 모든 하위 도메인에도 적용됩니다.

      • 하위 도메인에 대한 DKIM 설정은 하위 도메인에서 DKIM 인증을 사용하고 싶지 않은 경우 상속을 사용 중지하여 상위 도메인 설정을 재정의할 수 있습니다. 상속 기능은 나중에 다시 사용 설정할 수 있습니다.

    • DKIM 인증은 주소에서 DKIM 확인 도메인을 참조하는 이메일 자격 증명에서 보낸 모든 이메일에도 적용됩니다.

      • 이메일 주소에 대한 DKIM 설정은 DKIM 인증 없이 메일을 보내려고 하는 경우 하위 도메인(해당하는 경우) 및 상위 도메인에 대한 설정을 상속 사용 중지하여 재정의할 수 있습니다. 상속 기능은 나중에 다시 사용 설정할 수 있습니다.

상속된 DKIM 서명 속성 이해

Easy DKIM 또는 BYODKIM이 사용되는지 여부에 관계없이 해당 도메인이 DKIM으로 구성된 경우 이메일 주소 자격 증명이 상위 도메인에서 DKIM 서명 속성을 상속한다는 점을 먼저 이해하는 것이 중요합니다. 따라서 이메일 주소 자격 증명에 대해 DKIM 서명을 사용 중지하거나 사용하면 다음과 같은 주요 요인에 따라 도메인의 DKIM 서명 속성이 재정의됩니다.

  • 이메일 주소가 속하는 도메인에 대해 DKIM을 이미 설정한 경우 해당 이메일 주소 자격 증명에 대해 DKIM 서명을 사용할 필요가 없습니다.

    • 도메인에 대해 DKIM을 설정하면 Amazon SES가 상위 도메인에서 상속한 DKIM 속성을 통해 해당 도메인의 모든 주소에서 보내는 모든 이메일을 자동으로 인증합니다.

  • 특정 이메일 주소 자격 증명의 DKIM 설정은 해당 이메일이 속한 상위 도메인 또는 하위 도메인(해당하는 경우)의 설정을 자동으로 재정의합니다.

이메일 주소 자격 증명의 DKIM 서명 속성은 상위 도메인에서 상속되므로 이러한 속성을 재정의하려는 경우 아래 표에서 설명하는 대로 재정의의 계층적 규칙을 고려해야 합니다.

상위 도메인에 DKIM 서명이 사용되지 않음 상위 도메인에 DKIM 서명이 사용됨

이메일 주소 자격 증명에 대해 DKIM 서명을 사용할 수 없음

 이메일 주소 자격 증명에 대해 DKIM 서명을 사용 중지할 수 있음
이메일 주소 자격 증명에 대해 DKIM 서명을 다시 사용할 수 있음

일반적으로 DKIM 서명을 사용 중지하는 것은 권장되지 않으며 보낸 메일이 정크 또는 스팸 폴더로 이동하거나 도메인이 스푸핑될 위험이 높아집니다.

그러나 DKIM 서명을 영구적으로 또는 일시적으로 사용 중지하거나 나중에 다시 사용해야 할 수 있는 특정 사용 사례 또는 예외적인 비즈니스 결정에 대해 이메일 주소 자격 증명에서 도메인이 상속한 DKIM 서명 속성을 재정의하는 기능이 있습니다. 이메일 주소 ID에 대한 상속된 DKIM 서명 재정의을(를) 참조하세요.