Amazon의 DMARC 인증 프로토콜 준수 SES - Amazon Simple Email Service
도메인에 DMARC 정책 설정구현 DMARC다음을 통해 준수하기 DMARC SPFDMARC다음 사항 준수 DKIM

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Amazon의 DMARC 인증 프로토콜 준수 SES

도메인 기반 메시지 인증, 보고 및 준수 (DMARC) 는 발신자 정책 프레임워크 () 및 DomainKeys 식별된 메일 (DKIM) 을 사용하여 이메일 스푸핑 및 피싱을 탐지하는 이메일 인증 프로토콜입니다. SPF 규정을 준수하려면 둘 중 하나를 SPF 통해 메시지를 인증해야 하지만 둘 다 함께 DMARC 사용하는 경우 전자 메일 전송에 대해 가능한 최고 수준의 DMARC 보호를 보장하는 것이 가장 좋습니다. DKIM

각각이 어떤 역할을 하는지, 그리고 이들 모두를 어떻게 DMARC 연결하는지 간단히 살펴보겠습니다.

  • SPF— 에서 사용하는 DNS TXT 레코드를 통해 사용자 지정 MAIL FROM 도메인을 대신하여 메일을 보낼 수 있는 메일 서버를 식별합니다. DNS 수신자 메일 시스템은 SPF TXT 레코드를 참조하여 사용자 지정 도메인의 메시지가 인증된 메시징 서버에서 오는지 여부를 확인합니다. 기본적으로 스푸핑을 방지하도록 설계되었지만 실제로는 취약한 SPF 스푸핑 기법이 있으므로 함께 사용해야 합니다. SPF DKIM DMARC

  • DKIM— 이메일 헤더의 아웃바운드 메시지에 디지털 서명을 추가합니다. 수신 이메일 시스템은 이 디지털 서명을 사용하여 수신 이메일이 도메인이 소유한 키로 서명되었는지 여부를 확인할 수 있습니다. 그러나 수신 전자 메일 시스템에서 메시지를 전달하면 인증이 SPF 무효화되는 방식으로 메시지의 봉투가 변경됩니다. 디지털 서명은 전자 메일 헤더의 일부이므로 전자 메일 메시지와 함께 유지되므로 메시지가 메일 서버 간에 전달된 경우에도 (메시지 내용이 수정되지 않는 한) DKIM 작동합니다.

  • DMARC— SPF 및 DKIM 중 하나 이상과 도메인이 일치하는지 확인합니다. and를 DKIM 단독으로 SPF 사용해도 From 주소 (수신자가 이메일 클라이언트에서 볼 수 있는 이메일 주소) 의 인증은 보장되지 않습니다. SPFMAILFROM주소에 지정된 도메인만 확인합니다 (수신자는 볼 수 없음). DKIMDKIM서명에 지정된 도메인만 확인합니다 (또한 수신자가 볼 수 없음). DMARC다음 중 SPF 하나에서 도메인 정렬이 올바르게 이루어지도록 요구하여 이 두 가지 문제를 해결합니다DKIM.

    • DMARC정렬을 SPF 통과하려면 From 주소의 도메인이 주소의 도메인 (Return Path 및 Envelope-From MAIL FROM 주소라고도 함) 과 일치해야 합니다. 전달된 메일이 제거되거나 타사 대량 이메일 공급자를 통해 메일을 보내는 경우에는 거의 불가능한데, 이는 제공자 () 가 소유한 주소를 사용하여 추적하는 반송 메일 및 수신 거부에 Return-Path (MAILFROM) 가 사용되기 때문입니다. SES

    • DKIMDMARC정렬을 통과하려면 DKIM 서명에 지정된 도메인이 From 주소의 도메인과 일치해야 합니다. 대신 메일을 보내는 타사 발신자 또는 서비스를 사용하는 경우 타사 발신자가 DKIM 서명할 수 있도록 적절하게 구성되어 있고 도메인 내에 적절한 DNS 레코드를 추가했는지 확인하면 됩니다. 그러면 수신 메일 서버는 제3자가 보낸 전자 메일을 도메인 내 주소를 사용하도록 승인된 사람이 보낸 전자 메일인 것처럼 확인할 수 있습니다.

