DKIM 공개 키 찾기 및 검증
DNS 및 레코드
DNS 조회 모든 도메인의 전체 DNS 레코드 A 레코드 조회 도메인의 IPv4 주소 AAAA 레코드 조회 도메인의 IPv6 주소 MX 조회 도메인의 메일 서버 NS 조회 권한 있는 네임 서버 TXT 조회 TXT 레코드, SPF, 인증 CNAME 조회 정규 이름(별칭) 레코드 SOA 조회 Start of Authority 레코드 SRV 조회 서비스 위치 레코드 CAA 조회 어떤 CA가 인증서를 발급할 수 있는지 역방향 DNS (PTR) IP 주소에서 호스트명으로 DNSSEC 점검 도메인이 서명되고 검증되는가? DNS 헬스 체크 위임 및 DNS 전체를 진단하는 종합 리포트이메일 전달성
SPF 점검 Sender Policy Framework 레코드 검증 DMARC 점검 DMARC 정책 검사 및 등급 평가 DKIM 점검 DKIM 공개 키 찾기 및 검증 블랙리스트 점검 이메일 차단 목록(DNSBL)에 대해 IP 점검 SMTP 테스트 메일 서버에 연결하여 STARTTLS 점검 MTA-STS 점검 수신 메일에 대한 강제 TLS 정책 BIMI 점검 이메일용 브랜드 로고 레코드 TLS-RPT 점검 SMTP TLS 보고 정책네트워크 및 웹
SSL 인증서 점검 사이트의 TLS 인증서 및 만료 검사 HTTP 헤더 점검 응답 헤더, 리디렉션 및 보안 검사 핑 (TCP) TCP를 통한 도달성 및 지연 시간 포트 점검 어떤 일반 포트가 열려 있는지도메인
WHOIS 조회 도메인, IP 및 ASN의 등록 데이터DKIM은 발신 이메일에 암호화 서명을 추가하며, 수신 서버는 selector._domainkey.귀하의-도메인의 DNS에 게시된 공개 키로 이를 검증합니다. DNS에는 셀렉터를 나열하는 방법이 없으므로, IPeek는 Google, Microsoft, Amazon SES 등 주요 제공업체가 사용하는 셀렉터를 탐색합니다.
메일을 보낼 때 제공업체는 개인 키로 선택된 헤더와 본문에 서명하고 메시지에 DKIM-Signature 헤더를 추가합니다. 수신 서버는 이 헤더에서 d=(도메인)와 s=(셀렉터) 태그를 읽어 selector._domainkey.d에서 일치하는 공개 키를 가져와 서명을 검증합니다. 검증되면 콘텐츠가 전송 중 변조되지 않았고 해당 도메인의 키 보유자가 실제로 보낸 것임이 확인됩니다. 개인 키는 발신 서버에만 남아 있고, 공개 키만 DNS에 존재합니다.
셀렉터는 한 도메인이 여러 DKIM 키를 게시할 수 있게 해 주며, 키 교체나 서로 다른 발송 서비스에 유용합니다. 공개 키는 selector._domainkey.귀하의-도메인의 TXT 레코드로, 예를 들어 google._domainkey.example.com에 v=DKIM1; k=rsa; p=<base64 공개 키> 형태로 들어 있습니다. DNS에는 셀렉터 목록이 없으므로 도메인이 어떤 셀렉터를 쓰는지 단순히 물어볼 수 없습니다. 그래서 IPeek는 Google(google), Microsoft, Amazon SES 등 주요 제공업체가 사용하는 흔한 셀렉터를 탐색해 게시된 키를 찾아냅니다.
DKIM은 세 가지 중 콘텐츠 인증 계층입니다. SPF가 IP로 발신 호스트를 인증하는 반면, DKIM은 메시지의 헤더와 본문이 변조되지 않았음을 암호학적으로 증명하고 이를 서명 도메인에 묶습니다. 이후 DMARC가 DKIM 서명 도메인이 사용자에게 보이는 From 주소와 정렬되는지 확인합니다. DKIM에는 SPF에 비해 핵심적인 장점이 있습니다. 서명이 메시지와 함께 이동하므로 SPF가 자주 깨지는 이메일 전달(forwarding) 상황에서도 살아남습니다. 강력한 전달성을 위해 DKIM을 게시하고 DMARC 아래에 정렬하세요.
셀렉터는 DNS에서 특정 DKIM 공개 키를 가리키는 레이블로, 한 도메인이 키 교체나 서로 다른 발송 서비스를 위해 여러 키를 게시할 수 있게 해 줍니다. DKIM-Signature 헤더의 s= 태그로 나타나며, DNS 위치 selector._domainkey.귀하의-도메인의 일부를 이룹니다. 예를 들어 Google Workspace는 흔히 google 셀렉터를 사용합니다.
DKIM 레코드는 selector._domainkey.귀하의-도메인에 있는데, DNS에는 도메인이 어떤 셀렉터를 쓰는지 나열하는 방법이 없어 조회하려면 셀렉터를 미리 알아야 합니다. 제공업체마다 사용하는 셀렉터가 다릅니다. IPeek는 Google, Microsoft, Amazon SES 등 주요 제공업체가 쓰는 흔한 셀렉터를 탐색해 게시된 키를 자동으로 찾아 이 문제를 해결합니다.
DKIM 공개 키는 selector._domainkey.귀하의-도메인의 DNS에 TXT 레코드로 게시됩니다. 예를 들어 google._domainkey.example.com입니다. 이 레코드에는 v=DKIM1; k=rsa; p= 뒤에 base64로 인코딩된 공개 키가 이어지는 형태의 태그가 들어 있습니다. 일치하는 개인 키는 발신 메일 서버에만 남으며 절대 게시되지 않습니다. 수신 서버는 공개 키를 가져와 각 서명을 검증합니다.
네, 대부분의 경우 그렇습니다. DKIM 서명은 메시지 헤더 안에 함께 이동하므로, 서명된 헤더와 본문이 수정되지 않는 한 전달 후에도 유효하게 유지됩니다. 이는 발신 IP가 바뀌면서 전달 시 보통 깨지는 SPF에 비해 큰 장점입니다. 또한 전달된 메일에서 SPF가 실패하더라도 DMARC가 DKIM을 통해 통과할 수 있는 이유이기도 합니다.
SPF는 발신 IP를 확인해 어떤 호스트가 도메인을 대신해 메일을 보낼 수 있는지 인증하고, DKIM은 각 메시지에 암호화 서명을 추가해 콘텐츠가 변조되지 않았고 귀하의 도메인에서 왔음을 수신 서버가 검증할 수 있게 합니다. SPF는 경로를 검증하고, DKIM은 메시지를 검증합니다. 둘은 상호 보완적이며, DMARC가 둘 다 사용자에게 보이는 From 주소에 묶어 줍니다.