Defaults.Exposed › 설정 › DMARC

AWS Route 53에서 DMARC 설정하는 방법

Route 53 호스팅 영역에 DMARC 레코드를 추가하여 이메일 검사 실패 시 메일 제공업체가 취할 조치를 지정하세요.

비즈니스에 미치는 영향

DMARC는 SPF와 DKIM을 하나로 묶고, 빠진 지침을 추가합니다. 귀사 도메인으로 발송된 것처럼 보이는 이메일이 검사를 통과하지 못했을 때, 수신 메일 제공업체는 어떻게 해야 할까요? DMARC가 없으면 각 제공업체가 알아서 판단합니다. DMARC를 설정하면 귀사가 직접 결정할 수 있으며, 누가 귀사 이름으로 메일을 보내는지 보고서를 받아볼 수도 있습니다.

쉽게 말해, DMARC는 범죄자가 귀사 도메인을 사칭해 고객이나 직원을 속이는 것을 실질적으로 막아주는 장치입니다. SPF와 DKIM이 잠금장치라면, DMARC는 그 위에 올려진 정책입니다. 무료이고, 몇 분이면 충분합니다.

SPF와 DKIM을 먼저 설정하세요

DMARC는 SPF와 DKIM의 검사 결과를 바탕으로 작동합니다. 아직 설정하지 않으셨다면 먼저 설정하세요. 아래에 아무것도 없는 DMARC 정책은 집행할 내용이 없습니다.

Route 53이 DNS를 관리하는지 확인하세요

어떤 DNS 레코드든 마찬가지지만, Route 53이 귀사 도메인의 DNS 쿼리에 응답해야만 이 설정이 효력을 발휘합니다. Route 53은 DNS 호스트이지 메일함 제공업체가 아닙니다. Route 53 콘솔에서 Hosted zones를 열고 도메인을 선택한 뒤, 4개의 NS(네임서버) 값을 확인하세요. 해당 값들이 도메인 등록 업체에 설정된 네임서버와 일치해야 합니다. Route 53을 통해 도메인을 등록했다면 보통 이미 일치합니다. 다른 곳에서 등록했거나 도메인에 호스팅 영역이 여러 개 있다면 주의 깊게 확인하세요. 활성 네임서버가 다른 곳을 가리킨다면 실제로 DNS를 관리하는 업체에서 DMARC 레코드를 추가하세요.

Route 53 단계별 설정

1. AWS 콘솔에 로그인하고 Route 53을 여세요.
2. 왼쪽 메뉴에서 Hosted zones를 선택하고 도메인 이름을 클릭하세요.
3. Create record를 클릭하세요.
4. 라우팅 옵션이 있는 마법사가 나타나면 간단한 양식으로 전환하세요 (Quick create record 등을 찾아보세요).
5. Record name에 정확히 다음을 입력하세요: _dmarc 도메인 이름을 뒤에 붙이지 마세요. Route 53이 자동으로 추가합니다 (필드 옆에 도메인이 표시됩니다).
6. Record type을 TXT로 설정하세요.
7. Value에는 모니터링 전용 정책으로 시작하되, 큰따옴표로 감싸야 합니다: "v=DMARC1; p=none; rua=mailto:[email protected]" 주소는 실제로 확인하는 메일함으로 바꾸세요. 이 설정은 메일 처리 방식은 변경하지 않고, 요약 보고서를 보내달라고 요청하는 것입니다.
8. TTL은 기본값으로 유지하세요.
9. Create records를 클릭하세요.

정책 선택 (p= 값)

• p=none — 모니터링 전용. 차단 없이 보고서만 받습니다. 여기서 시작하세요.
• p=quarantine — 검사 실패 메일을 스팸/정크함으로 보냅니다.
• p=reject — 검사 실패 메일을 완전히 거부합니다 (가장 강력한 보호).

p=none으로 몇 주간 운영하면서 보고서를 검토해 정상 메일이 모두 통과하는지 확인한 뒤, quarantine으로, 그다음 reject로 단계를 높이세요. 보고서를 확인하기 전에 바로 reject로 설정하면 정상적인 자사 이메일이 차단될 수 있습니다.

Route 53에서 자주 하는 실수

• 값은 반드시 큰따옴표로 감싸야 합니다. Route 53에서는 따옴표를 직접 입력해야 합니다: "v=DMARC1; p=none; ...". 빠뜨리는 것이 Route 53에서 가장 흔한 실수입니다.
• 레코드 이름은 언더스코어가 포함된 _dmarc입니다. 언더스코어를 빠뜨리거나 _dmarc.yourdomain.com을 전체 입력하면 잘못된 위치에 레코드가 생성됩니다. Route 53에서는 _dmarc만 입력하면 영역이 자동으로 추가됩니다. 전체 도메인을 입력하면 _dmarc.yourdomain.com.yourdomain.com이라는 깨진 호스트가 생성되어 절대 확인되지 않습니다.
• DMARC 레코드는 하나만 있어야 합니다. SPF와 마찬가지로 _dmarc에는 DMARC TXT 레코드가 하나여야 합니다. 이미 있다면 새로 추가하지 말고 편집하세요.
• 실제로 사용하는 보고 메일함을 입력하세요. rua=mailto: 뒤의 주소는 실제로 확인하는 곳이어야 합니다. (직접 관리하지 않는 도메인으로 보고서를 보내려면 해당 도메인이 권한을 부여해야 합니다. 단, 자신의 도메인 주소는 문제없습니다.)
• 올바른 호스팅 영역, 올바른 계정인지 확인하세요. 영역이나 AWS 계정이 여러 개라면 잘못된 곳을 편집하기 쉽습니다. 영역의 4개 NS 값이 활성 네임서버와 일치하는지 확인하세요.
• 시간이 필요합니다. DNS 변경은 몇 분에서 몇 시간이 걸릴 수 있습니다.

설정 확인

저장 후 전파가 완료되면 이 사이트의 무료 점검 기능을 실행하세요. DMARC 레코드가 제대로 설정되어 있는지, 어떤 정책이 적용되어 있는지 쉬운 말로 알려드립니다.

완료했나요? 도메인 무료 점검 을 통해 적용 여부를 확인하고 34가지 항목 전체의 등급을 확인하세요.