이 모든 내용을 종합하면 다음과 같습니다. DMARC

위에서 설명한 DMARC 정렬 검사를 통해 도메인의 신뢰도를 높이고 이메일을 받은 편지함으로 전달하는 방법을 SPFDKIM, 그리고 DMARC 모두가 함께 작동한다는 것을 알 수 있습니다. DMARC수신자가 볼 수 있는 From 주소가 다음 중 하나를 통해 인증되도록 함으로써 이를 달성합니다. SPF DKIM

  • 설명된 SPF OR DKIM 검사 중 하나 또는 둘 다 DMARC 통과하면 메시지가 전달됩니다.

  • 설명된 SPF OR DKIM 검사가 모두 DMARC 실패하면 메시지가 실패합니다.

따라서 보낸 전자 메일에 대한 DMARC 인증을 받을 수 있는 최상의 기회를 얻으려면 두 DKIM 가지가 모두 SPF 필요하며, 이 세 가지를 모두 활용하면 전송 도메인을 완전히 보호하도록 하는 데 도움이 됩니다.

DMARC또한 설정한 정책을 통해 DMARC 인증에 실패할 경우 전자 메일을 처리하는 방법을 전자 메일 서버에 지시할 수 있습니다. 이에 대해서는 다음 섹션에서 설명합니다. 이 섹션에서는 보내는 이메일이 SPF 및 DKIM 를 통해 DMARC 인증 프로토콜을 준수하도록 SES 도메인을 구성하는 방법에 대한 정보가 포함되어 있습니다. 도메인에 DMARC 정책 설정

도메인에 DMARC 정책 설정

DMARC설정하려면 도메인 DNS 설정을 수정해야 합니다. 도메인 설정에는 도메인 DNS 설정을 지정하는 TXT 레코드가 포함되어야 합니다. DMARC DNS구성에 TXT 레코드를 추가하는 절차는 사용하는 호스팅 제공업체 DNS 또는 호스팅 공급자에 따라 다릅니다. Route 53을 사용하는 경우 Amazon Route 53 개발자 가이드레코드 작업을 참조하세요. 다른 공급자를 사용하는 경우 해당 공급자의 DNS 구성 설명서를 참조하십시오.

생성하는 TXT 레코드 이름은 다음과 _dmarc.example.com 같아야 합니다. example.com 여기는 도메인입니다. TXT레코드 값에는 도메인에 적용되는 DMARC 정책이 포함됩니다. 다음은 DMARC 정책이 포함된 TXT 레코드의 예입니다.

명칭 유형
_dmarc.example.com TXT "v=DMARC1;p=quarantine;rua=mailto:my_dmarc_report@example.com"

위의 DMARC 정책 예제에서 이 정책은 이메일 공급자에게 다음을 수행하도록 지시합니다.

  • 인증에 실패한 메시지의 경우 정책 매개 변수에 지정된 스팸 폴더로 메시지를 보내십시오. p=quarantine 다른 옵션으로는 를 사용하여 p=none 아무것도 하지 않거나 를 사용하여 메시지를 완전히 거부하는 방법이 있습니다. p=reject

    • 다음 섹션에서는 이 세 가지 정책 설정을 사용하는 방법과 시기에 대해 설명합니다. 잘못된 시간에 잘못된 설정을 사용하면 전자 메일이 전송되지 않을 수 있습니다. 를 참조하십시오. 구현 모범 사례 DMARC

  • 인증에 실패한 모든 이메일에 대한 보고서를 보고 매개 변수 (rua는 Reporting for Aggregate report) 에 지정된 대로 요약 (즉, 각 이벤트에 대한 개별 보고서를 보내는 대신 특정 기간 동안 데이터를 집계하는 보고서) 을 통해 전송합니다. rua=mailto:my_dmarc_report@example.com URI 이메일 공급자는 일반적으로 하루에 한 번씩 이러한 집계 보고서를 전송하지만 이러한 정책은 공급자마다 다릅니다.

도메인 구성에 DMARC 대한 자세한 내용은 웹 사이트의 개요를 참조하십시오. DMARC

전체 DMARC 시스템 사양은 인터넷 엔지니어링 태스크 포스 (IETF) DMARC 초안을 참조하십시오.

