DMARC 레코드 만들기

 

Action: failed
Status: 5.5.0
Diagnostic-Code: smtp;550-5.7.1 Unauthenticated email from yahoo.com is not accepted due to domain’s
550-5.7.1 DMARC policy. Please contact administrator of yahoo.com domain if
550-5.7.1 this was a legitimate mail. Please visit
550-5.7.1 http://support.google.com/mail/answer/2451690 to learn about DMARC
550 5.7.1 initiative. l4si1507690pbn.465 – gsmtp

https://support.google.com/mail/answer/2451690

DMARC 레코드 만들기

레코드 만들기

SPF와 DKIM이 준비되면 SPF 또는 ADSP에서처럼 TXT 레코드 형식으로 도메인의 DNS 레코드에 정책을 추가하여 DMARC를 설정합니다.

중요: Google Apps 도메인을 위한 DMARC 레코드를 만들기 전에 먼저 DKIM 인증을 설정해야 합니다. DKIM 인증을 먼저 설정하지 않으면 Google 캘린더와 같은 서비스에서 전송되는 이메일의 인증이 처리될 수 없어 사용자에게 전송되지 않습니다.

많이 사용되는 도메인 호스트별 도움말에 나온 안내에 따라 적절한 이름과 값으로 TXT 레코드를 만듭니다. TXT 레코드 이름은 ‘_dmarc.your_domain.com’이어야 하며 여기에서 ‘your_domain.com’을 실제 도메인 이름으로 바꿉니다. 또한 일부 도메인 호스트 관련 제한사항을 검토할 수도 있습니다.

다음은 DMARC TXT 레코드에서 사용되는 일반적인 태그입니다.

태그 이름 필수 목적

v

필요함 프로토콜 버전 v=DMARC1

p

필요함 도메인에 대한 정책 p=quarantine

pct

선택사항 필터링이 적용되는 메일의 비율(%) pct=20

rua

선택사항 집계 보고서의 보고 URI rua=mailto:aggrep@example.com

sp

선택사항 도메인의 하위 도메인에 대한 정책 sp=r

aspf

선택사항 SPF의 정렬 모드 aspf=r

사용 가능한 다른 태그를 보려면 DMARC 태그 레지스트리를 참조하세요.

Google은 수사 보고서 배포에 대한 DMARC ruf 태그를 지원하지 않습니다.

v(버전) 및 p(정책) 태그만 필수항목입니다. 가능한 정책 설정, 즉 메일 처리에는 다음 3가지가 있습니다.

  • none – 아무 조치도 취하지 않습니다. 문제가 발생한 메일을 일일 보고서에 기록만 합니다.
  • quarantine – 문제가 있는 메일을 스팸으로 표시합니다.
  • reject – SMTP 계층에서 메일을 취소합니다.

정렬 모드란 발신자 레코드를 SPF 및 DKIM 서명과 비교하는 정밀도를 의미하는데, 느슨함 또는 엄격함의 두 가지 값을 가질 수 있으며, 느슨함은 ‘r’, 엄격함은 ‘s’로 표시됩니다. 간단히 말해, 느슨함은 주어진 도메인의 하위 도메인처럼 부분 일치를 허용하며, 엄격함은 완전 일치해야 합니다.

일일 보고서를 받으려면 선택항목인 rua 태그와 함께 이메일 주소를 포함해야 합니다.

레코드 예

다음은 DMARC TXT 레코드(_dmarc.your_domain.com IN TXT) 예로서, 적절히 수정하여 사용할 수 있습니다. 여기에서 ‘your_domain.com’ 및 ‘postmaster@your_domain.com’을 실제 도메인과 이메일 주소로 바꿔야 합니다.

다음 TXT 레코드 예에서는 ‘your_domain.com’에서 전송된 것으로 표시되는 메일이 DMARC 검사에 실패하는 경우, 이 메일에 대해 아무런 조치도 취하지 않습니다. 대신 해당하는 모든 메일이 ‘postmaster@your_domain.com’에 전송되는 일일 집계 보고서에 표시됩니다.

"v=DMARC1; p=none; rua=mailto:postmaster@your_domain.com"다음 TXT 레코드 예에서는 ‘your_domain.com’에서 전송된 것으로 표시되는 메일이 DMARC 검사에 실패하는 경우, 이런 메일의 5%에 대해 차단 조치(스팸으로 표시)를 취합니다. 그런 다음 일일 집계 보고서를 ‘postmaster@your_domain.com’에 이메일로 보냅니다.

