Defaults.Exposed › 설정 › DKIM

Microsoft 365에서 DKIM 설정하는 방법

DNS에 두 개의 DKIM 레코드를 게시하고 Microsoft 365에서 DKIM을 켜 이메일에 변조 방지 서명을 추가하세요.

비즈니스에 왜 중요한가

DKIM(DomainKeys Identified Mail)은 내가 보내는 모든 이메일에 보이지 않는 디지털 서명을 추가합니다. 수신 메일 제공업체는 DNS에 게시한 공개 키를 사용해 두 가지를 확인합니다: 메시지가 실제로 내 도메인에서 발송됐는지, 그리고 전송 중 누군가가 내용을 변조하지 않았는지.

한마디로: DKIM은 이메일의 진본 확인 봉인입니다. 사칭을 어렵게 만들고 정상 이메일이 스팸이 아닌 받은편지함에 도달할 가능성을 높입니다. 무료이며 한 번만 설정하면 됩니다.

중요: Microsoft 365 DKIM은 두 곳에서 설정합니다

DKIM은 두 곳에서 무엇을 해야 하는지가 특히 중요한 레코드입니다. Microsoft 365는 대부분의 제공업체와 약간 다른 방식을 사용합니다:

• Microsoft는 긴 TXT 키 대신 두 개의 CNAME 레코드를 사용합니다. 대부분의 제공업체는 거대한 TXT 공개 키를 제공합니다. Microsoft는 대신 Microsoft를 가리키는 두 개의 짧은 CNAME 레코드(selector1과 selector2)를 게시하도록 합니다. Microsoft가 실제 키를 보유하고 해당 포인터 뒤에서 안전하게 교체할 수 있습니다.
• DNS 호스트에서 두 개의 CNAME을 게시합니다. 도메인 네임서버가 가리키는 곳 — 등록기관, 웹 호스트, Cloudflare 등 — 에 추가합니다. 보통 Microsoft가 아닙니다(Microsoft가 DNS를 관리하지 않는 한).
• Microsoft 내부에서 DKIM을 켜야 합니다. 레코드를 게시하는 것만으로는 충분하지 않습니다; Microsoft 보안 포털에서 서명을 활성화하는 마지막 단계가 있습니다.

즉: DNS 호스트에 두 개의 CNAME을 게시하고, Microsoft에서 DKIM을 켭니다.

1단계 — Microsoft에서 두 레코드 값 가져오기

1. 관리자로 로그인하고 security.microsoft.com에서 Microsoft 보안 포털을 엽니다.
2. 이메일 및 협업 영역에서 정책 및 규칙 → 위협 정책 → 이메일 인증 설정 → DKIM을 찾습니다(Microsoft가 레이블을 가끔 바꿉니다 — 이메일 인증 또는 스팸 방지 설정에서 DKIM을 찾으세요).
3. 도메인을 선택합니다.
4. Microsoft가 생성해야 할 두 개의 레코드를 표시합니다:
   • 호스트 1: selector1._domainkey → selector1-<your-domain>._domainkey.<your-tenant>.onmicrosoft.com을 가리킴
   • 호스트 2: selector2._domainkey → selector2-<your-domain>._domainkey.<your-tenant>.onmicrosoft.com을 가리킴
5. 두 대상 값을 정확하게 복사합니다. 이 값을 임의로 만들 수 없습니다 — Microsoft가 테넌트에 대해 생성합니다.

2단계 — DNS 호스트에서 두 개의 CNAME 게시

먼저 실제로 DNS를 관리하는 업체에서 작업하고 있는지 확인하세요. 레코드는 도메인 네임서버가 가리키는 곳에 추가해야만 작동합니다. 모르겠다면 등록기관 계정에서 네임서버 섹션을 확인하거나 웹사이트를 관리하는 담당자에게 문의하세요.

1. DNS 호스트에 로그인하고 도메인의 DNS 설정을 엽니다(DNS / 레코드 / 고급 DNS 등).
2. 새 레코드를 추가하고 CNAME을 선택합니다(TXT가 아닙니다 — 이것이 사람들이 잘못 이해하는 부분입니다).
3. 첫 번째 레코드의 경우, 이름 / 호스트 필드에 **selector1._domainkey**만 입력합니다. 도메인을 끝에 추가하지 마세요; DNS 호스트가 자동으로 추가합니다.
4. 값 / 가리키는 곳 / 대상 필드에 Microsoft의 첫 번째 대상을 붙여넣습니다. 예: selector1-<your-domain>._domainkey.<your-tenant>.onmicrosoft.com
5. 두 번째 레코드를 반복합니다: 이름 = selector2._domainkey, 값 = Microsoft의 두 번째 대상.
6. TTL은 기본값으로 유지합니다.
7. 두 가지 모두 저장합니다.

3단계 — Microsoft로 돌아가 DKIM 켜기

레코드를 게시하는 것만으로는 충분하지 않습니다 — Microsoft에게 서명을 시작하라고 알려야 합니다.

1. Microsoft 보안 포털의 DKIM 페이지로 돌아갑니다.
2. 도메인을 선택하고 이 도메인에 대한 메시지에 DKIM 서명 사용을 켜기로 전환합니다(토글이 활성화로 표시될 수 있습니다).
3. Microsoft가 DNS에서 두 레코드를 볼 수 있는지 확인합니다. 아직 찾지 못한다면 DNS가 전파될 시간을 주고(몇 분에서 몇 시간) 다시 시도하세요.

자주 하는 실수

• CNAME, TXT가 아닙니다. Microsoft의 DKIM은 Microsoft를 가리키는 두 개의 CNAME 레코드를 사용합니다. TXT 공개 키(다른 제공업체 방식)를 붙여넣으려고 하면 작동하지 않습니다.
• 두 레코드 모두, 그런 다음 토글. selector1과 selector2 모두 게시한 다음 Microsoft 내부에서 활성화 단계를 완료해야 합니다. 토글을 건너뛰면 레코드는 존재하지만 Microsoft가 메일에 서명하지 않습니다.
• 호스트에 전체 도메인을 넣지 마세요. selector1._domainkey / selector2._domainkey만 입력하세요 — 나머지는 자동으로 추가됩니다. 도메인을 다시 포함시키면 selector1._domainkey.yourdomain.com.yourdomain.com이라는 깨진 호스트가 생성됩니다.
• 대상을 정확하게 붙여넣으세요. onmicrosoft.com 대상에는 테넌트 이름과 고유 코드가 포함됩니다 — 한 글자만 틀려도 DKIM이 검증되지 않습니다.
• 인용 부호 주의. CNAME 대상은 일반 호스트 이름입니다; "..."로 감싸지 마세요. 인용 부호는 TXT 레코드에 속하지 CNAME에 속하지 않습니다.
• 시간이 필요합니다. DNS 변경 사항은 Microsoft가 확인하고 DKIM이 검증을 시작하기까지 몇 분에서 몇 시간이 걸릴 수 있습니다.

설정 확인

두 레코드를 게시하고 DKIM을 켠 뒤, 잠시 전파 시간을 기다린 후 Defaults.Exposed의 무료 검사 도구를 실행하세요. DKIM이 게시되고 읽을 수 있는지 쉬운 언어로 확인해 줍니다. 데이터는 EU에서 처리됩니다.

완료했나요? 도메인 무료 점검 을 통해 적용 여부를 확인하고 34가지 항목 전체의 등급을 확인하세요.