Amazon SES를 사용하여 DMARC 준수 - Amazon Simple Email Service

이 가이드는 의 기존 콘솔을 반영합니다Amazon SES. 용 새 콘솔에 대한 자세한 내용은 Amazon SES 새 Amazon Simple Email Service 개발자 안내서를 참조하십시오.

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Amazon SES를 사용하여 DMARC 준수

Domain-based Message Authentication, Reporting and Conformance(DMARC)는 Sender Policy Framework(SPF)와 DomainKeys Identified Mail(DKIM)을 사용해 이메일 스푸핑을 찾아내는 이메일 인증 프로토콜입니다. DMARC를 준수하려면 SPF 또는 DKIM 또는 둘 다를 통해 메시지를 인증해야 합니다.

이 주제에는 보내는 이메일이 SPF와 DKIM을 모두 준수하도록 Amazon SES를 구성하는 데 도움이 되는 정보가 나와 있습니다. 이러한 인증 시스템 중 하나를 준수하면 이메일이 DMARC를 준수하게 됩니다. DMARC 인증 기준에 관한 정보는 http://www.dmarc.org를 참조하십시오.

도메인의 DMARC 정책 설정

DMARC를 설정하려면 도메인의 DNS 설정을 수정해야 합니다. 도메인의 DNS 설정에는 도메인의 DMARC 설정을 지정하는 TXT 레코드가 포함되어 있어야 합니다. DNS 구성에 TXT 레코드를 추가하는 절차는 사용하는 DNS 또는 호스팅 공급자에 따라 다릅니다. 사용 시 Route 53, 참조 기록 작업 에서 Amazon Route 53 개발자 안내서. 다른 공급자를 사용하는 경우 해당 공급자에 대한 DNS 구성 설명서를 참조하십시오.

생성하는 TXT 레코드의 이름은 _dmarc.example.com이어야 합니다. 여기서 example.com은 사용자 도메인입니다. TXT 레코드의 값에는 사용자 도메인에 적용되는 DMARC 정책이 포함됩니다. 다음은 DMARC 정책이 포함된 TXT 레코드의 예제입니다.

Name 유형 Value
_dmarc.example.com TXT "v=DMARC1;p=quarantine;pct=25;rua=mailto:dmarcreports@example.com"

일반 언어에서 이 정책은 이메일 공급자에게 다음 작업을 수행하도록 지시합니다.

  • SPF 또는 DKIM 인증을 통과하지 않은 example.com의 "발신" 도메인을 사용한 모든 이메일을 검색합니다.

  • 인증에 실패한 이메일의 25%를 스팸 폴더로 전송하여 격리합니다(p=none를 사용하여 아무 것도 수행하지 않거나 p=reject를 사용하여 메시지를 완전히 거부할 수도 있습니다).

  • 다이제스트(즉, 각 이벤트에 대한 개별 보고서를 보내지 않고 특정 기간 동안 데이터를 집계한 보고서)에서 인증에 실패한 모든 이메일에 대한 보고서를 보냅니다. 이메일 공급자는 일반적으로 하루에 한 번씩 이러한 집계 보고서를 전송하지만 이러한 정책은 공급자마다 다릅니다.

도메인에 대한 DMARC를 구성하는 방법에 대해 자세히 알아보려면 DMARC 웹 사이트의 개요를 참조하십시오.

DMARC 시스템의 전체 사양을 보려면 IETF 웹 사이트의 RFC 7489를 참조하십시오. 이 문서의 단원 6.3에는 도메인에 대한 DMARC 정책을 구성하는 데 사용할 수 있는 전체 태그 목록이 포함되어 있습니다.

SPF를 통해 DMARC 준수

이메일이 SPF를 기반으로 DMARC를 준수하도록 하려면 다음 두 조건을 충족해야 합니다.

  • 이메일이 SPF 검사를 통과해야 합니다.

  • 이메일 헤더의 From 주소에 있는 도메인이 발신 메일 서버가 수신 메일 서버에 지정하는 MAIL FROM 도메인과 일치해야 합니다. SPF에 대한 도메인의 DMARC 정책이 strict alignment를 지정한 경우 From 도메인과 MAIL FROM 도메인이 정확히 일치해야 합니다. SPF에 대한 도메인의 DMARC 정책이 relaxed alignment를 지정한 경우 MAIL FROM 도메인이 From 헤더에 있는 도메인의 하위 도메인이어도 무방합니다.

