소기업 이메일 서버 보호: DNSSEC에서 DMARC, DKIM 및 SPF까지
소개
소기업 소유주로서 이메일 서버 보안이 최우선 순위가 되어야 합니다. 사이버 범죄자는 이메일 서버를 지속적으로 표적으로 삼아 중요한 정보에 액세스하거나 맬웨어를 배포하거나 사기를 저지릅니다. DNSSEC, DMㅏRC, 디킴 및 SPF를 구현하면 이메일 서버를 보호하고 비즈니스 커뮤니케이션의 무결성을 유지할 수 있습니다. 이 기사에서는 이러한 보안 조치를 살펴보고 거짓 긍정 SPF 결과를 유발할 수 있는 다이렉트 메일 전달의 함정에 대해 논의합니다.
- DNSSEC: 도메인 이름 시스템 보안 확장
DNSSEC는 DNS(도메인 이름 시스템)에 인증 및 무결성을 제공하는 필수 보안 프로토콜입니다. DNS 서버에서 수신한 정보가 신뢰할 수 있고 변경되지 않았는지 확인합니다. DNSSEC를 구현하면 DNS 캐시 포이즈닝 및 기타 DNS 기반 공격으로부터 이메일 서버를 보호할 수 있습니다.
DNSSEC를 활성화하려면:
- 도메인 등록 기관에 문의하여 도메인에 대해 DNSSEC를 활성화하도록 요청하십시오.
- 개인 키와 공개 키로 구성된 키 쌍을 생성합니다.
- 도메인에 대한 DS 레코드를 만들어 도메인 등록 기관에 제출합니다.
- DMㅏRC: 도메인 기반 메시지 인증, 보고 및 적합성
DMARC는 피싱 및 스푸핑과 같은 무단 사용으로부터 도메인을 보호하는 데 도움이 되는 이메일 인증 프로토콜입니다. 발신자의 도메인에 SPF 및 DKIM 레코드가 게시되었는지 확인하고 수신 서버에 인증되지 않은 이메일을 처리하는 방법을 지시하는 방식으로 작동합니다.
DMARC를 구현하려면:
- 도메인에 대한 SPF 레코드를 게시합니다.
- 이메일 서버에 대한 DKIM 서명을 설정합니다.
- 적용 수준 및 보고 옵션을 지정하여 도메인의 DNS 설정에서 DMARC 정책 레코드를 만듭니다.
- DKIM: DomainKeys 식별 메일
DKIM은 암호화 서명을 사용하여 이메일 메시지의 신뢰성을 확인하는 이메일 인증 방법입니다. 개인 키로 발신 이메일에 서명하면 메시지가 도메인에서 전송되었으며 전송 중에 변조되지 않았음을 증명할 수 있습니다.
DKIM을 활성화하려면:
- 도메인에 대한 DKIM 키 쌍을 생성합니다.
- 공개 키를 도메인의 DNS 레코드에 TXT 레코드로 추가합니다.
- 개인 키로 발신 메시지에 서명하도록 이메일 서버를 구성하십시오.
- SPF: 발신자 정책 프레임워크
SPF는 도메인 소유자가 자신을 대신하여 이메일을 보낼 수 있는 IP 주소를 지정할 수 있는 이메일 인증 표준입니다. 이렇게 하면 도메인이 스팸 및 피싱 캠페인에 사용되지 않도록 보호할 수 있습니다.
SPF를 구현하려면:
- 승인된 IP 주소를 나열하는 DNS 설정에서 도메인에 대한 SPF 레코드를 만듭니다.
- 수신 메시지에 대한 SPF 레코드를 확인하고 승인되지 않은 발신자를 거부하도록 이메일 서버를 구성하십시오.
- 다이렉트 메일 전달 및 SPF 오탐지의 함정
다이렉트 메일 전달은 때때로 SPF 오탐지를 유발할 수 있습니다. 이메일이 전달되면 원래 보낸 사람의 IP 주소가 보존되어 수신 서버에서 원래 보낸 사람의 SPF 레코드를 확인합니다. 전달 서버의 IP 주소가 원래 보낸 사람의 SPF 레코드에서 인증되지 않은 경우 이메일이 실패로 표시될 수 있습니다.
