가이드: 권장 DMARC 배포

스푸핑, 피싱으로부터 보호하고 메일이 스팸으로 표시되는 것을 방지하기

도메인 기반 메일 인증, 보고 및 확인(DMARC)은 단계적으로 배포되도록 설계되었습니다. 이메일 흐름만 모니터링하는 none 정책으로 시작한 다음 최종적으로는 인증되지 않은 모든 메일을 거부하는 정책으로 변경합니다.

none 정책을 사용하면 수신 서버에서 메일을 거부하거나 스팸으로 분류할 위험 없이 보고서를 받아볼 수 있습니다. 또한 조직에서 보낸 메일의 일부에만 적용되도록 DMARC 정책을 설정할 수도 있습니다. 이 두 가지 기능을 사용하면 메일 흐름을 제어하면서 DMARC를 단계적으로 배포할 수 있습니다.

중요: DMARC를 구성하기 전에 DKIM(DomainKeys Identified Mail) 및 SPF(Sender Policy Framework)를 구성하세요. DKIM 및 SPF에서 최소 48시간 전에 메일을 인증해야 DMARC를 사용 설정할 수 있습니다. SPF 및 DKIM을 설정하는 세부 단계는 스푸핑, 피싱, 스팸 방지하기를 참고하세요.

1. 완화된 DMARC 정책으로 시작하기

DMARC 레코드를 none으로 시행 설정하고 일일 DMARC 보고서를 받을 이메일 주소를 구성하여 시작합니다. 이렇게 하면 수신 서버에서 도메인의 메일이 거부되거나 스팸으로 표시될 위험 없이 보고서를 받아볼 수 있습니다. 최소 1주일 동안 이 DMARC 레코드를 사용하는 것이 좋습니다. 일반적으로 1주일은 일일 보고서에 모든 메일 스트림을 대표하는 데이터가 포함되기에 충분한 시간입니다.

일일 DMARC 보고서를 검토하여 도메인의 메일이 알려진 공인 서버에서 전송되었는지 확인하고 인증 검사를 통과했는지도 확인하세요.

처음 DMARC 정책을 적용할 때는 너무 제한적이지 않거나 일부 메일 트래픽에만 적용되는 정책으로 시작하는 것이 좋습니다. 예를 들면 다음과 같습니다.

도메인 호스트에 로그인하여 도메인 공급업체에서 DMARC DNS TXT 레코드를 업데이트합니다.
메일의 100%에 적용되지만 시행이 none:으로 설정된 정책을 입력합니다.
v=DMARC1; p=none; rua=mailto:dmarc@solarmora.com

이 정책은 메일 서버에서 수신하는 모든 메일에 적용되지만 시행이 none으로 설정되어 메일이 DMARC 인증을 통과하지 못한 경우에도 정상적으로 전송됩니다. 도메인의 메일을 수신하는 모든 메일 서버에서 dmarc@solarmora.com으로 일일 보고서를 전송합니다.

2. DMARC 보고서 검토하기

매일 받은 보고서를 검토하여 다음 사항을 확인하세요.

도메인 명의로 메일을 보내는 서버 또는 타사 발신자
도메인의 메일 중 DMARC를 통과한 메일의 비율
DMARC를 통과하지 못한 메일을 보내는 서버 또는 서비스

다음과 같은 문제가 자주 발생하는지 알아보세요.

유효한 메시지가 수신자의 스팸 폴더로 전송됨
수신자로부터 반송 또는 오류 메시지를 받음

도메인의 메일이 거부되거나 스팸으로 분류되는 문제를 해결하려면 DMARC 문제 해결하기를 참고하세요.

업데이트된 레코드에 이메일 또는 편지함 주소가 있는 rua 태그가 여전히 포함되어 있는지 확인하여 일일 보고서를 계속 받아보도록 합니다. 다음 단계로 넘어가기 전에 최소 7일 동안 이 단계를 유지하는 것이 좋습니다. 이 단계의 기간은 조직 규모 및 메일 흐름에 따라 다릅니다.

DMARC 보고서 읽기에 대해 자세히 알아보기

3. 소량의 메일을 스팸으로 분류하기

DMARC 보고서를 최소 1주일 간 원치 않는 결과가 없도록 모니터링한 후 정책을 quarantine 으로 업데이트하고 pct 태그를 추가하여 메일 중 일부에 정책을 적용합니다. 예를 들면 다음과 같습니다.

도메인 호스트에 로그인하여 도메인 공급업체에서 DMARC DNS TXT 레코드를 업데이트합니다.
메일의 5%에 적용되고 quarantine으로 시행 설정된 정책을 추가합니다. 5%의 메일 중 DMARC를 통과하지 못한 메일은 수신자의 스팸 폴더로 전송됩니다.
v=DMARC1; p=quarantine; pct=5; rua=mailto:dmarc@solarmora.com

이 정책은 메일 서버에서 수신한 메일 중 5%에만 적용됩니다. DMARC를 통과하지 못한 메일은 수신자의 스팸 폴더로 전송됩니다. 이 정책은 일부의 메일에만 영향을 미치며 수신자는 스팸으로 분류된 메일을 검토할 수 있습니다. 도메인의 메일을 수신하는 모든 메일 서버에서는 dmarc@solarmora.com으로 일일 보고서를 전송합니다.

소규모 조직의 경우 모든 메일 흐름을 잘 이해하므로 대규모 조직보다 더 높은 비율의 메일에 정책을 적용할 수 있습니다. 대규모 조직에서는 기존 서버 및 타사 발신자를 포함할 수 있는 여러 메일 흐름이 있는 경우가 많습니다.

대규모 조직에서는 영향을 받는 메일의 비율을 점차 늘려 다수의 메일이 거부되거나 스팸으로 표시될 위험을 줄이는 것이 좋습니다. 소규모 조직의 경우 메일의 10%로 격리를 시작하고 대기업은 1%로 시작할 수 있습니다.

4. 인증되지 않은 모든 메일 거부하기

DMARC를 배포하는 마지막 단계입니다. 도메인에서 보낸 메일의 대부분 또는 전체가 정렬되어 있고 인증(SPF 및 DKIM)을 통과하는 것이 확인되면 더 엄격한 DMARC 정책을 시행할 수 있습니다.

DMARC가 제대로 작동하는 경우 조직에서 발송되는 메일의 100% 대해 DMARC 레코드 정책이 reject로 설정되도록 정책을 업데이트하세요. 예를 들면 다음과 같습니다.

도메인 호스트에 로그인하여 도메인 공급업체에서 DMARC DNS TXT 레코드를 업데이트합니다.
레코드를 다음과 같이 더 엄격하게 업데이트합니다. 예를 들면 다음과 같습니다.
v=DMARC1; p=reject; rua=mailto:postmaster@solarmora.com,dmarc@solarmora.com

이 정책은 메일 서버에서 수신하는 모든 메일에 영향을 미칩니다. 레코드에 pct 태그가 포함되지 않으면 정책이 도메인에서 보낸 메일의 100%에 적용됩니다. DMARC 인증에 실패한 모든 메일은 거부되며 발신자는 거부된 각 메일에 대해 반송 메일을 받을 수 있습니다. 도메인의 메일을 수신하는 모든 메일 서버에서는 일일 보고서를 두 개의 이메일 주소(postmaster@solarmora.com과 dmarc@solarmora.com)로 전송합니다.

도움이 되었나요?

어떻게 하면 개선할 수 있을까요?