DMARC 설정하기

Gmail 사용자: Gmail에서 스팸 또는 피싱 메일을 받는 경우 여기로 이동하세요. Gmail에서 이메일을 보내거나 받는 데 문제가 있는 경우 여기로 이동하세요.

관리자는 SPF 및 DKIM을 설정한 후 도메인 기반 메일 인증, 보고 및 확인(DMARC)을 설정할 수 있습니다. DMARC를 사용하면 SPF 또는 DKIM 인증 검사를 통과하지 못한 메일을 받은 경우 수신 메일 서버에서 취할 조치를 지정할 수 있습니다. 도메인에서 전송한 메일에서 발생 가능한 인증 문제와 악의적인 활동을 파악하는 데 도움이 되는 보고서를 받을 수도 있습니다.

What is DMARC?

DMARC를 사용하면 위조된 이메일 메시지로부터 사용자를 보호할 수 있으며
SPF 또는 DKIM을 통과하지 못한 메일을 관리할 수 있습니다.

1단계: SPF 및 DKIM 사용 설정하기

DMARC를 사용하려면 먼저 도메인에 SPF와 DKIM을 사용 설정해야 합니다. SPF 및 DKIM을 설정하지 않은 경우 스푸핑, 피싱, 스팸 방지하기를 참고하세요.

SPF, DKIM, DMARC는 도메인별로 적용되며 두 개 이상의 도메인을 관리하는 경우 각 도메인마다 SPF, DKIM, DMARC를 사용 설정해야 합니다.

중요:

DMARC를 사용 설정하기 전에 SPF 및 DKIM을 설정하지 않은 경우 도메인에서 보낸 메일에 전송 문제가 발생할 수 있습니다.
SPF 및 DKIM을 설정하고 48시간 후에 DMARC를 설정하세요.

2단계: DMARC가 이미 설정되어 있는지 확인하기

Google Workspace를 사용하는 경우 Google 관리 콘솔 도구 상자를 사용하여 DMARC가 설정되어 있는지 확인합니다. 그렇지 않은 경우 도메인 공급업체에서 확인하는 단계를 따르세요.

Google 관리 콘솔 도구 상자를 사용하여 다음을 확인하세요.

Google 관리 콘솔 도구 상자로 이동합니다.
'DNS 문제 확인''Check MX'로 이동합니다.
'도메인 이름' 입력란에 도메인 이름을 입력한 다음 '확인 실행'을 클릭합니다.
도메인에 DMARC 레코드가 있는지 확인할 수 있는 결과가 다음과 같이 표시됩니다.
- DMARC가 설정되지 않음: 도메인에 아직 DMARC 레코드가 없습니다.
- DMARC 정책의 형식 지정: 도메인에 기존 DMARC 레코드가 있습니다.

도메인 제공업체에서 다음을 확인하세요.

도메인 공급업체의 관리 콘솔에 로그인합니다.
도메인의 DNS TXT 레코드를 업데이트하는 페이지로 이동합니다.
DMARC 레코드가 있는 경우 _dmarc.example.com 하위 도메인(example은 도메인 이름임)에 v=DMARC로 시작하는 TXT 레코드 항목이 표시됩니다.

결과에 따라 다음과 같이 진행하세요.

DMARC가 이미 설정된 경우 DMARC 보고서를 검토하여 DMARC가 메일을 효과적으로 인증하고 메일이 예상대로 전송되고 있는지 확인해야 합니다.
DMARC가 설정되어 있지 않은 경우 이 페이지의 보고서에 그룹 또는 편지함 설정하기로 이동하세요.

3단계: 보고서에 그룹 또는 편지함 설정하기

이메일로 수신하는 DMARC 보고서 수는 도메인에서 보내는 이메일의 양에 따라 달라지며, 매일 많은 수의 보고서를 수신할 수도 있습니다. 대규모 조직에서는 매일 수백 또는 수천 개의 보고서를 수신하게 될 수도 있습니다.

DMARC 보고서를 수신하고 관리할 그룹 또는 전용 편지함을 만드는 것이 좋습니다.

DMARC 보고서에는 도메인에서 보낸 메일 중 SPF 및 DKIM으로 인증된 메일이 표시되며, 정기적으로 인증에 실패하는 메일이 있는지도 확인할 수 있습니다. 보고서를 사용하여 내 도메인에 메일을 보내는 사용자를 검토하고 잠재적인 스팸 발송자에 관한 알림을 받을 수도 있습니다. DMARC 보고서 모니터링은 특히 배포 단계에서 유용합니다. 권장 DMARC 배포를 참고하세요.