이 문제를 방지하려면:
- SRS(Sender Rewriting Scheme)를 지원하는 메일 전달 서비스를 사용하여 반환 경로를 다시 작성하여 SPF 검사가 올바르게 수행되도록 합니다.
- 제어할 수 있는 경우 전달 서버의 IP 주소를 원래 보낸 사람의 SPF 레코드에 추가합니다.
결론
소기업 이메일 서버를 보호하는 것은 오늘날의 디지털 환경에서 매우 중요합니다. DNSSEC, DMARC, DKIM 및 SPF를 구현하면 이메일 보안을 크게 개선하고 사이버 위협으로부터 비즈니스를 보호할 수 있습니다. 다이렉트 메일 전달에 주의하고 SPF 오탐을 방지하기 위해 필요한 조치를 취하십시오. 이러한 조치를 취하면 이메일 통신을 보호하고 비즈니스 성장에 집중할 수 있습니다.
각 보안 프로토콜을 구현하기 전에 해당 구문을 이해하는 것이 중요합니다. 다음 표는 DNSSEC, DMARC, DKIM 및 SPF 레코드에 대한 샘플 구문을 제공합니다. 이는 예시일 뿐이며 자리 표시자를 실제 도메인, IP 주소 및 공개 키로 바꿔야 합니다. 또한 필요에 따라 TTL(time-to-live) 값을 조정해야 할 수도 있습니다. 구문에 익숙해지면 도메인의 DNS 레코드 구성을 시작하여 이메일 서버 보안을 강화할 수 있습니다.
| 보안 프로토콜 | 샘플 구문 |
|---|---|
| DNSSEC | example.com. DS 12345에서 86400 8 2 0234567890ㅏBCDEF1234567890ㅏBCDEF1234567890 |
| DMARC | _dmarc.example.com. 86400 IN TXT "v=DMㅏRC1; p=거부; 내보내기=mailto:reports@example.com" |
| DKIM | selector._domainkey.example.com. 86400 IN TXT "v=디킴1; k=rsa; p=PUBLIC_KEY_HERE" |
| SPF | example.com. 86400 IN TXT "v=spf1 mx a:mail.example.com ip4:192.0.2.1 -all" |
*이것은 샘플 구문이며 자리 표시자를 실제 도메인, IP 주소 및 공개 키로 바꿔야 합니다. 필요에 따라 TTL(time-to-live) 값을 조정해야 할 수도 있습니다.
다음은 다양한 DNS 레코드와 샘플 구문을 나열한 표입니다. 이러한 레코드는 도메인을 웹 서버, 이메일 서버로 지정하거나 도메인 소유권을 확인하는 등의 다양한 용도로 사용됩니다.
| DNS 레코드 유형 | 샘플 구문 | 목적 |
|---|---|---|
| A | example.com. 192.0.2.1에서 86400 | 도메인을 IPv4 주소에 매핑 |
| ㅏㅏㅏㅏ | example.com. 86400 IN ㅏㅏㅏㅏ 2001:0db8:85a3:0000:0000:8a2e:0370:7334 | 도메인을 IPv6 주소에 매핑 |
| CNㅏME | www.example.com. 86400 IN CNㅏME example.com. | 다른 도메인의 별칭을 만듭니다. |
| MX | example.com. 86400 IN MX 10 mail.example.com. | 도메인의 메일 서버를 지정합니다. |
| TXT | example.com. 86400 IN TXT "v=spf1 mx a:mail.example.com ip4:192.0.2.1 -all" | 다양한 목적을 위해 텍스트 기반 정보 저장 |
| SRV | _sip._tcp.example.com. 86400 IN SRV 0 5 5060 sipserver.example.com. | 사용 가능한 서비스에 대한 정보를 제공합니다. |
| NS | example.com. 86400 IN NS ns1.example.com. | 특정 이름 서버를 사용하도록 DNS 영역을 위임합니다. |
| PTR | 1.2.0.192.in-addr.arpa. 86400 IN PTR example.com. | IP 주소를 도메인에 매핑(역방향 DNS) |
| SOA | example.com. 86400 IN SOA ns1.example.com. hostmaster.example.com. (직렬, 새로고침, 재시도, 만료, 최소) | DNS 영역에 대한 관리 정보를 포함합니다. |
