이메일을 보내지 않는 도메인을 보호하는 방법

이메일을 보내지 않는 도메인을 보호하는 방법

이메일을 보내지 않는 도메인은 여전히 이메일 스푸핑 또는 피싱 공격에 사용될 수 있지만, 공격자를 억제하는 데 사용할 수 있는 특정 유형의 DNS 텍스트(TXT) 레코드가 있습니다.이러한 각 레코드는 메일 서버에서 승인되지 않은 이메일을 처리하는 방법에 대한 규칙을 설정하여 공격자가 이러한 도메인을 악용하기 어렵게 만듭니다.

DNS TXT 레코드를 사용하면 도메인 관리자가 도메인 네임 시스템(DNS)에 텍스트를 입력할 수 있습니다. DNS TXT 레코드는 서버가 도메인이 이메일 발신자에게 대신 메시지를 보낼 수 있는 권한을 부여했는지 여부를 확인하는 데 사용할 수 있는 중요한 정보를 저장할 수 있으므로 이메일 인증과 같은 프로세스에 사용됩니다.

이메일을 보내지 않는 도메인의 예로는 브랜드 이름을 보호하거나 향후 비즈니스를 위해 구매한 도메인이 있습니다. 존재하지 않는 레거시 도메인도 이메일을 보낼 이유가 없으며 이러한 유형의 레코드의 이점을 누릴 수 있습니다.

이메일 인증에 사용되는 DNS TXT 레코드의 다른 유형은 무엇일까요?

이메일 인증에 사용되는 DNS TXT 레코드에는 세 가지 주요 유형이 있습니다. 유형마다 작동 방식이 약간 다릅니다.

• 발신자 정책 프레임워크(SPF) 레코드에는 도메인을 대신하여 이메일을 보낼 권한이 있는 모든 IP 주소와 도메인 이름이 나열됩니다.
• 도메인키 식별 메일(DKIM) 레코드에는 보낸 사람이 실제로 이메일을 승인했는지 여부를 인증하는 디지털 서명이 제공됩니다.이 디지털 서명은 또한 공격자가 통신을 가로채고 악의적인 목적으로 메시지를 변경하는 경로상 공격을 방지하는 데 도움이 됩니다.
• 도메인 기반 메시지 인증, 보고 및 적합성(DMARC) 레코드에는 도메인의 DMARC 정책이 포함됩니다.DMARC는 도메인의 SPF와 DKIM 레코드를 확인하여 이메일을 인증하는 시스템입니다.DMARC 정책에는 SPF 또는 DKIM 검사에 실패한 이메일을 스팸으로 표시할지, 차단할지, 통과를 허용할지가 명시되어 있습니다.

이러한 DNS 레코드는 어떤 모습일까요?

이러한 DNS 레코드는 모두 조금씩 다르게 작동하므로 각 구성 요소는 고유합니다.

SPF

SPF 레코드는 도메인에서 보낸 모든 이메일을 거부하여 피싱 공격 시도로부터 도메인을 보호하도록 형식을 지정할 수 있습니다. 이렇게 하려면 SPF 레코드에서 다음 형식을 사용해야 합니다.

v=spf1 -all

*SPF 레코드는 도메인 자체에 직접 설정되므로 특별한 하위 도메인이 필요하지 않습니다.

이 레코드의 개별 구성 요소가 의미하는 바는 다음과 같습니다.

• v=spf1 레코드에 SPF 정책이 포함되어 있음을 서버에 알립니다.모든 SPF 레코드는 이 구성 요소로 시작해야 합니다.
• 표시기 -all는 SPF 레코드에 명시적으로 나열되지 않은 비준수 이메일 또는 보낸 사람에 대해 수행할 작업을 서버에 알려줍니다. 이 유형의 SPF 레코드에서는 IP 주소 또는 도메인이 허용되지 않으므로 -all은 모든 비준수 이메일이 거부될 것임을 표시합니다. 이 유형의 레코드의 경우 허용되는 IP 주소 또는 도메인이 없으므로 모든 이메일은 규정을 준수하지 않는 것으로 간주됩니다.

DKIM

DKIM 레코드는 공개 키와 개인 키를 사용하여 발신자가 실제로 이메일을 승인했는지 확인하여 도메인을 보호합니다. DKIM 레코드는 이메일 서버가 발신자가 이메일 서명을 승인했음을 인증하는 데 사용하는 공개 키를 저장합니다. 이메일을 보내지 않는 도메인의 경우 연결된 공개 키 없이 DKIM 레코드를 구성해야 합니다. 다음은 그 예입니다.

이름	유형	내용
*._domainkey.example.com	TXT	v = DKIM1; p=

 

• *._domainkey.example.com 은 DKIM 레코드의 특수 이름입니다(여기서 "example.com"을귀하의 도메인으로 바꿔야 함).이 예에서는 별표(와일드카드라고 함)가 선택기로 사용되고 있으며, 이는 이메일 서비스 공급자가 도메인에 대해 생성하고 사용하는 특수 값입니다.선택기는 DKIM 헤더의 일부이며 이메일 서버는 이를 사용하여 DNS에서 DKIM 조회를 수행합니다.와일드카드에는 선택기에 사용할 수 있는 모든 값이 포함됩니다.
• TXT DNS 레코드 유형을 나타냅니다.
• v=DKIM1는 버전 번호이며 이 레코드가 DKIM 정책을 참조함을 서버에 알립니다.
• 이 p 값은 서명을 공개 키에 연결하여 이메일을 인증하는 데 도움이 됩니다. 이 DKIM 레코드에서 p 값은 다시 연결할 서명/공개 키가 없으므로 비어 있어야 합니다.

DMARC

DMARC 정책은 SPF 및 DKIM에 실패한 모든 이메일을 거부하여 이메일을 보내지 않는 도메인을 보호하는 데도 도움이 될 수 있습니다. 이 경우 이메일을 보내도록 구성되지 않은 도메인에서 보낸 모든 이메일은 SPF 및 DKIM 검사에 실패합니다. 다음은 이러한 방식으로 정책 형식을 지정하는 방법의 예입니다.

이름	유형	내용
_dmarc.example.com	TXT	v=DMARC1;p=reject;sp=reject;adkim=s;aspf=s

 

• 이름 필드는 레코드가 _dmarc.example.com이라는 하위 도메인에 설정되었는지 확인합니다. 이는 DMARC 정책에 필요합니다.
• TXT DNS 레코드 유형을 나타냅니다.
• v=DMARC1은 이 DNS 레코드에 DMARC 정책이 포함되어 있음을 서버에 알립니다.
• p=reject는 이메일 서버가 DKIM 및 SPF 검사에 실패한 이메일을 거부해야 함을 나타냅니다.
• adkim=s는 정렬 모드라는 것을 나타냅니다.이 경우 정렬 모드는 엄격함을 나타내는 "s"로 설정됩니다.엄격한 정렬 모드는 DMARC 레코드가 포함된 이메일 도메인의 서버가 이메일의 From 헤더에 있는 도메인과 정확히 일치해야 함을 의미합니다.그렇지 않으면 DKIM 검사에 실패합니다.
• aspf=s는 adkim=s와 동일한 용도로 사용되지만, SPF 정렬을 위한 것입니다.

Cloudflare Email Security DNS Wizard를 사용하면 올바른 DNS TXT 레코드를 간단하게 설정하고 스팸 발송자가 도메인을 사용하지 못하도록 차단할 수 있습니다.Wizard에 대한 자세한 내용은 여기를 참조하세요.