구현 모범 사례 DMARC

나머지 메일 흐름을 방해하지 않도록 점진적이고 단계적인 접근 방식으로 DMARC 정책 적용을 구현하는 것이 가장 좋습니다. 다음 단계를 따르는 롤아웃 계획을 만들고 구현하세요. 다음 단계로 넘어가기 전에 먼저 각 하위 도메인에서 이러한 각 단계를 수행하고 마지막으로 조직의 최상위 도메인에서 각 단계를 수행하십시오.

  1. 구현의 영향을 모니터링하세요 DMARC (p=none).

    • 메일 수신 조직이 해당 도메인을 사용하여 보게 되는 메시지에 대한 통계를 보내도록 요청하는 하위 도메인이나 도메인에 대한 간단한 모니터링 모드 레코드로 시작하세요. 모니터링 모드 레코드는 정책이 없음으로 설정된 DMARC TXT 레코드입니다. p=none

    • 를 통해 DMARC 생성된 보고서에는 이러한 검사를 통과한 메시지의 수와 출처가 나와 있고 그렇지 않은 메시지의 수와 출처가 나와 있습니다. 합법적인 트래픽 중 커버되지 않는 트래픽의 양을 쉽게 확인할 수 있습니다. 전달된 메시지가 SPF 실패하고 콘텐츠가 DKIM 수정되면 전달된 흔적이 보일 것입니다. 또한 사기성 메시지가 얼마나 많이 전송되고 어디에서 전송되는지도 확인할 수 있습니다.

    • 이 단계의 목표는 다음 두 단계 중 하나를 구현했을 때 어떤 이메일이 영향을 받을지 파악하고 타사 또는 승인된 발신자가 해당 또는 정책을 조정하도록 SPF 하는 것입니다. DKIM

    • 기존 도메인에 가장 적합합니다.

  2. 외부 메일 시스템이 실패한 메일을 격리하도록 요청합니다 DMARC (p=quarantine).

    • 합법적인 트래픽의 전부 또는 대부분이 둘 중 하나에 SPF 연결된 도메인을 보내고 있다고 판단되고 구현의 영향을 이해하면 격리 정책을 구현할 DMARC 수 있습니다. DKIM 격리 정책은 정책이 격리로 설정된 DMARC TXT 레코드입니다. p=quarantine 이렇게 하면 수신자에게 도메인에서 DMARC 수신되지 DMARC 않은 메시지를 고객의 받은 편지함 대신 스팸 폴더와 같은 로컬 폴더에 넣으라고 요청하게 됩니다.

    • 1단계에서 DMARC 보고서를 분석한 도메인을 전환하는 데 가장 적합합니다.

  3. 외부 메일 시스템에서 실패한 메시지를 수락하지 않도록 요청합니다 DMARC (p=reject).

    • 일반적으로 거부 정책을 구현하는 것이 최종 단계입니다. 거부 정책은 정책이 거부로 설정된 DMARC TXT 레코드입니다. p=reject 이렇게 하면 DMARC 수신자에게 DMARC 검사에 실패한 메시지를 수락하지 말라고 요청하게 됩니다. 즉, 수신자는 스팸 또는 정크 폴더로 격리되지 않고 완전히 거부됩니다.

    • 거부 정책을 사용하면 거부 시 반송이 발생하므로 어떤 메시지가 정책에 부합하지 않는지 정확히 알 수 DMARC 있습니다. SMTP 검역소의 경우 집계 데이터는 이메일의 통과 또는 실패 비율과 검사에 대한 정보를 제공합니다. SPF DKIM DMARC

    • 새 도메인이나 이전 두 단계를 거친 기존 도메인에 가장 적합합니다.

다음을 통해 준수하기 DMARC SPF

이메일이 DMARC 기준을 준수하려면 다음 조건을 모두 충족해야 합니다. SPF

  • 메시지는 사용자 지정 MAIL FROM 도메인의 DNS 구성에 게시해야 하는 유효한 SPF (유형TXT) 레코드가 SPF 있는지 확인하는 검사를 통과해야 합니다.

  • 이메일 헤더의 From 주소에 있는 도메인은 주소에 지정된 도메인 또는 하위 도메인과 일치 (일치) 해야 합니다. MAIL FROM 과 SPF SES 일치하도록 하려면 도메인 정책에 엄격한 DMARC SPF 정책 (aspf=s) 이 지정되지 않아야 합니다.

