DMARC 대 DKIM 대 SPF: 차이점은 무엇인가요?

스푸핑이나 피싱으로부터 도메인을 보호하는 방법을 알아본 적이 있다면어디서나 볼 수 있는 세 가지 약어를 접한 적이 있을 것입니다:SPF, DKIM, DMARC입니다.

언뜻 보기에는 비슷해 보이지만(모두 DNS 기반 이메일 인증 표준입니다) 각기 다른 문제를 해결합니다. 도메인을 보호하고 이메일 전달성을 개선하려면 이러한 인증 표준의 차이점과 함께 작동하는 방식을 이해하는 것이 중요합니다.

이러한 인증 표준을 하나씩 살펴보고 어떻게 결합하여 사기성 이메일에 대한 완벽한 방어벽을 형성하는지 알아보세요.

이메일 인증의 기본 사항

이메일은 사이버 범죄나 피싱이 일상적인 문제가 되기 훨씬 전인 수십 년 전에 설계되었습니다. 기본적으로 누군가 내 도메인에서 보낸 것처럼 주장하는 이메일을 보내는 것을 막을 수 있는 방법은 없습니다.

인증 표준은 메일 서버가 발신자의 적법성을 확인할 수 있는 방법을 제공하기 위해 도입되었습니다. 이 중 가장 중요한 인증 표준은 SPF, DKIM 및 DMARC입니다.

여러 단계의 신분증 확인이라고 생각하면 됩니다:

• SPF는 메시지의 출처를 확인합니다.
• DKIM은 메시지가 변조되지 않았는지 확인합니다.
• DMARC는 메시지가 도메인과 일치하는지 확인하고 정책을 적용합니다.

SPF: 발신자 정책 프레임워크

SPF 작동 방식

SPF(발신자 정책 프레임워크 )를 사용하면 도메인에 대한 이메일 전송이 허용된 서버 목록을 게시할 수 있습니다. 누군가 내 도메인을 사용하여 메시지를 보내면 수신자의 메일 서버는 보내는 IP 주소를 이 목록과 비교합니다.

IP가 목록에 있으면 메시지가 SPF를 통과합니다. 그렇지 않으면 실패합니다.

일반적인 SPF 레코드는 다음과 같습니다:

• 도메인에 대한 이메일을 보낼 수 있도록 Google Workspace 및 Mailchimp를 승인합니다.
• 끝에 -all은 메일 서버가 다른 모든 소스를 거부하도록 지시합니다.

장점과 한계

SPF는 구현하기 쉽고 강력한 1차 방어 계층을 제공합니다. 하지만 두 가지 주요 약점이 있습니다:

1. 사용자에게 표시되는 발신자 주소가 아니라 봉투 발신자(기술적인 "반환 경로")만 인증합니다.
2. 이메일이 전달될 때 전달자의 IP가 기록에 나열되어 있지 않을 수 있으므로 SPF는 실패합니다.

즉, SPF는 이메일이 어디에서 왔는지는 확인하지만 반드시 보낸 사람이 누구인지는 확인하지 않습니다.

DKIM: 도메인키 식별 메일

DKIM 작동 방식

DKIM(도메인키 식별 메일)은 암호화 서명을 사용하여 이메일이 전송 중에 변경되지 않았으며 내 도메인에서 진짜로 발송되었음을 확인합니다.

작동 방식은 다음과 같습니다:

• 메일 서버는 보내는 각 메시지에 개인 키로 서명합니다.
• 수신 서버는 DNS 레코드에서 공개 키를 검색하여 서명을 확인합니다.

서명이 일치하면 해당 이메일은 진본으로 간주됩니다.

일반적인 DKIM 레코드는 다음과 같습니다:

강점 및 제한 사항

DKIM은 메시지가 변조되지 않았다는 확신을 제공하므로 무결성 측면에서 큰 장점이 있습니다. 하지만 DKIM만으로는 확인에 실패한 이메일에 어떤 일이 일어날지 알 수 없으며, 공격자가 유효한 서명 없이 도메인을 사용하여 메시지를 보내는 것을 방지하지도 못합니다.

이것이 바로DMARC가 제공하는정책 계층의 누락입니다.

DMARC: 도메인 기반 메시지 인증, 보고 및 준수

DMARC의 작동 방식

DMARC는 SPF 및 DKIM을 기반으로 구축되어 도메인 소유자에게 실질적인 제어 권한을 부여합니다. 다음 세 가지 작업을 수행합니다:

1. 정렬 - 표시되는 '보낸 사람' 헤더의 도메인이 SPF 또는 DKIM으로 인증된 도메인과 일치하는지 확인합니다.

2. 정책 - 인증되지 않은 메시지에 대해 메일 서버에 수행할 작업(아무것도 하지 않음, 스팸으로 보내기, 거부)을 알려줍니다.

