메일서버 설정 3종세트(DKIM, SPF, DMARC) > 리눅스서버
리눅스서버

메일서버 설정 3종세트(DKIM, SPF, DMARC)

조회 1,100회 댓글 0건


DKIM, SPF, 및 DMARC는 이메일을 보다 안전하게 하고, 스팸이나 피싱 공격을 방지하기 위해 사용되는 이메일 인증 메커니즘들입니다.

공통적으로 네임서버 설정을 해줘야 하는 것들이다.


DKIM (DomainKeys Identified Mail)

DKIM은 발신자의 도메인이 실제로 해당 이메일을 보냈다는 것을 증명하기 위해 디지털 서명을 사용합니다.

이메일 발송자는 이메일의 헤더에 디지털 서명을 추가하고, 이 서명은 발신자의 도메인에 공개적으로 접근 가능한 공개 키로 검증할 수 있습니다.

수신 메일 서버는 이 공개 키를 사용하여 디지털 서명을 검증하고, 이를 통해 이메일이 변경되지 않았으며, 해당 도메인에서 실제로 발송되었음을 확인합니다.


SPF (Sender Policy Framework)

SPF는 이메일을 보낼 수 있는 서버의 목록을 정의하는 방식으로, 도메인의 소유자가 어떤 메일 서버가 자신의 도메인에서 이메일을 보낼 수 있는지 DNS 레코드를 통해 지정할 수 있습니다.

이메일을 받는 서버는 SPF 레코드를 확인하여 이메일이 승인된 서버에서 온 것인지 검증할 수 있습니다.

이 방법으로 위조된 소스에서 온 이메일을 걸러낼 수 있습니다.


DMARC (Domain-based Message Authentication, Reporting, and Conformance)

DMARC는 DKIM과 SPF의 검증 결과를 기반으로 하는 정책을 제공하여, 이메일이 어떻게 처리되어야 하는지 결정합니다.

DMARC 정책은 도메인 소유자가 설정할 수 있으며, 이메일이 DKIM과 SPF 검증을 통과하지 못했을 때 취할 조치(예: 이메일 거부, 격리, 또는 아무 조치도 취하지 않음)를 명시합니다.

또한, DMARC는 수신 서버로부터의 피드백을 도메인 소유자에게 보내어, 자신의 도메인을 사용하는 이메일의 인증 상태와 처리 상태에 대한 정보를 제공합니다.


요약하면

DKIM은 이메일이 변경되지 않았음을 증명하고,

SPF는 이메일이 승인된 서버에서 발송되었음을 확인하며,

DMARC는 이러한 검증 과정을 통합하여 이메일의 처리 방식을 결정하고 피드백을 제공합니다.




● 네임서버에 등록할 DKIM 키 만들기


1) 사용할 비밀번호를 결정 한다.

이건 비밀키, 공개키, 메일 보낼때 사용하는것으로 최대한 길게 숫자,특수문자,영문대소문자 섞어서 20자리 이상으로 만들어 준다.

비밀번호: test.com_as#SDFGeDqqfdsa@234sadf@!safdSA#


2) private 키를 만들어 준다.

메일을 보낼때 사용한다.

openssl genrsa -des3 -out dkim_testtest_private.pem 1024


3) 공개키를 만든다.

이건 dns txt 레코드에 들어갈것으로 여러줄 나온것을 한줄로 넣어주면 된다.

openssl rsa -in dkim_testtest_private.pem -out dkim_testtest_public.pem -outform PEM -pubout


4) 네임서버에 등록

아래와 같이 TXT 레코드에 등록을 해주면 된다.

아래에서 email 부분은 메일을 보낼때 셀렉터(MAIL_SELECTOR)에 해당한다. 그렇기 때문에 의미 있는것으로 잘 짓는것이 좋다.

공개키값은 여러줄로 된것을 한줄로 만들어 넣으면 됩니다.

email._domainkey.testtest.com.  IN      TXT     "v=DKIM1; k=rsa; p=위에서 생성한 공개키값"


설정이 잘 되었는지 확인해 본다.

nslookup -type=TXT email._domainkey.testtest.com



5) 메일을 발송 프로그램에 적용 한다.

phpMailer 사용할 경우 아래 부분을 추가해 주면 된다.


