네트워크 진단 도구

DMARC 점검

DMARC 정책 검사 및 등급 평가

DMARC 레코드란?

DMARC는 SPF와 DKIM 위에 구축되어, 인증에 실패한 메일을 수신 서버가 어떻게 처리할지와 보고서를 어디로 보낼지를 알려 줍니다. 'p=none' 정책은 모니터링만 하지만, 'quarantine'과 'reject'는 실제로 도메인을 사칭으로부터 보호합니다. IPeek는 _dmarc.귀하의-도메인에 게시된 레코드를 읽어 모든 태그를 분석하고 정책 강도를 평가합니다.

DMARC와 정렬(alignment)의 작동 원리

DMARC는 _dmarc.귀하의-도메인에 게시되며 v=DMARC1로 시작하는 TXT 레코드입니다. 메시지가 SPF 또는 DKIM을 통과하고, 인증된 도메인이 사용자에게 보이는 From 도메인과 정렬되면 DMARC를 통과합니다. 핵심은 정렬입니다. 사칭 발신자는 자신의 도메인에서 SPF나 DKIM을 단독으로 통과시킬 수는 있어도, 귀하의 도메인과 정렬시킬 수는 없습니다. v=DMARC1; p=reject; rua=mailto:reports@귀하의-도메인; adkim=s; aspf=s 같은 레코드는 거부를 강제하고 DKIM과 SPF 모두에 엄격한 정렬을 요구합니다.

p=none, quarantine, reject 읽기

p 태그가 정책을 설정합니다. p=none은 모니터링만 합니다. 메일은 그대로 전달되지만, 누가 귀하를 사칭해 발송하는지 확인할 수 있는 보고서를 수집합니다. p=quarantine는 실패한 메일을 스팸으로 보내고, p=reject는 메일을 완전히 차단하여 사칭에 대한 가장 강력한 보호를 제공합니다. pct 태그로 강제 적용을 점진적으로 높일 수 있으며(예: pct=25), sp 태그는 하위 도메인에 별도 정책을 지정합니다. none으로 시작해 데이터를 모은 뒤, 정상 발신자가 모두 통과하면 quarantine과 reject로 강화하세요. IPeek는 현재 정책이 얼마나 강력한지 평가해 줍니다.

DMARC 보고서와 rua 태그

DMARC를 실행 가능하게 만드는 것이 바로 보고 기능입니다. rua 태그는 매일 집계 XML 보고서를 받을 사서함을 지정하며, 이 보고서는 어떤 출처가 귀하의 도메인을 사칭해 발송했는지와 SPF, DKIM, 정렬을 통과했는지를 요약합니다. 정책을 강화하기 전에 이 보고서를 이용해 인증을 빠뜨린 정상 발신자를 찾으세요. 선택적인 ruf 태그는 포렌식(실패 건별) 보고서를 요청하지만, 대부분의 수신 서버는 개인정보 보호상의 이유로 더 이상 이를 보내지 않습니다. rua 없이는 정책을 깜깜이로 강제하는 셈입니다.

자주 묻는 질문

DMARC 레코드에서 p=none은 무슨 뜻인가요?

p=none은 모니터링 전용 정책입니다. DMARC에 실패한 메일에 특별한 조치를 취하지 말라고 수신 서버에 지시하므로 메시지는 정상적으로 전달되지만, 누가 귀하의 도메인을 사칭해 메일을 보내는지 보여 주는 집계 보고서는 계속 받게 됩니다. p=none으로 데이터를 모으고 정상 발신자를 파악한 뒤, 실제 사칭 방어를 위해 quarantine 또는 reject로 전환하세요.

DMARC에서 quarantine와 reject의 차이는 무엇인가요?

둘 다 정책을 강제하지만 방식이 다릅니다. p=quarantine는 실패한 메일을 스팸 또는 정크 폴더로 전달하라고 지시하고, p=reject는 메일을 완전히 차단해 수신자에게 도달하지 못하게 합니다. reject가 사칭에 대한 가장 강력한 보호입니다. quarantine는 완전한 거부로 넘어가기 전의 흔한 중간 단계입니다.

DMARC 정렬(alignment)이란 무엇인가요?

정렬은 SPF 또는 DKIM이 인증한 도메인이 사용자에게 보이는 From 헤더의 도메인과 일치하도록 요구하는 것입니다. DMARC는 둘 중 적어도 하나가 정렬될 때만 통과합니다. 완화된 정렬(기본값)은 하위 도메인이 조직 도메인과 일치하는 것을 허용하고, 엄격한 정렬(adkim=s, aspf=s)은 정확히 일치할 것을 요구합니다. 정렬은 공격자가 자신의 도메인에서 인증을 통과하는 것을 막아 줍니다.

DMARC 레코드는 어디에 게시하나요?

DMARC 레코드는 도메인의 _dmarc 하위 도메인에 게시하는 TXT 레코드입니다. 예를 들어 _dmarc.example.com입니다. v=DMARC1로 시작해야 하며 조직 도메인마다 하나씩 게시합니다. 수신 서버는 정확히 이 위치를 조회해 정책을 찾습니다. IPeek는 _dmarc.귀하의-도메인의 레코드를 자동으로 읽어 포함된 모든 태그를 분석합니다.

DMARC가 통과하려면 SPF와 DKIM이 모두 필요한가요?

아니요. DMARC는 SPF 또는 DKIM 중 하나가 통과하고 From 도메인과 정렬되면 통과하므로 반드시 둘 다 필요한 것은 아닙니다. 다만 둘 다 구성하는 것이 강력히 권장됩니다. 중복성이 생기고, DKIM은 이메일 전달(forwarding)에도 살아남지만 SPF는 전달 시 자주 깨지기 때문입니다. 두 인증 방식을 모두 정렬해 두면 가장 안정적인 DMARC 결과를 얻을 수 있습니다.

관련 도구

Deutsch | English | Español | Français | Italiano | Português | Русский | Українська | 日本語 | 简体中文 | 한국어