이러한 요구 사항을 준수하려면 다음 단계를 완료합니다.

  • 의 절차를 완료하여 사용자 지정 MAIL FROM 도메인을 설정합니다. 사용자 지정 MAIL FROM 도메인 사용

  • 전송 도메인에서 완화된 정책을 사용하는지 확인하세요SPF. 도메인의 정책 정렬을 변경하지 않은 경우 기본적으로 변경된 정책이 그대로 사용됩니다SES.

    참고

    명령줄에 다음 명령을 입력하고 사용 중인 도메인으로 SPF example.com 대체하여 도메인의 DMARC 정렬 범위를 확인할 수 있습니다.

    dig TXT _dmarc.example.com

    이 명령의 출력에 있는 Non-authoritative answer 아래에서 v=DMARC1로 시작하는 레코드를 찾습니다. 이 레코드에 문자열이 aspf=r 포함되어 있거나 aspf 문자열이 전혀 없는 경우 도메인에서는 완화된 정렬을 사용합니다SPF. 레코드에 문자열이 포함된 aspf=s 경우 도메인은 엄격한 정렬을 사용합니다SPF. 시스템 관리자는 도메인 DNS 구성의 DMARC TXT 레코드에서 이 태그를 제거해야 합니다.

    또는 dmarcian 웹사이트의 DMARCInspector 또는 웹사이트의 DMARCCheck Tool 도구와 같은 웹 기반 DMARC 조회 도구를 사용하여 도메인의 정책 적합성을 확인할 수 있습니다. MxToolBox SPF

DMARC다음 사항 준수 DKIM

이메일이 DMARC 기준을 준수하려면 다음 조건을 모두 충족해야 합니다. DKIM

  • 메시지에는 유효한 DKIM 서명이 있어야 하며 DKIM 검사를 통과해야 합니다.

  • DKIM서명에 지정된 도메인은 From 주소의 도메인과 정렬 (일치) 해야 합니다. 도메인 DMARC 정책에 엄격한 정렬이 지정되어 있는 경우 이러한 도메인은 정확히 일치해야 합니다 (기본적으로 엄격한 DKIM 정책 SES 사용). DKIM

이러한 요구 사항을 준수하려면 다음 단계를 완료합니다.

  • 의 절차를 DKIM 완료하여 Easy를 Amazon SES에서 Easy DKIM 설정하세요. Easy를 사용하면 Amazon이 SES 자동으로 이메일에 서명합니다. DKIM

    참고

    DKIMEasy를 사용하는 대신 메시지에 수동으로 서명할 수도 있습니다. 하지만 SES Amazon은 사용자가 생성한 DKIM 서명을 검증하지 않으므로 그렇게 할 때는 주의해야 합니다. 이러한 이유로 Easy를 사용하는 것이 좋습니다DKIM.

  • DKIM서명에 지정된 도메인이 From 주소의 도메인과 일치하는지 확인하십시오. 또는 보낸 사람 주소에 있는 도메인의 하위 도메인에서 보내는 경우 DMARC 정책이 조정이 완화되도록 설정되어 있는지 확인하십시오.

    참고

    명령줄에 다음 명령을 입력하고 사용 중인 도메인으로 DKIM example.com 대체하여 도메인의 DMARC 정렬을 확인할 수 있습니다.

    dig TXT _dmarc.example.com

    이 명령의 출력에 있는 Non-authoritative answer 아래에서 v=DMARC1로 시작하는 레코드를 찾습니다. 이 레코드에 문자열이 adkim=r 포함되어 있거나 adkim 문자열이 전혀 없는 경우 도메인에서는 완화된 정렬을 사용합니다DKIM. 레코드에 문자열이 포함된 adkim=s 경우 도메인은 엄격한 정렬을 사용합니다DKIM. 시스템 관리자는 도메인 DNS 구성의 DMARC TXT 레코드에서 이 태그를 제거해야 합니다.

    또는 dmarcian 웹사이트의 DMARCInspector 또는 웹사이트의 DMARCCheck Tool 도구와 같은 웹 기반 DMARC 조회 도구를 사용하여 도메인의 정책 적합성을 확인할 수 있습니다. MxToolBox DKIM