  $mail->DKIM_domain      = $DKIM_domain;       // 보내는 메일 도메인

  $mail->DKIM_private     = $DKIM_private;      // 위에서 만든 비밀키 시스템 경로

  $mail->DKIM_selector    = $DKIM_selector;     // 네임서버에 등록할때 사용한 셀렉터

  $mail->DKIM_passphrase  = $DKIM_passphrase;   // 비밀키 생성할때 사용한 비밀번호

  $mail->DKIM_identity    = $mail->From;



● SPF 잘 되었는지 확인

네임서버의 등록 내용이 퍼지는데 시간이 걸리기 때문에 이점 감안하여 확인해야 합니다. 그렇기 때문에 어떤 설정이 있을것 같으면 TTL 시간을 단축해 놓아야 빠르게 적용 됩니다.


리눅스의 BIND 네임서버 이용시는 아래와 같이 설정

testtest.com.       IN      TXT     "v=spf1 ip4:1.2.3.4 ip4:23.21.22.1 ~all"


설정이 잘 되었는지 확인해 본다.

nslookup -type=TXT testtest.com


sfp 설정 참고할곳

https://spam.kisa.or.kr/spam/cm/cntnts/cntntsView.do?mi=1033&cntntsId=1034

https://spam.kisa.or.kr/spam/na/ntt/selectNttList.do?mi=1034&bbsId=1021

https://support.google.com/a/answer/10685031?sjid=11809417760435636506-AP


잘 설정 되었는지 확인

https://mxtoolbox.com/SuperTool.aspx?action=spf%3anaver.com

https://easydmarc.com/tools/spf-lookup?domain=naver.com



● DMARC

메일 정책에 관한 사항으로 아래와 같이 간단 하게 설정하여 사용하면 된다.

_dmarc.testtest.com.      IN      TXT     "v=DMARC1; p=quarantine; pct=10; rua=mailto:dmarcmail@test.com; sp=quarantine; aspf=s;"


