도메인 기반 메일 인증, 보고 및 확인(DMARC) 정책은 DMARC 레코드라고 하는 텍스트 값의 행에 정의되어 있습니다. 이 레코드에 다음 사항이 정의됩니다.
- DMARC에서 메일 검사 시 엄격성 정도
- 인증 검사에 실패한 메일의 경우 수신 서버에서 취해야 할 권장 조치
DMARC 정책 옵션
도메인에서 보낸 메일이 DMARC 인증을 통과하지 못할 경우 DMARC 정책에 따라 수신 메일 서버에서 취할 조치를 추천합니다.
다음은 DMARC 정책 레코드의 예입니다. v 및 p 태그가 먼저 나열되어야 하며, 다른 태그의 순서는 상관없습니다.
v=DMARC1; p=reject; rua=mailto:postmaster@solarmora.com, mailto:dmarc@solarmora.com; pct=100; adkim=s; aspf=s
DMARC 레코드 태그 정의 및 값
태그 | 설명 및 값 |
v |
DMARC 버전이며, DMARC1이어야 합니다. 이 태그는 필수 항목입니다. |
p | 인증을 통과하지 못한 메일에 대해 취할 조치를 수신 메일 서버에 지시합니다.
이 태그는 필수 항목입니다. BIMI 참고:도메인에서 BIMI를 사용하는 경우 DMARC p 옵션을 quarantine 또는 reject로 설정해야 합니다. BIMI에서는 p 옵션이 none으로 설정된 DMARC 정책은 지원되지 않습니다. |
pct |
인증되지 않은 메일 중 DMARC 정책을 적용할 비율을 지정합니다. DMARC를 단계적으로 배포할 때 적은 비율의 메일에 먼저 적용하기 시작하는 것이 좋습니다. 수신 서버에서 인증을 통과하는 도메인의 메일이 증가함에 따라 비율을 점차 높여 레코드를 업데이트하고 최종적으로는 100%가 될 수 있도록 합니다. 1에서 100 사이의 정수여야 합니다. 레코드에서 이 옵션을 사용하지 않으면 도메인에서 보낸 모든 메일(100%)에 DMARC 정책이 적용됩니다. 이 태그는 선택사항입니다. BIMI 참고: 도메인에서 BIMI를 사용하는 경우 DMARC 정책의 pct 값은 100이어야 합니다. BIMI에서는 pct 값이 100 미만으로 설정된 DMARC 정책이 지원되지 않습니다. |
rua |
도메인의 DMARC 활동에 대한 보고서를 수신할 이메일 주소입니다. 이메일 주소에 mailto:를 포함해야 합니다. DMARC 보고서를 여러 이메일로 보내려면 각 이메일 주소를 쉼표로 구분하고 각 주소 앞에 mailto: 접두사를 추가합니다. 예: 이 옵션으로 인해 많은 양의 보고서 이메일이 생성될 수도 있으므로, 본인의 이메일 주소를 사용하지 않는 것이 좋습니다. 대신 DMARC 보고서 전용 편지함, 그룹 또는 DMARC 보고서를 전문적으로 다루는 타사 서비스를 고려해 보세요. 이 태그는 선택사항입니다. |
ruf |
지원되지 않습니다. Gmail에서는 오류 보고서를 보내는 데 사용되는 ruf 태그가 지원되지 않습니다. 오류 보고서는 포렌식 보고서라고도 합니다. |
sp | 기본 도메인의 하위 도메인에서 전송된 메일에 적용되는 정책을 설정합니다. 하위 도메인에 다른 DMARC 정책을 사용하려는 경우 이 옵션을 사용하세요.