3. 보고 - XML 보고서(RUA 및 RUF)를 통해 도메인이 어떻게 사용되고 있는지에 대한 피드백을 제공합니다.

다음은 DMARC 레코드 예시입니다:

이는 수신자에게 DMARC 검사에 실패한 모든 이메일을 격리하고, 지정된 주소로 집계 보고서를 보내며, 메시지의 100%에 이 규칙을 적용하도록 지시합니다.

DMARC의 차이점

SPF와 DKIM은 확인 기능은 제공하지만 적용 기능은 제공하지 않습니다. DMARC는 인증 결과를 도메인의 가시적 ID에 다시 연결하고 일치하지 않을 때 취해야 할 조치를 정의하여 부족한 책임 계층을 추가합니다.

실제로 공격자가 도메인을 스푸핑하여 그럴듯한 피싱 메시지를 '보내는' 것을 방지하는 것이 바로 DMARC입니다. 또한 누가 내 이름으로 메일을 보내는지 정확히 확인할 수 있도록 도와줍니다.

SPF, DKIM 및 DMARC가 함께 작동하는 방식

SPF, DKIM, DMARC는 세 부분으로 구성된 안전 시스템으로 생각할 수 있으며, 각 부분은 다른 부분이 할 수 없는 부분을 보완합니다.

• SPF는 메일이 인증된 서버에서 전송되는지 확인합니다.
• DKIM은 메시지 콘텐츠가 변경되지 않은 진본임을 보장합니다.
• DMARC는 두 가지 검사가 표시되는 도메인과 일치하는지 확인하고 일치하지 않을 경우 정책을 시행합니다.

메시지가 SPF에 실패했지만 DKIM을 통과한 경우에도 DMARC가 '보낸 사람' 주소의 DKIM 서명이 동일한 도메인과 일치하는지 확인하면 메시지를 전달할 수 있습니다.

둘 다 실패하면 DMARC는 모니터링, 격리 또는 거부 중 선택한 정책을 적용합니다.

이 정렬 메커니즘은 DMARC의 강력한 기능입니다. 기술적인 발신자 신원과 수신자에게 보이는 브랜드 신원 사이의 점을 연결해 줍니다.

일반적인 오해

숙련된 관리자들 사이에서도 이러한 프로토콜을 혼동하는 경우가 있습니다. 몇 가지 잘못된 상식을 바로잡아 보겠습니다:

• SPF만으로 스푸핑을 막을 수 있다.
  사실이 아닙니다. SPF는 보이는 발신자 도메인을 확인하지 않습니다. 메시지를 보낸 서버만 확인합니다. 공격자는 여전히 보낸 사람 필드를 위조할 수 있습니다.

• SPF가 작동하는 경우 DKIM은 선택 사항입니다.
  실제로는 그렇지 않습니다. DKIM은 무결성을 보장하는 데 필수적이며, SPF가 종종 실패하는 전달 과정에서 메시지가 살아남을 수 있도록 도와줍니다.

• DMARC는 대규모 조직에만 해당됩니다.
  이 또한 거짓입니다. DMARC는 무료 개방형 표준입니다. 소규모 기업부터 글로벌 브랜드에 이르기까지 모든 도메인 소유자는 기록을 게시하고 즉각적인 가시성을 확보할 수 있습니다.

• 이 세 가지를 모두 구현하는 것은 복잡합니다.
  어렵게 느껴질 수 있지만 SPF와 DKIM을 구성하고 나면 DMARC는 또 하나의 TXT 레코드에 불과합니다. 진짜 문제는 보고서를 모니터링하고 시간이 지남에 따라 정렬을 유지하는 것입니다(자동화 도구를 사용하면 훨씬 쉬워집니다).

인증 시작하기

아직 구현하지 않은 경우 대부분의 조직이 따르는 실용적인 경로를 소개합니다:

1. SPF 레코드를 게시합니다. 도메인에 대해 메일을 보내는 모든 서비스를 식별하여 SPF 레코드에 나열합니다. 예시

   v=spf1 include:_spf.google.com include:sendgrid.net -all


2. DKIM 서명을 사용 설정합니다.
   대부분의 메일 서비스(예: Google Workspace, Microsoft 365 또는 SendGrid)는 DNS의 공개 키를 생성하는 DKIM 설정 마법사를 제공합니다.

3. DMARC 레코드를 추가합니다.
   모니터링 모드에서 시작하여 데이터를 안전하게 수집합니다:

   v=DMARC1; p=none; rua=mailto:dmarc-reports@yourdomain.com


    

4. 모니터링하고 조정합니다.
   몇 주 동안 보고서를 검토하여 모든 합법적인 출처가 인증되었는지 확인한 다음, 정책을 강화하여 격리하고 최종적으로 거부하세요.

이 프로세스를 하룻밤 사이에 완료할 필요는 없습니다. 점진적으로 적용하면 위험을 최소화하면서 보호 기능을 꾸준히 개선할 수 있습니다.