설정 잘 되었는지 확인 방법

https://mxtoolbox.com/SuperTool.aspx?action=mx%3atesttest.com&run=toolpage


  • 페이스북으로 공유
  • 트위터로  공유
  • 구글플러스로 공유
전체 167건 1 페이지
  • profile_image 고객의 서버 시스템을 복구해야 할 때 사용하는 동의서 입니다. 보안 뿐만이 아니라 급작스러운 일이 있을 수 있기 때문에 백업의 중요성과 예상하지 못한 문제로 인하여 고객에게 사전에 충분히 인지 할 수 있도록 하기 위한 동의서 양식 입니다. ● 시스템 복구 동의 사항   1. 작업비용 산출 및 청구복구 의뢰 접수 후 담당자는 시스템 상태를 파악하며, 예상 작업시간과 비용을 산출 하여 담당 고객에게 처리해야 할 부분을 확인 합니다.시스템 복구에 대한 비용은 작업 시작 전에 청구 됩니다.※ 주간 기본비용 : 0만원/시간, 야간 기본비용 : 0만원/시간   2. 작업의뢰 전에 시스템의 파일을 무조건 모두 백업 받아야 …
  • profile_image http 프로토콜은 사실상 사용하지 않기 때문에 들어오는 그대로 https로 301 처리 합니다.그런데!!하지 말아야할 디렉토리가 발견되어 ssl 이동한 다음 404처리를 하기 때문에 처음 부터 404 처리 하는것이 좋은 경우가 있습니다.   <VirtualHost *:80>    ServerName pabburi.co.kr    DocumentRoot "/www_html"    RewriteEngine on    # Return 404 for any requests to the /data/ directory    RewriteRule ^/data/.* - [R=404,L]    # https 301    R…
  • profile_image 간혹 파일을 찾기는 해야 하는데 언제쯤 이후에 만든것은 확실한데 어디 있는지 모르는 경우가 있을 때 유용 합니다.아래는 php 확장자인 경우 예를 들었습니다.삼바 연결된 곳이라면 PC 문서를 찾는데 무척 좋습니다.find . -type f -name "*.php" -newermt 2024-03-01 ▷ 각 항목에 대한 설명find: 파일 검색 명령어..: 현재 디렉토리를 의미.-type f: 파일만 검색.-name "*.php": .php 확장자를 가진 파일만 검색.-newermt 2024-03-01: 2024년 3월 1일 이후에 수정된 파일 검색.▶ find 명령으로 파일에 특정 문자가 있는 경우만 출력   아래는 현…
  • profile_image ftp는 vsftpd 별도로 사용하고 있는데 오늘 보니 사용하지 않는 21번 포트가 열려 있네요.전 디폴트 포트는 사용하지 않기 때문에 이런게 있으면 안되지요~netstat -antp | grep LISTEN확인하니 xinetd 에서 띄워져 있네요.vim /etc/xinetd.d/vsftpd 파일을 열면 아래와 같은 텍스트를 볼 수 있는데요.  service ftp  {          socket_type             = stream          wait                    = no          user                    = root          server      …
  • profile_image MySQL에서 트리거(trigger)는 특정 테이블에 대해 INSERT UPDATE DELETE와 같은 DML(데이터 조작 언어) 작업이 수행될 때 자동으로 실행되는 프로시저입니다. 트리거는 데이터의 무결성을 유지하거나 로깅 감사 등의 목적으로 사용될 수 있습니다. 트리거는 데이터베이스가 특정 조건에 반응하여 자동으로 특정 작업을 수행하도록 할 때 유용합니다.▷ 트리거의 주요 특징- 자동 실행: 트리거는 관련 테이블에 특정 DML 작업이 수행될 때 자동으로 실행됩니다.- 데이터 무결성 보장: 데이터의 무결성을 보장하기 위해 사용될 수 있으며 복잡한 제약 조건을 구현하는 데 유용합니다.- 감사 및 로깅: 데이터 변경 사항…
  • profile_image 왜래키는 잘 쓰면 보약이고 잘못하면 관련된 테이블 모두 확인 하느라 부하가 심해진다.그래서 무조건 쓰지 못하게 하는곳도 있는 실정이다. 사실 우리가 그런부분이 있다.사이트의 부하가 많지 않다면 사용하는것을 권장 하는데 문제가 될일이 별로 없기 때문에 그렇다. 외래키는 두 테이블 간의 관계를 정의하는 데 사용 되는 것으로 보통 부모 테이블과 자식 테이블 간의 관계를 나타내는 데에 사용됩니다.1. 관계 정의  외래키는 부모 테이블의 기본 키(primary key) 또는 유일한 키(unique key)와 연결됩니다. 이 관계를 통해 자식 테이블의 행들이 부모 테이블의 행들을 참조할 수 있습니다.2. 무결성 유지 외래키 제약 …
  • profile_image 리눅스에서 OpenSSL을 사용해 생성한 사설 인증서의 유효 기간을 확인하려면 터미널에서 OpenSSL 명령어를 사용 하면 된다.아래 openssl 명령어를 사용해 인증서의 유효 기간을 확인할 수 있다.openssl x509 -in [인증서 파일 경로] -noout -datesopenssl x509 -in mycert.pem -noout -datesopenssl x509 -in rootCA.crt -noout -datesopenssl x509 -in server.crt -noout -dates# 생성 할 때 기간을 주면 유효 기간을 길게 사용 할 수 있다.# -days 36500 = 100년openssl x509 -re…
  • profile_image OpenSSL로 인증서 생성시 -days 36500 = 100년 옵션을 사용해서 유휴기간을 길게 준다. 우선 만료 되는 기간을 길게준 다음 후에 사용할 계획이 없으면 사용하지 않으면 되기 때문이다.지난것을 경고 무시하고 사용하는것 보다는 이편이 더 좋을것이다. 아래는 간단하게 개인 인증서 생성하는 방법이며두번째 csr 생성할때 입력 해야 하는것이 잇는데 아래처럼 입력하면 되며 비밀번호는 넣지 않아도 된다.(비밀번호 넣으면 다음에 진행할때 같이 넣어 줘야 되어 테스트 할때는 넣지 않도록 한다.)-----Country Name (2 letter code) [XX]:KRState or Province Name (full na…