4단계: 서드 파티 서비스가 인증되었는지 확인하기

서드 파티 서비스를 사용하여 조직의 메일을 전송하는 경우 서드 파티 서비스에서 전송된 메일이 인증되고 SPF 및 DKIM 검사를 통과하는지 확인해야 합니다.

서드 파티 제공업체에 문의하여 DKIM이 올바르게 설정되었는지 확인합니다.
제공업체의 메일 발신자 도메인이 내 도메인과 일치하는지 확인합니다. 제공업체의 발신 메일 서버 IP 주소를 도메인의 SPF 레코드에 추가합니다.
SMTP 릴레이 서비스 설정을 사용하여 Google을 통해 제공업체 발신 메일을 라우팅할 수 있습니다.

5단계: DMARC 레코드 준비하기

DMARC 정책은 DMARC 레코드라고 하는 텍스트 값의 행에 정의되어 있습니다. 이 레코드에 다음 사항이 정의됩니다.

DMARC에서 메일 검사 시 엄격성 정도
인증 검사에 실패한 메일의 경우 수신 서버에서 취해야 할 권장 조치

DMARC 정책 레코드의 예(example.com을 내 도메인으로 변경)는 다음과 같습니다.

v=DMARC1; p=reject; rua=mailto:postmaster@example.com, mailto:dmarc@example.com; pct=100; adkim=s; aspf=s.

v 및 p 태그가 먼저 나열되어야 하며, 다른 태그의 순서는 상관없습니다.

DMARC를 처음 사용하면 정책 옵션(p)을 none로 설정하는 것이 좋습니다. 도메인의 메일이 수신 서버에서 인증되는 방식을 파악하게 되면 정책을 업데이트하세요. 일정 기간 후 수신자 정책을 quarantine (or reject)으로 변경하세요. 권장 DMARC 출시를 참고하세요.