레코드에서 이 옵션을 사용하지 않으면 하위 도메인에는 상위 도메인에 설정된 DMARC 정책이 상속됩니다. 이 태그는 선택사항입니다. |
adkim | 메일 정보가 DKIM 서명과 어느 정도 일치해야 하는지를 정의하는 DKIM의 정렬 정책을 설정합니다. 정렬 작동 방식 알아보기
이 태그는 선택사항입니다. |
aspf | 메일 정보가 SPF 서명과 어느 정도 일치해야 하는지를 정의하는 SPF의 정렬 정책을 설정합니다. 정렬 작동 방식 알아보기
이 태그는 선택사항입니다. |
처음 DMARC를 사용하기 시작할 때에는 none으로 시행 설정된 정책을 사용하는 것이 좋습니다. 도메인의 메일이 수신 서버에서 인증되는 방식을 파악하게 되면 정책을 업데이트하세요. 일정 기간 후 수신자 정책을 quarantine으로, 최종적으로는 reject로 변경하세요. DMARC 배포 중 업데이트된 DMARC 정책의 예를 보려면 가이드: 권장 DMARC 배포를 참고하세요.
시행 정책 | 권장 조치 | 추가 정보 |
none | 수신 서버에서 DMARC 검사를 통과하지 못한 메일에는 아무런 조치를 취하지 않습니다. 메일이 정상적으로 수신자에게 전송됩니다. |
DMARC를 처음 설정할 때에는 이 옵션을 사용하는 것이 좋습니다. none 옵션을 사용하면 도메인의 메일이 정상적으로 전송됩니다. 정책이 none으로 설정되어 있는 동안 DMARC 보고서를 정기적으로 검토하여 도메인의 메일이 인증되고 전송되는 방식을 파악하세요. 수신 서버로부터 전송되는 DMARC 보고서에는 SPF 또는 DKIM으로 인증할 수 없는 메일에 대한 세부정보가 포함되어 있습니다. 도메인의 메일 중 상당 수가 스팸으로 분류되는 경우 SPF 및 DKIM 구성을 확인하세요. DMARC 문제 해결하기에 관해 자세히 알아보기 수신 서버에서 인증에 실패한 메일의 유형을 파악할 때까지 정책 시행 옵션을 quarantine 또는 reject로 변경하지 마세요. BIMI 참고: 도메인에서 BIMI를 사용하는 경우 DMARC 시행 정책(p)을 quarantine 또는 reject로 설정해야 합니다. BIMI에서는 p 옵션이 none으로 설정된 DMARC 정책은 지원되지 않습니다. |
quarantine | 수신 서버에서 DMARC로 인증되지 않은 메일은 수신자의 스팸 폴더로 전송되며, 수신 메일 서버에 스팸 격리 저장소가 구성되어 있는 경우에는 메일이 수신인의 스팸 폴더가 아니라 스팸 격리 저장소로 전송될 수 있습니다. | 이 옵션을 사용하면 DMARC 보고서가 계속 전송됩니다. |
reject | 수신 서버에서 DMARC로 인증되지 않은 메일이 거부되고 수신자에게 전송되지 않습니다. 수신 서버에서는 일반적으로 발신자에게 반송 메일을 보냅니다. |
모든 DMARC 정책에는 최종적인 영구 옵션으로 reject를 사용하는 것이 좋습니다. 이 옵션을 사용하면 DMARC 보고서가 계속 전송됩니다. DMARC 보고서에 유효한 메일이 인증되고 정상적으로 전송되었다고 표시되면 이 옵션으로 정책을 업데이트합니다. 인증되지 않은 메일을 거부하면 수신자를 스팸, 스푸핑, 피싱으로부터 보호할 수 있습니다. |
DMARC 정렬 옵션
DMARC에서는 메일의 보낸사람: 헤더가 SPF 또는 DKIM에 지정된 발신 도메인과 얼마나 일치하는지에 따라 메일을 통과시키거나 거부하는데 이를 정렬이라고 합니다.
2가지 정렬 모드(엄격 및 완화) 중에서 선택할 수 있습니다. DMARC 레코드에서 SPF 및 DKIM의 정렬 모드를 설정합니다. aspf 및 adkim DMARC 레코드 태그를 사용하여 정렬 모드를 설정합니다.
다음과 같은 경우는 스푸핑 방지를 강화하기 위해 엄격한 정렬 모드로 변경하는 것이 좋습니다.
