메일서버 설정 3종세트(DKIM, SPF, DMARC) > 리눅스서버
리눅스서버

메일서버 설정 3종세트(DKIM, SPF, DMARC)

조회 282회 댓글 0건


DKIM, SPF, 및 DMARC는 이메일을 보다 안전하게 하고, 스팸이나 피싱 공격을 방지하기 위해 사용되는 이메일 인증 메커니즘들입니다.

공통적으로 네임서버 설정을 해줘야 하는 것들이다.


DKIM (DomainKeys Identified Mail)

DKIM은 발신자의 도메인이 실제로 해당 이메일을 보냈다는 것을 증명하기 위해 디지털 서명을 사용합니다.

이메일 발송자는 이메일의 헤더에 디지털 서명을 추가하고, 이 서명은 발신자의 도메인에 공개적으로 접근 가능한 공개 키로 검증할 수 있습니다.

수신 메일 서버는 이 공개 키를 사용하여 디지털 서명을 검증하고, 이를 통해 이메일이 변경되지 않았으며, 해당 도메인에서 실제로 발송되었음을 확인합니다.


SPF (Sender Policy Framework)

SPF는 이메일을 보낼 수 있는 서버의 목록을 정의하는 방식으로, 도메인의 소유자가 어떤 메일 서버가 자신의 도메인에서 이메일을 보낼 수 있는지 DNS 레코드를 통해 지정할 수 있습니다.

이메일을 받는 서버는 SPF 레코드를 확인하여 이메일이 승인된 서버에서 온 것인지 검증할 수 있습니다.

이 방법으로 위조된 소스에서 온 이메일을 걸러낼 수 있습니다.


DMARC (Domain-based Message Authentication, Reporting, and Conformance)

DMARC는 DKIM과 SPF의 검증 결과를 기반으로 하는 정책을 제공하여, 이메일이 어떻게 처리되어야 하는지 결정합니다.

DMARC 정책은 도메인 소유자가 설정할 수 있으며, 이메일이 DKIM과 SPF 검증을 통과하지 못했을 때 취할 조치(예: 이메일 거부, 격리, 또는 아무 조치도 취하지 않음)를 명시합니다.

또한, DMARC는 수신 서버로부터의 피드백을 도메인 소유자에게 보내어, 자신의 도메인을 사용하는 이메일의 인증 상태와 처리 상태에 대한 정보를 제공합니다.


요약하면

DKIM은 이메일이 변경되지 않았음을 증명하고,

SPF는 이메일이 승인된 서버에서 발송되었음을 확인하며,

DMARC는 이러한 검증 과정을 통합하여 이메일의 처리 방식을 결정하고 피드백을 제공합니다.




● 네임서버에 등록할 DKIM 키 만들기


1) 사용할 비밀번호를 결정 한다.

이건 비밀키, 공개키, 메일 보낼때 사용하는것으로 최대한 길게 숫자,특수문자,영문대소문자 섞어서 20자리 이상으로 만들어 준다.

비밀번호: test.com_as#SDFGeDqqfdsa@234sadf@!safdSA#


2) private 키를 만들어 준다.

메일을 보낼때 사용한다.

openssl genrsa -des3 -out dkim_testtest_private.pem 1024


3) 공개키를 만든다.

이건 dns txt 레코드에 들어갈것으로 여러줄 나온것을 한줄로 넣어주면 된다.

openssl rsa -in dkim_testtest_private.pem -out dkim_testtest_public.pem -outform PEM -pubout


4) 네임서버에 등록

아래와 같이 TXT 레코드에 등록을 해주면 된다.

아래에서 email 부분은 메일을 보낼때 셀렉터(MAIL_SELECTOR)에 해당한다. 그렇기 때문에 의미 있는것으로 잘 짓는것이 좋다.

공개키값은 여러줄로 된것을 한줄로 만들어 넣으면 됩니다.

email._domainkey.testtest.com.  IN      TXT     "v=DKIM1; k=rsa; p=위에서 생성한 공개키값"


설정이 잘 되었는지 확인해 본다.

nslookup -type=TXT email._domainkey.testtest.com



5) 메일을 발송 프로그램에 적용 한다.

phpMailer 사용할 경우 아래 부분을 추가해 주면 된다.


  $mail->DKIM_domain      = $DKIM_domain;       // 보내는 메일 도메인

  $mail->DKIM_private     = $DKIM_private;      // 위에서 만든 비밀키 시스템 경로

  $mail->DKIM_selector    = $DKIM_selector;     // 네임서버에 등록할때 사용한 셀렉터

  $mail->DKIM_passphrase  = $DKIM_passphrase;   // 비밀키 생성할때 사용한 비밀번호

  $mail->DKIM_identity    = $mail->From;



● SPF 잘 되었는지 확인

네임서버의 등록 내용이 퍼지는데 시간이 걸리기 때문에 이점 감안하여 확인해야 합니다. 그렇기 때문에 어떤 설정이 있을것 같으면 TTL 시간을 단축해 놓아야 빠르게 적용 됩니다.