구글과 야후의 새로운 DMARC 요건

2024년 초, 구글과 야후는 플랫폼 전반에서 스팸과 피싱을 줄이기 위한 새로운 발신자 요건을 발표했습니다. 이러한 규칙은 대량의 이메일, 특히 마케팅, 거래 또는 뉴스레터 메시지를 보내는 모든 도메인에 영향을 미칩니다.

이러한 새로운 정책의 핵심은대량 발신자에 대한 DMARC 적용을 의무화하는 것입니다.

다음은 두 공급업체가 현재 요구하는 사항을 요약한 것입니다:

1. 유효한 SPF 및 DKIM 레코드를 게시합니다. 이메일 전송에 사용되는 모든 도메인에는 한 가지가 아닌 두 가지 인증 메커니즘이 모두 적용되어야 합니다.

2. 최소한 "없음" 정책으로 DMARC를 구현하세요. Google과 Yahoo는 모든 대량 발신자(일반적으로 하루에 5,000개 이상의 메시지로 정의됨)가 도메인 수준에서 DMARC 레코드를 게시하도록 요구합니다. 예시:

   • v=DMARC1; p=none; rua=mailto:dmarc-reports@yourdomain.com

   "모니터 전용" 정책(p=none)도 기본 요건을 충족하지만, 두 제공업체 모두 완전한 보호를 위해 격리 또는 거부로 전환할 것을 권장합니다.

3. "보낸 사람"과 인증된 도메인을 정렬합니다. 메시지는 '보낸 사람' 헤더에 SPF 또는 DKIM으로 인증된 도메인과 일치하는(또는 일치하는) 도메인을 사용해야 합니다. 일치하지 않는 도메인은 거부될 가능성이 높습니다.

4. 간편한 구독 취소 옵션을 제공하세요. 구글과 야후는 상업용 메시지에서 원클릭 수신 거부 링크를 의무화하고 있으며, 2일 이내에 수신 거부 요청을 처리해야 합니다.

5. 낮은 스팸 비율 유지. 발신자는 Google 포스트마스터 도구 지표에 따라 스팸 신고율을 0.3% 미만으로 유지해야 합니다.

'대량 발신자'가 아니더라도 Gmail 또는 Yahoo Mail로 메시지를 보내는 경우 이러한 기준을 이행하는 것은 더 이상 선택 사항이 아니라 필수입니다.

이러한 표준을 준수하면 메시지가 받은 편지함에 일관되게 도달할 가능성이 훨씬 더 높아집니다.

간단한 요약

SPF, DKIM 및 DMARC는 경쟁하는 기술이 아니라 하나의 시스템을 구성하는 상호 보완적인 부분입니다.

• SPF는 전송 인프라의 유효성을 검사합니다.
• DKIM은 메시지 무결성을 검증합니다.
• DMARC는 정렬을 검증하고 정책을 시행합니다.

이 두 가지를 결합하면 취약하고 쉽게 위조될 수 있는 채널에서 가장 신뢰할 수 있는 디지털 커뮤니케이션 형태로 이메일을 전환할 수 있습니다.

각 레코드는 게시하기에는 간단하지만, 특히 여러 공급업체, 하위 도메인 및 외부 서비스가 관련된 경우 가시성을 유지하고 결과 데이터를 이해하는 것은 금방 복잡해질 수 있습니다.

바로 이 지점에서 자동화와 분석이 큰 차이를 만들어냅니다.

DMARCeye가 DMARC 구현 및 모니터링을 간소화하는 방법

SPF, DKIM, DMARC를 올바르게 설정하는 것은 시작에 불과합니다. 진짜 문제는 그 이후에 발생하는 것으로, DMARC 보고서를 해석하고, 무단 소스를 탐지하고, 이메일 인프라가 발전함에 따라 정렬을 유지하는 것입니다.

DMARCeye는 이러한 프로세스를 손쉽게 수행할 수 있도록 설계되었습니다. 원시 XML 보고서를 직관적인 대시보드로 변환하여 누가 대신 메일을 보내는지, 인증을 통과했는지 여부를 한눈에 보여줍니다.

DMARCeye를 사용하면 다음과 같이 할 수 있습니다:

• 모든 도메인에서 SPF, DKIM 및 DMARC 결과 모니터링
• 스푸핑 시도를 즉시 식별하고 차단합니다.
• 합법적인 발신자와 권한이 없는 발신자를 명확하게 구분하여 확인
• '모니터링'에서 '집행'까지의 진행 상황을 자신 있게 추적하세요.
• 배달 가능성을 유지하면서 브랜드 평판 보호

하나의 도메인을 관리하든 수백 개의 도메인을 관리하든 DMARCeye는 복잡한 로데이터를 들여다보지 않고도 조직의 이메일을 안전하게 유지하는 데 필요한 가시성과 제어 기능을 제공합니다.