"v=DMARC1; p=quarantine; pct=5; rua=mailto:postmaster@your_domain.com"마지막 예에서는 ‘your_domain.com’에서 전송된 것으로 표시되는 메일이 DMARC 검사에 실패하는 경우 항상 해당 메일을 거부합니다. 그런 다음 일일 집계 보고서를 ‘postmaster@your_domain.com’ 및 ‘dmarc@your_domain.com’에 이메일로 보냅니다.

"v=DMARC1; p=reject; rua=mailto:postmaster@your_domain.com, mailto:dmarc@your_domain.com"

보고서 예

일일 보고서는 XML 형식으로 제공됩니다. 메일 흐름을 더 잘 이해하려면 보고서를 읽어보세요. 보고서를 통해 발신 메일 소스가 올바로 인증되는지 확인할 수 있습니다. 조직의 도메인에서 전송된 것으로 표시되는 메일의 발신 IP 주소가 실제로 조직의 IP 주소인지 확인하고, DKIM으로 올바로 설정하거나 해당 SPF 범위에 추가합니다. 또한 차단 정책이 설정된 상태에서 온라인에 새로운 메일 소스가 생기거나 기존 메일 소스의 설정에 문제가 발생하는 경우, 관리자는 보고서를 활용하여 빠른 조치를 취할 수 있습니다.

다음은 두 IP 주소에서 전송된 메일(직접 전송된 메일과 전달된 메일)에 대한 결과를 보여주는 보고서의 발췌 부분입니다. 두 메일은 모두 전달되었습니다.
<record>
<row>
<source_ip>207.126.144.129</source_ip>
<count>1</count>
<policy_evaluated>
<disposition>none</disposition>
</policy_evaluated>
</row>
<identities>
<header_from>stefanomail.com</header_from>
</identities>
<auth_results>
<dkim>
<domain>stefanomail.com</domain>
<result>pass</result>
<human_result></human_result>
</dkim>
<spf>
<domain>stefanomail.com</domain>
<result>pass</result>
</spf>
</auth_results>
</record> <record>
<row>
<source_ip>207.126.144.131</source_ip>
<count>1</count>
<policy_evaluated>
<disposition>none</disposition>
<reason>
<type>forwarded</type>
<comment></comment> </reason>
</policy_evaluated>
</row>
<identities>
<header_from>stefanomail.com</header_from>
</identities>
<auth_results>
<dkim>
<domain>stefanomail.com</domain>
<result>pass</result>
<human_result></human_result>
</dkim>
<spf>
<domain>stefanomail.com</domain>
<result>pass</result>
</spf>
</auth_results>
</record>

단계적 배포

DMARC 사용은 다음 순서대로 정책을 적용하여 천천히 늘리는 것이 좋습니다. 먼저 트래픽을 모니터링하고, 보고서에서 아직 서명되지 않은 메일이나 스푸핑되었을 수 있는 메일 등 비정상적인 메일이 있는지 찾아봅니다. 그런 다음 결과에 문제가 없는 경우 TXT 레코드 정책 설정을 ‘none’에서 ‘quarantine’으로 변경합니다. 이번에는 스팸 발견 및 일일 DMARC 보고서를 살펴보며 결과를 다시 검토합니다. 마지막으로 메일이 모두 서명되었다고 확신하면 정책 설정을 ‘reject’로 변경하여 DMARC를 완전히 활용합니다. 보고서를 다시 검토하여 결과가 설정 사항을 올바로 반영하는지 확인합니다.

마찬가지로 선택사항인 pct 태그를 사용하여 DMARC 배포를 단계별로 진행하고 샘플링할 수 있습니다. 기본값이 100%이므로 DMARC TXT 레코드에 ‘pct=20’를 입력하면 정책의 영향을 받는 메일의 5분의 1만이 해당 명령에 따라 처리됩니다. 이 설정은 메일을 스팸으로 분류하고 거부하도록 선택하면 특히 유용합니다. 처음에는 낮은 비율로 시작한 다음 며칠 간격으로 비율을 늘리세요.

비교적 안전한 배포 주기는 다음과 같습니다.

  1. 모두 모니터링합니다.
  2. 1%를 차단합니다.
  3. 5%를 차단합니다.
  4. 10%를 차단합니다.
  5. 25%를 차단합니다.
  6. 50%를 차단합니다.
  7. 모두 차단합니다.
  8. 1%를 거부합니다.
  9. 5%를 거부합니다.
  10. 10%를 거부합니다.
  11. 25%를 거부합니다.
  12. 50%를 거부합니다.
  13. 모두 거부합니다.

배포를 완료하려면 가급적 빨리 비율을 늘려 나갑니다.

일일 보고서는 항상 검토하시기 바랍니다.