- 관리자가 제어할 수 없는 하위 도메인에서 도메인 명의로 메일이 전송되는 경우
- 다른 업체에서 관리하는 하위 도메인이 있는 경우
메일이 DMARC를 통과하려면 다음 확인 항목 중 하나 이상을 통과해야 합니다.
- SPF 인증 및 SPF 정렬
- DKIM 인증 및 DKIM 정렬
메일이 다음 두 가지 모두에 모두 실패하는 경우 DMARC 검사를 통과하지 못합니다.
- SPF(또는 SPF 정렬)
- DKIM(또는 DKIM 정렬)
'발신자 메일 주소'와 '보낸사람: 주소'의 차이
이메일 메시지에는 발신자를 나타내는 두 가지 유형의 주소가 있습니다. SPF, DKIM, DMARC를 설정할 때 두 주소 간의 차이점을 이해하는 것이 중요합니다.
발신자 메일 주소와 보낸사람: 주소는 다를 수도 있고 같을 수도 있습니다.
발신자 메일 주소: 메일이 발송된 이메일 주소를 나타냅니다. 전송할 수 없는 메일 알림 또는 반송 메일이 이 주소로 전송됩니다. 발신자 메일 주소는 반환 경로 주소 또는 반송 주소라고도 합니다. 메일 수신자에게는 발신자 메일 주소가 표시되지 않습니다.
SPF에서는 일반적으로 메일 인증을 위해 발신자 메일 주소를 사용합니다.
보낸사람: 주소: 메일 헤더의 이메일 주소입니다. 메일은 메일 헤더와 메일 본문의 두 부분으로 구성됩니다. 헤더에는 발신자 이름 및 이메일 주소, 메일 제목, 전송일 등의 메일 정보가 포함됩니다. 보낸사람: 헤더에는 이메일 주소와 함께 일반적으로 메일을 보낸 사용자의 이름이 포함되어 있습니다.
DKIM에서는 인증을 위해 보낸사람: 주소를 사용합니다.
SPF 정렬 예
SPF 정렬을 사용하면 SPF에서 인증된 도메인(일반적으로 발신자 메일 주소)을 메일 헤더 보낸사람: 주소의 도메인과 비교합니다. 다음은 SPF 정렬과 SPF 검사 결과의 몇 가지 예입니다.
메일 발신자 주소 | 헤더 보낸사람: 주소 | 엄격한 정렬 | 완화된 정렬 |
jon@solarmora.com |
jon@solarmora.com |
통과 | 통과 |
jon@mail.solarmora.com |
jon@solarmora.com |
실패 | 통과 |
jon@solarmora.org |
jon@solarmora.com |
실패 | 실패 |
DKIM 정렬 예
DKIM 정렬을 사용하면 메일 헤더에 있는 DKIM 서명 도메인 입력란(d=)의 값을 메일의 보낸사람: 헤더의 도메인과 비교합니다.
다음은 DKIM 정렬과 DKIM 검사 결과의 몇 가지 예입니다.
보낸사람: 헤더 | DKIM d=domain | 엄격한 정렬 | 완화된 정렬 |
jon@solarmora.com |
solarmora.com |
통과 | 통과 |
jon@mail.solarmora.com |
solarmora.com |
실패 | 통과 |
jon@solarmora.org |
solarmora.com |
실패 | 실패 |
DMARC 보고서 옵션
도메인의 이메일을 수신하는 이메일 서버에 정기 보고서를 요청하도록 DMARC를 설정할 수 있습니다.
DMARC 보고서에서는 다음 정보를 확인할 수 있습니다.
- 내 도메인 명의로 메일을 보내는 서버 또는 타사 발신자
- 도메인의 메일 중 DMARC를 통과한 메일의 비율
- DMARC를 통과하지 못한 메일을 보내는 서버 또는 서비스
- none, quarantine, reject 중 도메인의 인증되지 않은 메시지에 관해 수신 서버에서 시행한 DMARC 조치
DMARC 보고서를 받으려면 DMARC 레코드에서 rua DMARC 레코드 태그를 사용하세요.
DMARC 보고서에 대해 자세히 알아보기