리눅스의 BIND 네임서버 이용시는 아래와 같이 설정

testtest.com.       IN      TXT     "v=spf1 ip4:1.2.3.4 ip4:23.21.22.1 ~all"


설정이 잘 되었는지 확인해 본다.

nslookup -type=TXT testtest.com


sfp 설정 참고할곳

https://spam.kisa.or.kr/spam/cm/cntnts/cntntsView.do?mi=1033&cntntsId=1034

https://spam.kisa.or.kr/spam/na/ntt/selectNttList.do?mi=1034&bbsId=1021

https://support.google.com/a/answer/10685031?sjid=11809417760435636506-AP


잘 설정 되었는지 확인

https://mxtoolbox.com/SuperTool.aspx?action=spf%3anaver.com

https://easydmarc.com/tools/spf-lookup?domain=naver.com



● DMARC

메일 정책에 관한 사항으로 아래와 같이 간단 하게 설정하여 사용하면 된다.

_dmarc.testtest.com.      IN      TXT     "v=DMARC1; p=quarantine; pct=10; rua=mailto:dmarcmail@test.com; sp=quarantine; aspf=s;"


설정 잘 되었는지 확인 방법

https://mxtoolbox.com/SuperTool.aspx?action=mx%3atesttest.com&run=toolpage


  • 페이스북으로 공유
  • 트위터로  공유
  • 구글플러스로 공유
전체 163건 1 페이지
  • profile_image MySQL에서 트리거(trigger)는 특정 테이블에 대해 INSERT UPDATE DELETE와 같은 DML(데이터 조작 언어) 작업이 수행될 때 자동으로 실행되는 프로시저입니다. 트리거는 데이터의 무결성을 유지하거나 로깅 감사 등의 목적으로 사용될 수 있습니다. 트리거는 데이터베이스가 특정 조건에 반응하여 자동으로 특정 작업을 수행하도록 할 때 유용합니다.▷ 트리거의 주요 특징- 자동 실행: 트리거는 관련 테이블에 특정 DML 작업이 수행될…
  • profile_image 왜래키는 잘 쓰면 보약이고 잘못하면 관련된 테이블 모두 확인 하느라 부하가 심해진다.그래서 무조건 쓰지 못하게 하는곳도 있는 실정이다. 사실 우리가 그런부분이 있다.사이트의 부하가 많지 않다면 사용하는것을 권장 하는데 문제가 될일이 별로 없기 때문에 그렇다. 외래키는 두 테이블 간의 관계를 정의하는 데 사용 되는 것으로 보통 부모 테이블과 자식 테이블 간의 관계를 나타내는 데에 사용됩니다.1. 관계 정의  외래키는 부모 테이블의 기본 키(pri…
  • profile_image 리눅스에서 OpenSSL을 사용해 생성한 사설 인증서의 유효 기간을 확인하려면 터미널에서 OpenSSL 명령어를 사용 하면 된다.아래 openssl 명령어를 사용해 인증서의 유효 기간을 확인할 수 있다.openssl x509 -in [인증서 파일 경로] -noout -datesopenssl x509 -in mycert.pem -noout -datesopenssl x509 -in rootCA.crt -noout -datesopenssl x509 …
  • profile_image OpenSSL로 인증서 생성시 -days 36500 = 100년 옵션을 사용해서 유휴기간을 길게 준다. 우선 만료 되는 기간을 길게준 다음 후에 사용할 계획이 없으면 사용하지 않으면 되기 때문이다.지난것을 경고 무시하고 사용하는것 보다는 이편이 더 좋을것이다. 아래는 간단하게 개인 인증서 생성하는 방법이며두번째 csr 생성할때 입력 해야 하는것이 잇는데 아래처럼 입력하면 되며 비밀번호는 넣지 않아도 된다.(비밀번호 넣으면 다음에 진행할때 같이 …
  • profile_image 리눅스에서 디스크 사용량이 많은 프로그램을 찾기 위해서는 주로 du (Disk Usage) 명령어를 사용합니다. du 명령어는 디렉토리나 파일이 사용하는 디스크 공간의 양을 확인할 때 사용됩니다. du 명령의 기본적인 사용 방법 전체 사용량은 df 명령을 사용하지만 하위 디렉토리의 사용량을 보려면 du 명령을 사용 합니다. 운영하다 보면 어느곳에서 사용을 많이 하는지 알기 위해 은근히 많이 사용 되는 명령 입니다. 특정 디렉토리의 사용량을 확…
  • profile_image 디스크 I/O 부하를 많이 주는 프로그램 확인 디스크 I/O 부하를 많이 주는 프로그램을 찾으려면 iotop이라는 도구를 사용 하면 되며 이 도구는 각 프로세스의 I/O 사용량을 실시간으로 모니터링하며, 높은 I/O 사용량을 가진 프로세스를 쉽게 찾을 수 있도록 도와준다. io를 보는데는 iostat 도 있고. vmstat 1 명령으로 CPU 부하와 같이 쓰기나 읽기가 어느정도 인지 보는 방법도 있는데 iotop을 사용하면 프로그램 까지 알…