DMARC 레코드 태그 정의 및 값

태그	설명 및 값
v	(필수) DMARC 버전입니다. DMARC1이어야 합니다.
p	(필수) 인증을 통과하지 못한 메일에 대해 취할 조치를 수신 메일 서버에 지시합니다. none—메일에 아무런 조치를 취하지 않고 의도된 수신자에게 보냅니다. 메일을 일일 보고서에 기록합니다. 보고서는 레코드의 rua 옵션에 지정된 이메일 주소로 전송됩니다. quarantine— 메일을 스팸으로 표시하고 수신자의 스팸 폴더로 보냅니다. 수신자는 스팸 메일을 검토하여 스팸이 아닌 메일을 파악할 수 있습니다. reject— 메일을 거부합니다. 이 옵션을 선택하면 일반적으로 수신 서버에서 발신 서버로 반송 메일을 보냅니다. BIMI 참고:도메인에서 BIMI를 사용하는 경우 DMARC p 옵션을 quarantine 또는 reject로 설정해야 합니다. BIMI에서는 p 옵션이 none으로 설정된 DMARC 정책은 지원되지 않습니다.
pct	(선택사항) 인증되지 않은 메일 중 DMARC 정책을 적용할 비율을 지정합니다. DMARC를 단계적으로 배포할 때 적은 비율의 메일에 먼저 적용하기 시작하는 것이 좋습니다. 수신 서버에서 인증을 통과하는 도메인의 메일이 증가함에 따라 비율을 점차 높여 레코드를 업데이트하고 최종적으로는 100%가 될 수 있도록 합니다. 1에서 100 사이의 정수여야 합니다. 레코드에서 이 옵션을 사용하지 않으면 도메인에서 보낸 모든 메일(100%)에 DMARC 정책이 적용됩니다. BIMI 참고: 도메인에서 BIMI를 사용하는 경우 DMARC 정책의 pct 값은 100이어야 합니다. BIMI에서는 pct 값이 100 미만으로 설정된 DMARC 정책이 지원되지 않습니다.
rua	(선택사항) DMARC 보고서를 이메일 주소로 전송합니다. 이메일 주소에 mailto:를 포함해야 합니다. 예: mailto:dmarc-reports@example.com(example.com을 도메인으로 변경) DMARC 보고서를 여러 이메일로 보내려면 각 이메일 주소를 쉼표로 구분하고 각 주소 앞에 mailto: 접두사를 추가합니다. 예: mailto:dmarc-reports@example.com, mailto:dmarc-reports@example.com(example.com을 도메인으로 변경) 이 옵션으로 인해 많은 양의 보고서 이메일이 생성될 수도 있으므로, 본인의 이메일 주소를 사용하지 않는 것이 좋습니다. 대신 DMARC 보고서 전용 편지함, 그룹 또는 DMARC 보고서를 전문적으로 다루는 타사 서비스를 고려해 보세요.
ruf	지원되지 않습니다. Gmail에서는 오류 보고서를 보내는 데 사용되는 ruf 태그가 지원되지 않습니다. 오류 보고서는 포렌식 보고서라고도 합니다.
sp	(선택사항)기본 도메인의 하위 도메인에서 전송된 메일에 적용되는 정책을 설정합니다. 하위 도메인에 다른 DMARC 정책을 사용하려는 경우 이 옵션을 사용하세요. none—Take no action on the message and deliver it to the intended recipient. Log messages in a daily report. The report is sent to the email address specified with the rua option in the policy. quarantine—메일을 스팸으로 표시하고 수신자의 스팸 폴더로 보냅니다. 수신자는 스팸 메일을 검토하여 스팸이 아닌 메일을 파악할 수 있습니다. reject—메일을 거부합니다. 이 옵션을 선택하면 수신 서버에서 발신 서버로 반송 메일을 보내야 합니다. 레코드에서 이 옵션을 사용하지 않으면 하위 도메인에는 상위 도메인에 설정된 DMARC 정책이 상속됩니다.
adkim	(선택사항) 메일 정보가 DKIM 서명과 어느 정도 일치해야 하는지를 정의하는 DKIM의 정렬 정책을 설정합니다. 정렬 작동 방식을 알아보세요(이 페이지 하단 참고). s—엄격한 정렬입니다. 발신자 도메인 이름이 DKIM 메일 헤더에 있는 d=domainname과 정확하게 일치해야 합니다. r—Relaxed alignment (default). Allows partial matches. Any valid subdomain of d=domain in the DKIM mail headers is accepted.
aspf	(선택사항) 메일 정보가 SPF 서명과 어느 정도 일치해야 하는지를 정의하는 SPF의 정렬 정책을 설정합니다. 정렬 작동 방식을 알아보세요(이 페이지 하단 참고). s—엄격한 정렬입니다. 메일의 보낸사람 헤더가 SMTP MAIL FROM 명령어의 도메인 이름과 정확하게 일치해야 합니다. r—완화된 정렬(기본값)입니다. 부분 일치가 허용됩니다. 도메인 이름의 유효한 하위 도메인이 모두 허용됩니다.

DMARC 정렬

DMARC에서는 보낸사람: 헤더의 도메인이 SPF 또는 DKIM에 지정된 발신 도메인과 얼마나 일치하는지에 따라 메일을 통과시키거나 거부하는데 이를 정렬이라고 합니다.

2가지 정렬 모드(엄격 또는 완화) 중에서 선택할 수 있습니다. aspf 및 adkim DMARC 레코드 태그를 사용하여 DMARC 레코드에서 SPF 및 DKIM의 정렬 모드를 설정합니다.

인증 방법	엄격한 정렬	완화된 정렬
SPF	발신자 메일 주소(반환 경로 또는 반송 주소라고도 함)의 도메인과 헤더 보낸사람: 주소의 도메인이 정확히 일치합니다.	헤더 보낸사람: 주소의 도메인이 발신자 메일 주소(반환 경로 또는 반송 주소라고도 함)의 도메인과 일치하거나 그 하위 도메인이어야 합니다.
DKIM	관련 DKIM 도메인과 헤더 보낸사람: 주소에 있는 도메인이 정확히 일치합니다.	헤더 보낸사람: 주소에 있는 도메인이 DKIM 서명 d= 태그에서 지정된 도메인과 일치하거나 그 하위 도메인이어야 합니다.

다음과 같은 경우는 스푸핑 방지를 강화하기 위해 엄격한 정렬 모드로 변경하는 것이 좋습니다.

관리자가 제어할 수 없는 하위 도메인에서 도메인으로 메일이 전송되는 경우
다른 업체에서 관리하는 하위 도메인이 있는 경우

중요: 일반적으로는 완화된 정렬로도 충분히 스푸핑을 방지할 수 있습니다. 엄격한 정렬을 사용하면 연결된 하위 도메인으로부터 전송된 메일이 거부되거나 스팸으로 분류될 수 있습니다.

