Defaults.Exposed › 설정 › DKIM

AWS Route 53에서 DKIM 설정하는 방법

메일 제공업체의 DKIM 키를 Route 53 호스팅 존에 게시해 이메일에 변조 방지 서명을 추가하세요.

비즈니스에 왜 중요한가

DKIM(DomainKeys Identified Mail)은 내가 보내는 모든 이메일에 보이지 않는 디지털 서명을 추가합니다. 수신 메일 제공업체는 DNS에 게시한 공개 키를 사용해 두 가지를 확인합니다: 메시지가 실제로 내 도메인에서 발송됐는지, 그리고 전송 중 누군가가 내용을 변조하지 않았는지.

한마디로: DKIM은 이메일의 진본 확인 봉인입니다. 사칭을 어렵게 만들고 정상 이메일이 스팸이 아닌 받은편지함에 도달할 가능성을 높입니다. 무료이며 한 번만 설정하면 됩니다.

중요: DKIM은 두 단계로 나뉩니다

DKIM은 두 곳에서 무엇을 해야 하는지가 특히 중요한 레코드입니다:

• 메일 제공업체가 키를 생성합니다. Google Workspace, Microsoft 365, Amazon SES, 또는 메일 발송을 운영하는 업체가 자신의 관리 콘솔에서 DKIM 키를 생성합니다. 이 값을 임의로 만들 수 없습니다 — 정확한 호스트 이름과 값을 해당 업체에서 가져와야 합니다. Route 53은 DKIM 키를 생성하지 않습니다; Route 53은 DNS 호스트이지 메일박스 제공업체가 아닙니다.
• Route 53에서 게시합니다. 그런 다음 해당 키를 Route 53의 도메인 DNS에 추가합니다(Route 53이 DNS를 관리하는 경우 — 아래 참고).

즉: 메일 플랫폼에서 생성하고, DNS 호스트에서 게시합니다.

먼저 Route 53이 DNS를 관리하는지 확인하세요

DKIM 레코드는 Route 53이 도메인의 DNS를 담당하고 있을 때만 작동합니다. Route 53 콘솔에서 호스팅 존을 열고 도메인을 선택한 뒤 4개의 NS(네임서버) 값을 확인하세요. 해당 값이 등록기관에서 설정된 네임서버와 일치해야 합니다. Route 53을 통해 도메인을 등록했다면 보통 이미 맞춰져 있습니다; 다른 곳에서 등록했거나 도메인에 대한 호스팅 존이 여러 개라면 신중하게 확인하세요. 실제 네임서버가 다른 제공업체를 가리킨다면 그곳에서 DKIM 레코드를 추가하세요; Route 53에서는 효과가 없습니다.

메일 제공업체에서 키를 가져오세요

메일 제공업체의 관리 영역에서 DKIM 또는 이메일 인증 설정을 찾아 키를 생성/활성화하세요. 제공업체에 따라 받게 되는 것이 다르며, Route 53에 입력하는 방식도 달라집니다:

• Google Workspace는 TXT 레코드를 제공합니다: google._domainkey 같은 선택자 이름과 v=DKIM1; k=rsa; p=로 시작하는 긴 값.
• Microsoft 365는 두 개의 CNAME 레코드를 제공합니다: selector1._domainkey와 selector2._domainkey 선택자, 각각 Microsoft 호스트를 가리킴.
• Amazon SES는 세 개의 CNAME 레코드를 제공합니다(“Easy DKIM” 기능). 도메인이 Route 53에 있다면 SES가 자동으로 추가하겠다고 제안할 수 있습니다 — 직접 추가할 수도 있습니다.

호스트 이름과 값을 정확하게 복사하세요.

Route 53에서 단계별 설정

1. AWS 콘솔에 로그인하고 Route 53을 엽니다.
2. 왼쪽 메뉴에서 호스팅 존을 선택하고 도메인 이름을 클릭합니다.
3. 레코드 생성을 클릭합니다.
4. 라우팅 옵션이 있는 마법사가 표시되면 간단한 양식으로 전환합니다(빠른 레코드 생성 등).
5. 레코드 이름에 선택자 부분만 입력합니다 — 예: google._domainkey 또는 selector1._domainkey. 도메인 이름을 끝에 추가하지 마세요 — Route 53이 존을 자동으로 추가합니다(필드 옆에 도메인이 표시됩니다).
6. 레코드 유형을 제공업체가 제공한 것과 정확히 일치하도록 TXT 또는 CNAME으로 설정합니다(Google = TXT; Microsoft 365와 Amazon SES = CNAME).
7. 값:
   • TXT 키의 경우, 긴 값을 큰따옴표로 감싸서 붙여넣습니다: "v=DKIM1; k=rsa; p=...".
   • CNAME의 경우, 제공업체가 제공한 대상 호스트를 따옴표 없이 붙여넣습니다(예: selector1-yourdomain._domainkey.yourdomain.onmicrosoft.com).
8. TTL은 기본값으로 유지합니다.
9. 레코드 생성을 클릭합니다. 각 레코드마다 반복합니다(Microsoft 365는 두 개, Amazon SES는 세 개 필요).

Route 53에서 자주 하는 실수

• TXT 키에는 큰따옴표; CNAME에는 따옴표 없음. 자주 혼동합니다. TXT DKIM 값은 "v=DKIM1; ... p=..." 형태로 따옴표와 함께 입력합니다. CNAME 값은 그냥 일반 대상 호스트, 따옴표 없음. 혼동하면 레코드가 깨집니다.
• 레코드 이름에 전체 도메인을 넣지 마세요. 제공업체 지침에 selector1._domainkey.yourdomain.com이 표시되면 Route 53에는 selector1._domainkey만 입력하세요 — 나머지는 자동으로 추가됩니다.
• 키 전체를 붙여넣으세요 — 매우 깁니다. TXT DKIM 공개 키는 수백 글자입니다. 아무것도 잘리지 않았는지, 불필요한 공백이나 줄 바꿈이 없는지 확인하세요.
• 제공업체가 요청한 모든 레코드를 추가하세요. Microsoft 365는 두 CNAME 중 하나만 있으면 검증되지 않습니다; Amazon SES는 세 가지 모두 필요합니다.
• TXT vs CNAME — 제공업체를 따르세요. CNAME을 TXT로 변환하거나 반대로 하지 마세요. 지정한 유형을 사용하세요.
• 올바른 호스팅 존, 올바른 계정. 여러 존이나 AWS 계정이 있으면 잘못된 것을 편집하기 쉽습니다. 존의 4개 NS 값이 실제 네임서버와 일치하는지 확인하세요.
• 시간이 필요합니다. DNS 변경 사항은 DKIM 검증이 시작되기 전 몇 분에서 몇 시간이 걸릴 수 있습니다.

설정 확인

저장하고 잠시 전파 시간을 기다린 후, 이 사이트의 무료 검사 도구를 실행하세요. DKIM 레코드가 게시되고 읽을 수 있는지 쉬운 언어로 확인해 줍니다.

완료했나요? 도메인 무료 점검 을 통해 적용 여부를 확인하고 34가지 항목 전체의 등급을 확인하세요.