이러한 요구 사항을 준수하려면 다음 단계를 완료합니다.

  • 사용자 지정 MAIL FROM 도메인 설정의 절차를 완료하여 사용자 지정 MAIL FROM 도메인을 설정합니다.

  • 보내는 도메인이 SPF에 대해 relaxed 정책을 사용하는지 확인합니다. 도메인의 정책 일치를 변경하지 않은 경우 기본적으로 relaxed 정책을 사용합니다.

    참고

    example.com을 해당 도메인으로 바꾸고 명령줄에 다음 명령을 입력하여 SPF에 대한 도메인의 DMARC 일치를 확인할 수 있습니다.

    nslookup -type=TXT _dmarc.example.com

    이 명령의 출력에서 신뢰할 수 없는 답변, 다음으로 시작하는 레코드 찾기 v=DMARC1. 이 레코드에 문자열이 포함된 경우 aspf=r또는 aspf 문자열이 전혀 존재하지 않는 경우, 도메인이 SPF 에 대해 완화된 정렬을 사용합니다. 레코드에 문자열 aspf=s가 포함된 경우, 도메인이 SPF에 대해 strict alignment를 사용하는 것입니다. 시스템 관리자는 도메인의 DNS 구성에 있는 DMARC TXT 레코드에서 이 태그를 제거해야 합니다.

    또한 dmarcian 웹 사이트의 DMARC Inspector 또는 Proofpoint 웹 사이트의 DMARC Check 도구와 같은 웹 기반 DMARC 조회 도구를 사용하여 도메인의 SPF 정책 일치를 확인할 수 있습니다.

DKIM을 통해 DMARC 준수

이메일이 DKIM을 기반으로 DMARC를 준수하도록 하려면 다음 두 조건을 충족해야 합니다.

  • 메시지에 유효한 DKIM 서명이 있어야 합니다.

  • 이메일 헤더의 From 주소가 DKIM 서명의 d= 도메인과 일치해야 합니다. 도메인의 DMARC 정책이 DKIM에 대해 strict alignment를 지정한 경우 이러한 도메인이 정확히 일치해야 합니다. 도메인의 DMARC 정책이 DKIM에 대해 relaxed alignment를 지정한 경우 d= 도메인이 From 도메인의 하위 도메인이어도 무방합니다.

이러한 요구 사항을 준수하려면 다음 단계를 완료합니다.

  • Amazon SES에서의 Easy DKIM의 절차를 완료하여 Easy DKIM을 설정합니다. Easy DKIM을 사용하면 Amazon SES가 이메일에 자동으로 서명합니다.

    참고

    Easy DKIM을 사용하는 대신에 메시지에 수동으로 서명할 수도 있습니다. 그러나 이 경우 사용자가 작성한 DKIM 서명을 Amazon SES가 확인하지 않으므로 매우 주의해야 합니다. 이러한 이유로 Easy DKIM을 사용하는 것이 좋습니다.

  • 보내는 도메인이 DKIM에 대해 relaxed 정책을 사용하는지 확인합니다. 도메인의 정책 일치를 변경하지 않은 경우 기본적으로 relaxed 정책을 사용합니다.

    참고

    example.com을 해당 도메인으로 바꾸고 명령줄에 다음 명령을 입력하여 DKIM에 대한 도메인의 DMARC 일치를 확인할 수 있습니다.

    nslookup -type=TXT _dmarc.example.com

    이 명령의 출력에서 신뢰할 수 없는 답변, 다음으로 시작하는 레코드 찾기 v=DMARC1. 이 레코드에 문자열이 포함된 경우 adkim=r또는 adkim 문자열이 전혀 없는 경우 도메인은 DKIM에 대해 완화된 정렬을 사용합니다. 레코드에 문자열 adkim=s가 포함된 경우, 도메인이 DKIM에 대해 strict alignment를 사용하는 것입니다. 시스템 관리자는 도메인의 DNS 구성에 있는 DMARC TXT 레코드에서 이 태그를 제거해야 합니다.

    또한 dmarcian 웹 사이트의 DMARC Inspector 또는 Proofpoint 웹 사이트의 DMARC Check 도구와 같은 웹 기반 DMARC 조회 도구를 사용하여 도메인의 DKIM 정책 일치를 확인할 수 있습니다.