SPF, DKIM 및 DMARC 구성

이 가이드에서는 이메일 전송 성능을 개선하는 데 필수적인 세 가지 구성 요소인 SPF, DKIM 및 DMARC를 구성하는 과정을 보여줍니다.

SPF, DKIM 및 DMARC를 적절하게 구성하면 메일 서버의 신뢰도가 높아지고 메일이 스팸으로 분류될 가능성이 최소화됩니다.

• SPF(Sender Policy Framework)는 다른 사람이 당신을 대신하여 이메일을 보내는 것을 방지하도록 설계된 보안 조치입니다. 이메일을 보낼 수 있는 IP 주소와 그렇지 않은 IP 주소를 결정합니다.
• DKIM(DomainKeys Identified Mail)은 메시지 인증 방법입니다. 각 이메일이 전송될 때 개인 키로 서명된 다음 DNS 공개 키로 수신 메일 서버(또는 인터넷 서비스 공급자)에서 검증됩니다.
• DMARC(Domain-based Message Authentication, Reporting & Conformance)는 메일 인증을 위해 SPF와 DKIM을 사용하여 스팸 및 피싱 공격을 줄입니다.

SPF 구성(Sender Policy Framework)

1.1. SPF를 구성하려면 도메인의 DNS 설정에 TXT 레코드를 추가해야 합니다.

1.2. 이는 SPF 레코드의 구문입니다.

• v=spf1: 귀하가 사용하는 SPF 버전을 결정합니다. 오늘은 SPF1만 사용합니다.
• ip4:[Your_Mail_Server_IP]: 귀하의 메일 서버 IP 주소가 귀하의 도메인을 대신하여 이메일을 보낼 수 있음을 나타냅니다.
• a: 도메인에 DNS에 A 레코드(IPv4 주소)가 있는 경우 해당 레코드에 지정된 서버가 도메인을 대신하여 이메일을 보낼 수 있음을 지정합니다.
• mx: 도메인에 DNS에 MX(메일 교환) 레코드가 있는 경우 이 레코드에 지정된 서버가 도메인을 대신하여 이메일을 보낼 수 있음을 나타냅니다.
• ~all: SPF 레코드에 있는 서버만 도메인을 대신하여 이메일을 보낼 수 있음을 나타냅니다. 이메일이 다른 서버에서 온 경우 "소프트 매치"(~)로 표시되며, 이는 허용될 수 있지만 스팸으로 표시됨을 의미합니다.

이러한 요소들이 합쳐져서 다음과 같은 SPF를 형성합니다.

이름: [귀하의_도메인]

v=spf1 ip4:[Your_Mail_Server_IP] a mx ~all

[Your_Mail_Server_IP]를 귀하의 이메일 서버 IP 주소로 바꾸세요.

DKIM(DomainKeys Identified Mail) 구성

2.1. 먼저 opendkim과 opendkim-tools를 설치합니다. 설치 과정은 운영 체제에 따라 다릅니다.

CentOS의 경우:

yum install opendkim -y

데비안/우분투의 경우:

apt install opendkim opendkim-tools -y

2.2. 다음으로, opendkim 서비스를 시작하고 부팅 중에 실행을 활성화합니다.

systemctl start opendkim
systemctl enable opendkim

2.3. 키 저장을 위한 디렉토리를 만듭니다.

mkdir -p /etc/opendkim/keys/yourdomain.com

2.4. opendkim-genkey 도구를 사용하여 키 생성:

opendkim-genkey --directory /etc/opendkim/keys/yourdomain.com/ --domain yourdomain.com --selector dkim

'yourdomain.com'을 실제 도메인 이름으로 바꾸는 것을 잊지 마세요.

2.5. 키에 대한 적절한 권한 설정:

chown -R opendkim:opendkim /etc/opendkim/keys/yourdomain.com

2.6. 이제 opendkim을 구성해야 합니다. /etc/opendkim.conf 파일을 열고 다음 설정을 추가합니다.

AutoRestart Yes
AutoRestartRate 10/1h
Umask 002
Syslog Yes
SyslogSuccess Yes
LogWhy Yes
Canonicalization relaxed/simple
ExternalIgnoreList refile:/etc/opendkim/TrustedHosts
InternalHosts refile:/etc/opendkim/TrustedHosts
KeyTable refile:/etc/opendkim/KeyTable
SigningTable refile:/etc/opendkim/SigningTable
Mode sv
PidFile /var/run/opendkim/opendkim.pid
SignatureAlgorithm rsa-sha256
UserID opendkim:opendkim
Socket inet:8891@localhost

2.7. /etc/opendkim/TrustedHosts 파일에 도메인 추가

127.0.0.1
localhost
*.yourdomain.com

2.8. /etc/opendkim/KeyTable 파일을 다음과 같이 편집합니다.

dkim._domainkey.yourdomain.com yourdomain.com:dkim:/etc/opendkim/keys/yourdomain.com/dkim.private

2.9. /etc/opendkim/SigningTable 파일을 변경합니다. 이렇게 보이도록 하려면

*@yourdomain.com dkim._domainkey.yourdomain.com

2.10. Debian/Ubuntu를 사용하는 경우 포트 opendkim을 지정하세요:

echo 'SOCKET="inet:8891@localhost"' >> /etc/default/opendkim

2.11. 변경 사항을 적용하려면 opendkim 서비스를 다시 시작합니다.

systemctl restart opendkim

2.12. 마지막으로 도메인의 DNS 구성에 공개 키를 추가합니다. 키는 /etc/opendkim/keys/yourdomain.com/dkim.txt에 있습니다.

DMARC(도메인 기반 메시지 인증, 보고 및 적합성) 구성

3.1. DMARC를 구성하려면 도메인 설정에 TXT 레코드를 추가하세요.

Name: _dmarc.[Your_Domain].
Значение: v=DMARC1; p=none; aspf=r; sp=none

[Your_Domain]을 귀하의 도메인 이름으로 바꾸세요.

PTR(포인터 레코드) 구성

4.1. 역방향 DNS 레코드라고도 하는 PTR 레코드는 IP 주소를 도메인 이름으로 변환하는 데 사용됩니다. 이는 메일 서버에 중요한데, 일부 서버는 PTR 레코드가 없는 메시지를 거부할 수 있기 때문입니다.

4.2. PTR 레코드는 일반적으로 인터넷 서비스 제공자 또는 호스팅 제공자의 설정에서 구성됩니다. 이러한 설정에 액세스할 수 있는 경우 서버의 IP 주소와 해당 도메인 이름을 지정하여 PTR 레코드를 설정할 수 있습니다.

4.3. PTR 레코드 설정에 액세스할 수 없는 경우 인터넷 서비스 제공자 또는 호스팅 제공자에게 PTR 레코드 구성 요청을 보내세요.

4.4. PTR을 설치한 후 Linux에서 dig 명령을 사용하여 확인할 수 있습니다.

dig -x your_server_IP

'your_server_IP'를 귀하의 서버 IP 주소로 바꾸세요. 응답에는 귀하의 도메인 이름이 포함되어야 합니다.

SPF, DKIM, DMARC를 구성하는 모든 단계를 완료하고 나면 메일 서버가 귀하의 메일을 스팸으로 표시할 가능성이 훨씬 낮아집니다. 즉, 귀하의 편지가 수신자에게 도달할 수 있게 됩니다.