[DNS] DMARC

DMARC(Domain-based Message Authntication, Reporting and Conformance)는 이메일 인증 프로토콜이다. 이메일 도메인 소유자가 이메일 스푸핑으로 알려진 무단사용에서 도메인을 보호할 수 있도록 설계되었다. DMARC의 구현 목적은 비즈니스 이메일 공격, 피싱 이메일, 이메일 사기 등 사이버 위협 행위에 도메인이 이용되지않게 보호한다.

 

DMARC DNS 레코드가 게시되면 수신 이메일 서버는 도메인 소유자가 게시한 정책에 따라 수신 이메일을 검사한다. 이메일이 인증을 통과하면 전송되며 신뢰할 수 있다. 이메일이 검사에 통과하지 못하면 DMARC 레코드에 포함된 지침에 따라 이메일을 전송, 격리 또는 거부할 수 있다.

 

DMARC는 SPF와 DKIM 두 가지 기존 메커니즘을 확장한다. 도메인의 관리자는 DNS 레코드에 정책을 게시하여 해당 도메인에서 전자 메일을 보낼 때 어떤 메커니즘(DKIM, SPF 또는 둘다)을 사용하는지 지정할 수 있다. 최종 사용자에게 표시된 From: 필드를 확인하는 방법과 수신자가 실패를 처리하는 방법, 일일 보고서 전달 방식을 지정한다.

 

 - DMARC 정책을 사용하면 보낸 사람의 도메인에서 이메일이 SPF, DKIM으로 보호됨을 표시하고, 인증을 통과하지 못하는 경우 메시지를 거부하거나 격리하는 등 수신자에게 수행할 작업을 지정할 수 있다. 이 정책은 전자 일 수신자가 인증에 성공/실패한 메시지를 보낸 사람의 도메인에 보고하는 방법도 지정할 수 있다.

 - DMARC 정책은 공개 DNS에 TXT 레코드로 게시한다.

 - DMARC는 이메일이 스팸인지 또는 사기성인지 직접 정의하지 않고, 대신 이 메시지가 DKIM 또는 SPF 유효성 검사를 통과하는 것 뿐 아니라 연관성 검사를 통과할 것을 필수로 요구한다. DMARC 표준에서는 SPF나 DKIM을 통과해도 연관성이 없으면 인증이 실패할 수 있다.

 - DMARC를 설정하면 적절한 발신자의 전송 성공 비율에 긍정적인 영향을 줄 수 있다.

 

DMARC 레코드는 _dmarc.example.com 처럼 하위 도메인 레이블 _dmarc로 DNS에 게시된다.

TXT 레코드의 내용은 SPF와 DKIM 레코드와 유사한 name = value 태그로 구성되며 세미콜론으로 구분한다.

"v=DMARC1;p=none;sp=quarantine;pct=100;rua=mailto:dmarcreports@example.com"

 

 v=버전, p=정책, sp=하위도메인 정책, pct=정책을 적용할 '부적합' 이메일의 비율, rua=일일 보고서를 보낼 URI이다. 하위 도메인은 자체 DMARC 레코드를 게시할 수 있으므로, 수신자는 조직 도메인 레코드로 폴백하기 전에 먼저 확인해야한다.

 

DMARC는 두 가지 유형의 보고서를 생성할 수 있는데 종합 보고서는 rua 태그로 지정된 주소로 전송된다. 포렌식 보고서는 ruf 태그로 지정된 주소로 전송된다. 이 주소는 반드시 RUI mailto 포맷으로 지정해야한다.(EX:worker@example.net) 여러 개의 주소를 사용할 수 있으며 개별 주소는 콤마로 구분된 완전한 URI 형식이여야 한다.