메일 보안: 발송인 인증

메일서버의 발송인인증에는 SPF(Sender Framework Policy), DKIM(Domain keys Identified Mail) 및

DMARC( Domain-based Message Authentication, Reporting and Conformance )란 용어가 있습니다.

​

모두 보내는 메일서버에서 자신이 가짜가 아닌 진짜 메일서버임을 알려주는 정보입니다.

오늘은 이 용어에 대한 자세한 설명보다는 이것을 이용한 수신측 메일서버의 보안설정을 설명합니다.

​

1) SPF : 보내는 메일서버에서 내 도메인과 IP(호스트)가 '이것'이라고 정의

2) DKIM : 보내는 메일에 서명을 추가하여 받는 사람이 보낸사람이 맞는지 위변조가 있는지 확인

3) DMARC : 보내는 메일서버에서 받는 메일서버에게 SPF, DKIM 등이 실패할 경우 메시지를 처리할 작업을 제안(반드시 따르지 않아도 됩니다)

​

* 오피스365의 dkim 설정 메뉴.

​

이러한 기술은 내가 보내는 메일에 이것은 '나를 위장한 사기성 메일'이 아닌 진짜 메일이라는 정보를 제공합니다.

​

그래서 보낸 메일이 받는사람의 스팸함으로 가지 않도록 하고, 받는 사람은 보다 확실한 메인만 수신함으로써

사기성 메일 수신을 차단할 수 있습니다.

 

 

 

 

그러나 과연 그렇게만 동작할까요?

 

 

 

두 가지 상황이 있을 수 있습니다.

​

1)spf가 fail이지만 정상인 메일

2)모든 발송인인증이 정상이지만 비정상인 메일

​

정상적인 메일서버의 정상적인 사용자와 발송인인증이 모두 설정된 상태라면 1)번의 경우 모두 비정상메일이지만,

여러 발송메일 시스템에서 발송하는 메일은 의외로 spf가 fail되는 경우가 종 종 있습니다. 대부분 마케팅 메일이지만

가끔 중요한 정보가 포함된 메일이기도 합니다.

​

모두 정상적으로 발송인 인증이 되었지만, 메일 내용이 악성인 경우도 가끔 발생 합니다. ( 이 경우는 도메인을 속이는

사기성 메일은 아닙니다. ) 최근에 정상적인 오피스 365 메일서버를 통해 발송되는 스팸메일들이 있습니다.

​

* Symantec Messaging Gateway (메일보안장비)의 정상 메일에서 spf가 fail되는 로그.

​

이러한 이유로 메일을 수신할 때 spf가 fail인 경우 메일을 차단하거나 스팸함으로 가도록 하면 정상메일을 수신 못하

는 경우가 생기기도 합니다.

​

* 오피스 365의 기본 메일보안 기능에는 단지 SPF fail시 스팸으로 판단할 지 무시할지 정도만 설정이 가능하여

사실상 설정하기 어렵습니다.

 

 

 

 

​

결론,

주요 포털사이트 메일은 SPF 실패 시 차단, 나머지는 실패 시 주석을 달고 전송

​

주요 포털사이트 메일은 SPF가 fail되는 경우가 거의 없습니다. 이것은 격리 시키는 정책을 넣고,

일반 도메인은 fail의 경우 메일 본문에 주석을 달아서 수신자가 주의 하도록 권고 하는 정책을 넣습니다.

 

* 메일의 수신자는 메일본문에 주의 메일에 대한 주석을 볼 수 있습니다.

​

* Symantec Messaging Gateway의 spf 정책

​

 

 

***DMARC의 경우,

DMARC 설정도 중요한 보안옵션 중에 하나입니다만, 아직까지 중소기업에서 DMARC를 설정하는 사례가 많지

않아서 수신측에서 DMARC보안을 적용해도 정책이 적용되는 경우가 드문 것 같습니다.