지난 게시물에서, 브랜드 로고를 BIMI/VMC에 맞는 포맷으로 만드는 방법을 논의했습니다. 이 게시물에서는 다음 단계를 살펴보겠습니다 – 기업체를 위한 DMARC의 설정 방법.

DMARC란 무엇인가?

DMARC(Domain-based Message Authentication, Reporting & Conformance, 도메인 기반 메시지 인증, 보고 및 적합성)는 이메일 인증, 정책 및 보고 프로토콜이며, 이를 통해 기업체에서 스푸핑 및 피싱 등 도메인의 무단 사용을 방지할 수 있습니다. VMC의 적격성을 확인하기 전에, 기업체는 우선 DMARC를 준수해야 합니다.

미루지 마십시오

이 프로세스는 기업체의 규모에 따라 몇 주 또는 몇 개월이 소요될 수 있습니다 (규모가 클수록 더 오래 걸림). 따라서, 당장 시작하는 것이 가자 좋습니다.

이 블로그는 기본 프로세스를 이해하기 위한 개략적인 설명입니다. 보다 깊이 있는 단계별 자습서는 종합 DMARC 및 BIMI 안내서를 다운받으시기 바랍니다.

준비 사항

시작하기 전에, 다음을 확인하십시오.

1. .txt 에디퍼 (예: Notepad++, Vim, Nano 등)
2. 도메인의 DNS 기록 접속
   1.  DNS를 관리하지 않는 경우, 서버 관리자에게 문의하십시오.

단계 1: SPF용 IP 주소 수집

DMARC 준수를 위한 첫 번째 단계는 SPF (Sender Policy Framework, 발신자 정책 프레임워크)를 설정하는 것 입니다. 그러면, 무단 IP 주소가 귀사의 도메인에서 이메일을 보내지 못 하도록 방지합니다.

하지만, 우선적으로 현재 귀사의 도메인에서 이메일을 발송하는 승인된 IP 주소의 목록을 작성하십시오.

다음이 포함됩니다.

• 웹 서버
• 사무실 내 메일 서버
• ISP 메일 서버
• 제3자 업체의 메일 서버

IP 주소를 전부 찾지 못했어도 걱정하지 마십시오. DMARC 모니터링 (단계 4)이 작동하게 됩니다. 하지만, 이 단계에서 본인이 찾을 수 있을 만큼 직접 찾아서 기록하는 것이 좋습니다.

단계 2: 도메인에 대한 SPF 기록 생성

다음, 텍스트 에디터를 열고 각 도메인에 대한 SPF 기록을 생성하십시오.

예 1: v=spf1 ip4:1.2.3.4 ip4:2.3.4.5 ip4:x.x.x.x -전부

예 2: v=spf1 ip4:1.2.3.4 ip4:2.3.4.5 include:thirdparty.com -전부

완료되면, 파일을 저장하고 이를 DNS로 공개하십시오.

SPF 툴 (당사의 파트너인 Valimail에서 사용하는 툴)을 사용하여 모든 사항을 올바르게 입력하십시오.

단계 3: DKIM 설정하기

DKIM은 이메일 메시지에 서명하기 위한 공용키/사설키 암호화를 사용하는 이메일 인증 표준입니다. 이로써, 메시지가 전이 중에 변조되지 않습니다.

1. DKIM 셀렉터를 선택하십시오.

예: “standard._domain.example.com” = 호스트명

2. 해당 도메인에 대한 공용-사설 키 쌍(public-private key pair)을 생성하십시오.

Windows: PUTTYGen 사용

Linux/Mac: ssh-keygen 사용

3. DNS 관리 콘솔을 통해 새 .TXT 기록을 생성하여 공개하십시오.

이와 같아야 합니다: v=DKIM1; p=YourPublicKey

단계 4: 모니터링 커뮤니케이션 반복

이제, 가장 중요한 단계입니다. 또한, 가장 시간이 오래 걸리는 단계이기도 합니다. DMARC를 설정하여 무엇이 승인되었는지 (그리고 결국 DMARC에서 차단하거나 거부하게 되는 것이 무엇인지)에 대한 확실한 기준선을 제공하도록 현재 이메일 트래픽을 모니터링해야 합니다.

