Amazon SES 이메일이 SPF 정렬 또는 DKIM 정렬을 위한 DMARC 검증에 실패하면 어떻게 해야 하나요?

간략한 설명

DMARC는 이메일 스푸핑을 탐지하기 위해 SPF와 DKIM을 사용하는 이메일 인증 프로토콜입니다. DMARC를 준수하려면 메시지가 SPF 또는 DKIM 또는 두 가지 모두를 통해 인증되어야 합니다.

SPF 정렬 또는 DKIM 정렬에 대한 DMARC 검증의 경우 이메일 헤더의 주요 구성 요소는 다음과 같습니다.

• 메시지 수신자에게 표시되는 From 주소
• 메시지의 발신지를 나타내는 Mail From 또는 Envelope From 주소
• DKIM 서명의 d= 도메인

DMARC는 Mail From 또는 Envelope From 도메인을 From 도메인과 일치시켜 SPF 정렬을 확인합니다. 다음 정렬 중 하나를 충족해야 합니다.

• 엄격한 정렬: Mail From 또는 Envelope From 도메인은 From 도메인과 동일합니다.
• 완화된 정렬: Mail From 또는 Envelope From 도메인은 From 도메인의 하위 도메인입니다.

DMARC는 DKIM 서명의 d= 도메인과 From 도메인을 일치시켜서 DKIM 정렬을 확인합니다. 다음 정렬 중 하나를 충족해야 합니다.

• 엄격한 정렬: d= 도메인은 From 도메인과 동일합니다.
• 완화된 정렬: d= 도메인은 From 도메인의 하위 도메인입니다.

해결 방법

DMARC 검증을 통과하려면 이메일이 SPF 인증 또는 DKIM 인증을 준수해야 합니다.

DMARC 레코드에서 SPF 또는 DKIM에 대해 완화된 정렬 사용

SPF 또는 DKIM에 대해 완화된 정렬을 사용하면 이메일이 DMARC 검증을 통과하는 데 도움이 될 수 있습니다.

도메인의 SPF 및 DKIM에 대한 DMARC 정렬을 확인하려면 다음 명령을 실행하세요.

nslookup -type=TXT _dmarc.example.com

이 명령은 다음과 유사한 DMARC 레코드를 반환합니다.

"v=DMARC1;p=quarantine;pct=25;rua=mailto:hello@example.com"

SPF의 경우, 앞의 예시에서처럼 레코드에 aspf 문자열이 포함되지 않거나 aspf=r 문자열이 포함된 경우 도메인은 완화된 정렬을 사용합니다. 레코드에 aspf=s 문자열이 포함되어 있으면 도메인에서 엄격한 정렬을 사용합니다.

DKIM의 경우 레코드에 adkim 문자열이 포함되지 않거나 레코드에 adkim=r 문자열이 포함되어 있으면 도메인에서 완화된 정렬을 사용합니다. 레코드에 adkim=s 문자열이 포함된 경우 도메인은 엄격한 정렬을 사용합니다.

엄격한 정렬에서 완화된 정렬로 변경하려면 시스템 관리자가 수행해야 합니다.

SPF를 통해 DMARC 준수

SPF 레코드를 가져오려면 다음 명령을 실행합니다.

nslookup -type=TXT example.com

이 명령은 다음과 유사한 SPF 레코드를 반환합니다.

"v=spf1 include:amazonses.com ~all"

메시지가 SPF를 통해 DMARC를 준수하는지 확인하려면 다음을 확인하세요.

1.    메시지가 SPF 검사를 통과해야 합니다. 즉, 도메인의 SPF 레코드에 Amazon SES가 도메인을 대신하여 이메일을 보낼 수 있는 권한을 부여하는 “include:amazonses.com”이 있어야 합니다.

2.    이메일 헤더의 From 주소에 있는 도메인은 보내는 메일 서버가 받는 메일 서버에 지정한 Mail From 또는 Envelope From 도메인과 일치해야 합니다.

Amazon SES를 사용하여 이메일을 보내는 경우 Mail From 또는 Envelope From 도메인은 기본적으로 amazonses.com이며, From 도메인은 검증된 도메인입니다. 이 값은 SPF 정렬 및 DMARC 검증에 실패합니다.

이 문제를 해결하려면 Mail From 값이 인증된 도메인의 하위 도메인이 되도록 사용자 지정 MAIL FROM 도메인을 설정해야 합니다. 예를 들어 인증된 도메인(From 도메인)이 example.com인 경우 사용자 지정 Mail From 도메인을 mail.example.com으로 설정할 수 있습니다. 이 값은 SPF 정렬 및 DMARC 검증을 통과합니다.

참고: Amazon SES를 사용하면 사용자 지정 Mail From 하위 도메인의 일부로 SPF 레코드를 추가합니다. 자세한 내용은 MAIL FROM 도메인 구성하기를 참조하세요.

DKIM을 통한 DMARC 준수

Amazon SES에서 Easy DKIM을 사용하면 3개의 CNAME 레코드가 제공됩니다. 각각의 DKIM 레코드를 확인하려면 각 CNAME에서 다음 명령을 실행합니다:

nslookup -type=CNAME example1._domainkey.example.com

이 명령은 DKIM 레코드를 반환합니다.

example1.dkim.amazonses.com.

메시지가 DKIM을 통해 DMARC를 준수하는지 확인하려면 다음을 확인하세요.

1.    메시지에 유효한 DKIM 서명이 있어야 합니다.

2.    이메일 헤더의 From 주소가 DKIM 서명의 d= 도메인과 일치해야 합니다.

Easy DKIM을 설정하는 것이 가장 좋은 방법인데, 이 기능을 사용하면 DKIM을 통해 두 가지 DMARC 검증 요구 사항을 모두 충족할 수 있기 때문입니다. 이메일에 수동 서명을 선택할 수도 있지만 Amazon SES는 사용자가 구성한 DKIM 서명을 검증하지 않습니다.

---