메일이 DMARC를 통과하려면 다음 확인 항목 중 하나 이상을 통과해야 합니다.

SPF 인증 및 SPF 정렬
DKIM 인증 및 DKIM 정렬

메일이 다음 두 가지 모두에 모두 실패하는 경우 DMARC 검사를 통과하지 못합니다.

SPF(또는 SPF 정렬)
DKIM(또는 DKIM 정렬)

6단계: DMARC 레코드 추가하기

DMARC 레코드 텍스트를 준비한 다음 도메인 공급업체에서 DMARC DNS TXT 레코드를 추가하거나 업데이트합니다. DMARC 정책을 변경하고 레코드를 업데이트할 때마다 도메인 공급업체의 DMARC TXT 레코드도 업데이트해야 합니다.

레코드 추가 또는 업데이트하기

중요: DMARC를 설정하기 전에 DKIM 및 SPF를 설정해야 합니다. DKIM 및 SPF에서 최소 48시간 전에 메일을 인증해야 DMARC를 사용 설정할 수 있습니다.

DMARC 레코드의 텍스트 파일 또는 행을 준비합니다.
도메인 호스트(일반적으로 도메인 이름을 판매한 업체)에 로그인합니다. 도메인 호스트를 모르는 경우 도메인 등록기관 확인하기를 참고하세요.
도메인의 DNS TXT 레코드를 업데이트하는 페이지로 이동합니다. 이 페이지를 찾는 데 도움이 필요하면 도메인의 설명서를 확인하세요.

다음 정보로 TXT 레코드를 추가하거나 업데이트합니다.

필드 이름	입력할 값
유형	레코드 유형은 TXT입니다.
호스트(이름, 호스트 이름, 별칭)	이 값은 _dmarc.example.com이어야 합니다(example.com을 내 도메인 이름으로 변경).
값	TXT 레코드를 구성하는 문자열은 다음과 같습니다. 예: v=DMARC1; p=none; rua=mailto:postmaster@example.com, mailto:dmarc@example.com; pct=100; adkim=s; aspf=s. 자세한 내용은 이 페이지 앞부분의 DMARC 레코드 준비하기를 참고하세요.

참고: 일부 도메인 호스트에서는 도메인 이름이 자동으로 추가됩니다. TXT 레코드를 추가하거나 업데이트한 후 DMARC 레코드의 도메인 이름을 확인하여 형식이 올바른지 확인하세요.

변경사항을 저장합니다.
DMARC를 두 개 이상의 도메인에 설정하는 경우 도메인별로 다음 단계를 완료합니다. 레코드에 정의된 바에 따라 도메인마다 정책과 보고서 옵션을 달리 설정할 수 있습니다.

7단계: DMARC 레코드 확인하기

중요: 아래 단계에 사용된 도메인은 예시일 뿐입니다. 다음 예시 도메인을 내가 사용 중인 도메인으로 바꾸세요.

일부 도메인 호스트에서는 TXT 레코드 이름 끝부분에 도메인 이름이 자동으로 추가됩니다. 이로 인해 DMARC TXT 레코드 이름의 형식이 잘못될 수 있습니다. 예를 들어 _dmarc.example.com을 입력하는 경우 도메인 호스트에서 자동으로 도메인 이름을 추가하면 TXT 레코드 이름이 _dmarc.example.com.example.com 형식으로 잘못 지정됩니다.

레코드 추가 또는 업데이트하기 단계에 따라 DMARC TXT 레코드를 추가한 후 TXT 레코드 이름을 확인하여 형식이 올바른지 확인하세요.

Google 관리 콘솔 도구 상자의 Dig 기능을 사용하여 DMARC TXT 레코드를 보고 확인할 수 있습니다.

Google 관리 콘솔 도구 상자로 이동하여 Dig 기능을 선택합니다.
이름 입력란에 _dmarc.을 입력하고 이어서 전체 도메인 이름을 입력합니다. 예를 들어 도메인 이름이 example.com인 경우 _dmarc.example.com을 입력합니다.
이름 입력란 아래에 있는 TXT를 클릭합니다.
결과에서 DMARC TXT 레코드 이름을 확인합니다. _dmarc로 시작하는 텍스트 행을 찾으세요.

도움이 되었나요?

어떻게 하면 개선할 수 있을까요?