주: 이 단계를 건너뛰고 시행으로 직접 가고 싶겠지만, 지금 시간을 들여 모니터링하면 DMARC가 완전히 구현되고 나서 중요한 메시지가 손실되거나 영구 삭젝되지 않도록 방지할 수 있습니다.

DMARC를 통해 트래픽을 모니터링하는 방법은 다음과 같습니다.

1. SPF 및 DKIM을 올바르게 설정해야 합니다.

2. DNS 기록을 생성하십시오.

“txt” DMARC 기록은 “_dmarc.your_domain.com”과 유사하게 이름을 정해야 합니다.

예: “v=DMARC1;p=none; rua=mailto:dmarcreports@your_domain.com”

해당 도메인에 대해 DNS를 관리하는 경우, SPF 및 DKIM 기록과 동일한 방식으로 “p=none” (모니터링 모드) DMARC 기록을 생성하십시오.

DNS를 관리하지 않는 경우, DNS 사업자에게 문의하여 DMARC 기록을 생성하십시오.

3. DMARC 확인 툴을 통해 DMARC 기록을 테스트하십시오.

주: 복제하기까지 24-48 시간을 기다려야 합니다.

이제, DMARC에서 보고서를 생성하기 시작합니다. 이를 통해, SPF 및 DKIM에 의해 플래그 처리된 메시지 등 도메인을 통해 발송된 이메일을 확실하게 파악할 수 있습니다.

중요: 여기서, 이전에는 SPF 보고서에 포함되지 않았던 합법적 발신자가 이 보고서에 표시되어 있는지 확인할 수 있습니다 (단계 1). 이런 발신자가 있다면, 그에 따라 기록을 업데이트해야 합니다.

문제점은? 이런 보고서가 판독하기 쉽지 않은 XML 파일이라는 것입니다. 데이터를 다루는 데 비교적 많은 시간을 할애하기 때문에, DMARC 보고서 프로세서 (Valimail에서 사용하는 것과 동일함)를 사용하여 분석하는 것이 훨씬 용이합니다

단계 5: 익숙해진 다음, 시행으로 천천히 이전

무단으로 플래그 처리된 합법적 메시지를 찾아냈다고 확신하기까지 충분한 시간을 들여 이메일을 모니터링했다면, 시행 단계로 이전해야 합니다.

DMARC는 2가지 시행 수준이 있습니다. “차단” 그리고 “거부” “거부”는 분명히 가장 안전하고, 그래서 가장 적극적으로 권장되지만, 어느 수준에서도 도메인은 VMC을 적용할 수 있습니다.

하지만, 곧바로 거부하기 전에, 격리 단계에 잠시 두는 것이 안전합니다. 방법은 다음과 같습니다.

1. DNS 서버에 로그인한 후, DMARC 기록을 검색하십시오.

2. 지정된 도메인에 대한 DMARC 기록을 열고, 정책을 “p=none”에서 “p=quarantine”으로 업데이트하십시오.

예:

“v=DMARC1;p=quarantine;pct=10;rua=mailto:dmarcreports@your_domain.com“

3. “pct” (필터링해야 하는 메시지의 %) 플래그를 추가하십시오. 10%에서 시작하여 완전히 100%가 될 때까지 조금씩 올리는 것이 좋습니다.

100% 필터링에 도달하고 나면, 공식적으로 VMC를 적용하여 거부할 준비가 된 것입니다.

다행인 것은, 이것이 가장 쉬운 단계라는 것입니다.

1. DMARC 기록을 열고 “p=quarantine”을 “p=reject”로 변경하십시오.

축하합니다! 이제, 귀사의 도메인에서 발송되는 메시지를 확실하게 파악하고, 모든 사용자를 위한 보안성을 강화시키며, 다양한 피싱 공격으로부터 자신을 지킬 뿐만 아니라 기업체는 VMC 인증서를 받을 자격을 갖췄습니다 (사용 가능하게 될 경우).

기업체의 이메일 접속을 안전하게 관리하는 자세한 방법은 안전한 원격 이메일 접속 블로그를 참조하십시오.