메일서버 설정 3종세트(DKIM, SPF, DMARC)
DKIM, SPF, 및 DMARC는 이메일을 보다 안전하게 하고, 스팸이나 피싱 공격을 방지하기 위해 사용되는 이메일 인증 메커니즘들입니다.
공통적으로 네임서버 설정을 해줘야 하는 것들이다.
DKIM (DomainKeys Identified Mail)
DKIM은 발신자의 도메인이 실제로 해당 이메일을 보냈다는 것을 증명하기 위해 디지털 서명을 사용합니다.
이메일 발송자는 이메일의 헤더에 디지털 서명을 추가하고, 이 서명은 발신자의 도메인에 공개적으로 접근 가능한 공개 키로 검증할 수 있습니다.
수신 메일 서버는 이 공개 키를 사용하여 디지털 서명을 검증하고, 이를 통해 이메일이 변경되지 않았으며, 해당 도메인에서 실제로 발송되었음을 확인합니다.
SPF (Sender Policy Framework)
SPF는 이메일을 보낼 수 있는 서버의 목록을 정의하는 방식으로, 도메인의 소유자가 어떤 메일 서버가 자신의 도메인에서 이메일을 보낼 수 있는지 DNS 레코드를 통해 지정할 수 있습니다.
이메일을 받는 서버는 SPF 레코드를 확인하여 이메일이 승인된 서버에서 온 것인지 검증할 수 있습니다.
이 방법으로 위조된 소스에서 온 이메일을 걸러낼 수 있습니다.
DMARC (Domain-based Message Authentication, Reporting, and Conformance)
DMARC는 DKIM과 SPF의 검증 결과를 기반으로 하는 정책을 제공하여, 이메일이 어떻게 처리되어야 하는지 결정합니다.
DMARC 정책은 도메인 소유자가 설정할 수 있으며, 이메일이 DKIM과 SPF 검증을 통과하지 못했을 때 취할 조치(예: 이메일 거부, 격리, 또는 아무 조치도 취하지 않음)를 명시합니다.
또한, DMARC는 수신 서버로부터의 피드백을 도메인 소유자에게 보내어, 자신의 도메인을 사용하는 이메일의 인증 상태와 처리 상태에 대한 정보를 제공합니다.
요약하면
DKIM은 이메일이 변경되지 않았음을 증명하고,
SPF는 이메일이 승인된 서버에서 발송되었음을 확인하며,
DMARC는 이러한 검증 과정을 통합하여 이메일의 처리 방식을 결정하고 피드백을 제공합니다.
● 네임서버에 등록할 DKIM 키 만들기
1) 사용할 비밀번호를 결정 한다.
이건 비밀키, 공개키, 메일 보낼때 사용하는것으로 최대한 길게 숫자,특수문자,영문대소문자 섞어서 20자리 이상으로 만들어 준다.
비밀번호: test.com_as#SDFGeDqqfdsa@234sadf@!safdSA#
2) private 키를 만들어 준다.
메일을 보낼때 사용한다.
openssl genrsa -des3 -out dkim_testtest_private.pem 1024
3) 공개키를 만든다.
이건 dns txt 레코드에 들어갈것으로 여러줄 나온것을 한줄로 넣어주면 된다.
openssl rsa -in dkim_testtest_private.pem -out dkim_testtest_public.pem -outform PEM -pubout
4) 네임서버에 등록
아래와 같이 TXT 레코드에 등록을 해주면 된다.
아래에서 email 부분은 메일을 보낼때 셀렉터(MAIL_SELECTOR)에 해당한다. 그렇기 때문에 의미 있는것으로 잘 짓는것이 좋다.
공개키값은 여러줄로 된것을 한줄로 만들어 넣으면 됩니다.
email._domainkey.testtest.com. IN TXT "v=DKIM1; k=rsa; p=위에서 생성한 공개키값"
설정이 잘 되었는지 확인해 본다.
nslookup -type=TXT email._domainkey.testtest.com
5) 메일을 발송 프로그램에 적용 한다.
phpMailer 사용할 경우 아래 부분을 추가해 주면 된다.
$mail->DKIM_domain = $DKIM_domain; // 보내는 메일 도메인
$mail->DKIM_private = $DKIM_private; // 위에서 만든 비밀키 시스템 경로
$mail->DKIM_selector = $DKIM_selector; // 네임서버에 등록할때 사용한 셀렉터
$mail->DKIM_passphrase = $DKIM_passphrase; // 비밀키 생성할때 사용한 비밀번호
$mail->DKIM_identity = $mail->From;
● SPF 잘 되었는지 확인
네임서버의 등록 내용이 퍼지는데 시간이 걸리기 때문에 이점 감안하여 확인해야 합니다. 그렇기 때문에 어떤 설정이 있을것 같으면 TTL 시간을 단축해 놓아야 빠르게 적용 됩니다.
리눅스의 BIND 네임서버 이용시는 아래와 같이 설정
testtest.com. IN TXT "v=spf1 ip4:1.2.3.4 ip4:23.21.22.1 ~all"
설정이 잘 되었는지 확인해 본다.
nslookup -type=TXT testtest.com
sfp 설정 참고할곳
https://spam.kisa.or.kr/spam/cm/cntnts/cntntsView.do?mi=1033&cntntsId=1034
https://spam.kisa.or.kr/spam/na/ntt/selectNttList.do?mi=1034&bbsId=1021
https://support.google.com/a/answer/10685031?sjid=11809417760435636506-AP
잘 설정 되었는지 확인
https://mxtoolbox.com/SuperTool.aspx?action=spf%3anaver.com
https://easydmarc.com/tools/spf-lookup?domain=naver.com
● DMARC
메일 정책에 관한 사항으로 아래와 같이 간단 하게 설정하여 사용하면 된다.
_dmarc.testtest.com. IN TXT "v=DMARC1; p=quarantine; pct=10; rua=mailto:dmarcmail@test.com; sp=quarantine; aspf=s;"
설정 잘 되었는지 확인 방법
https://mxtoolbox.com/SuperTool.aspx?action=mx%3atesttest.com&run=toolpage