dkim 레코드란? 기본부터 핵심까지 한눈에!

도메인 키 식별 메일(DomainKeys Identified Mail, dkim)은 이메일 스푸핑을 방지하는 데 사용되는 인증 방법입니다. 수신 메일 서버가 발신자 도메인의 진위 여부를 확인할 수 있도록 하여 이메일 보안을 강화합니다.

dkim 레코드는 수신 서버가 이메일을 검증할 수 있도록 공개 키를 포함한 DNS TXT 항목입니다. 이 레코드는 일반적으로 이메일 서비스 제공업체에서 제공되며, 이름(name), 버전(version), 키 유형(key type) 등의 요소로 구성되어 있으며, 이메일의 진위를 인증하는 데 사용됩니다.

전체 이메일의 약 85%가 스팸 폴더로 이동하지만, dkim 설정은 암호화 인증을 제공하여 이메일이 스팸 폴더로 이동하는 것을 방지할 수 있습니다. 또한 해커가 이전 중에 메시지를 변경 하거나 악의적인 활동을 위해 이메일 계정을 위조하는 것을 방지할 수 있습니다.

dkim 서명이란 무엇일까요?

dkim 서명은 이메일 메시지에 추가되는 필수 정보가 포함된 특수 헤더입니다. dkim 서명 헤더는 해시값이라고도 하는 고유한 텍스트 문자열 형식으로 되어 있습니다.

dkim 서명 헤더 필드에 표시되는 정보는 태그=값 쌍을 사용합니다. 태그는 하나의 문자와 그 뒤에 오는 등호 기호이며, 값은 이메일 발신자, 메시지 및 공개 키 위치에 대한 구체적인 세부 정보를 제공합니다.

태그가 없으면 확인 프로세스가 실패하므로 모든 dkim 서명에 반드시 있어야 하는 필수 태그가 있습니다. 여기에는 다음이 포함됩니다:

• “v=”는 서명 사양의 버전입니다. 값은 항상 1입니다.
• “a=”는 서명의 알고리즘을 반영합니다. 이 값은 거의 항상 rsa-sha256입니다.
•  “d=”는 도메인 이름입니다.
• “s=”는 DNS에서 공개 키를 찾기 위해 도메인 이름 ID와 함께 사용되는 선택기 레코드 이름을 나타냅니다.
• “h=”는 해시 데이터를 만드는 데 사용되는 헤더 목록을 지정합니다.
• “b=”는 해시 데이터를 나타냅니다.
• “bh=”는 메일 메시지의 계산된 해시를 나타냅니다.

일부 선택적 태그는 dkim 서명에서 필수는 아니지만 추가 보안 조치를 제공하는 데 도움이 될 수 있습니다. 다음은 스팸을 식별하는 데 도움이 되는 dkim 서명에 권장되는 선택적 태그입니다:

• “t=”는 메시지의 시간입니다. 이 형식은 1970년 1월 1일 00:00.00초(UTC 기준)로부터 초 단위입니다. 예를 들어 2021년 5월 7일 07:42:40 UTC에 이메일 메시지를 보내는 경우 “t=” 값은 1,620,373,360이 됩니다.
• “x=”는 dkim 서명 만료 시간입니다. 형식은 위와 동일하지만 값은 시간보다 커야 합니다.
• 선택적 태그의 값은 자동으로 생성되므로 초를 직접 계산할 필요가 없습니다.

dkim은 어떻게 작동하나요?

dkim이 어떻게 작동하는지 살펴보기 전에, 먼저 두 가지 dkim 키 개념에 익숙해질 필요가 있습니다. 여기에는 수신 서버가 이메일 메시지를 확인하는 데 도움이 되는 DNS 레코드용 공개 키와 인증 과정의 일부로 메일 서버용 개인 키가 포함됩니다.

모든 dkim 설정 프로세스는 메일 서버 자체 내에서 내부적으로 이루어집니다.

예를 들어 test@example.com 을 사용하여 이메일 메시지를 보낸다고 가정해 보겠습니다. 메시지를 보내기 전에 보내는 메일 서버는 개인 키를 사용하여 dkim 서명 헤더를 생성합니다.

메일 시스템은 dkim 서명이 발신자의 정보와 일치하는지 확인하여 dkim 설정 확인을 시작합니다.

메시지가 전달되면 수신 이메일 서버는 example.com의 DNS 레코드에서 dkim 레코드를 가져옵니다. 그런 다음 수신 이메일 서버는 DNS 레코드의 공개 키를 사용하여 메시지의 dkim 서명을 확인합니다.

공개 dkim 설정 키가 서명의 정보와 일치하면 메시지의 신뢰성이 입증되고 받은 편지함으로 이동됩니다. 이는 이전 중 메시지를 변경 한 사람이 없다는 것을 의미합니다.

dkim 설정 키가 정보와 일치하지 않으면 해당 메시지는 스팸 또는 정크 폴더로 이동될 가능성이 높습니다.

dkim SPF 및 DMARC와 관련이 있나요?

dkim이 이메일 메시지를 보호하는 유일한 보안 표준은 아닙니다. 발신자 정책 프레임워크(Sender Policy Framework, SPF)와 도메인 기반 메시지 인증, 보고 및 준수(Domain-based Message Authentication, Reporting & Conformance, DMARC) 표준도 이메일 인프라를 보호할 수 있습니다.

SPF는 도메인에서 이메일을 보낼 수 있는 사용자들을 제한하여 스푸핑으로부터 도메인을 보호합니다. SPF는 도메인에서 확인된 서버 목록의 이메일만 보내도록 하는 이메일 인증 프로토콜입니다.

DMARC는 SPF와 dkim 인증 방법을 공통 메커니즘으로 통합합니다. 또한 DMARC는 도메인 소유자에게 이 메커니즘을 제공하여 인증되지 않은 메시지를 처리하는 방법을 알려줍니다.

dkim, SPF 및 DMARC는 서로 다른 인증 측면에서 작동하며 서로를 지원할 수 있습니다. 이 세 가지를 함께 사용하면 이메일 보안을 위한 최상의 결과를 얻을 수 있으며 도메인 평판과 이메일 전달률도 높일 수 있습니다.

dkim이 정말 중요한가요?

dkim 설정은 이메일 발신자의 신원을 인증하여 메시지가 스팸 또는 정크 폴더로 이동하지 않도록 합니다. 고객에게 비즈니스 이메일이나 거래 이메일을 자주 보내는 조직에 필수적입니다.

조직 또는 비즈니스의 책임 중 하나는 도메인과 메시지의 무결성을 보호하는 것입니다. dkim이 없으면 해커는 합법적인 것처럼 보이지만 고객에게 사기를 칠 가능성이 있는 이메일을 쉽게 보낼 수 있습니다.

또한 dkim은 인증된 이메일을 사용하면 인터넷 서비스 공급자(ISP)와 메일 서버 사이에서 도메인 평판을 높이는 데 도움이 되므로 이메일 전달성을 개선하는 데 도움이 됩니다.

이메일에 dkim 레코드를 추가하는 방법

dkim을 설정하는 기본 단계는 dkim 설정 키를 생성하고, DNS 서버에 공개 키를 입력하고, 보내는 이메일 서버에 비공개 키를 입력하는 세 가지입니다.

dkim을 지원하는 대부분의 이메일 제공업체는 도메인의 DNS 레코드에 추가할 공개 키를 생성합니다. 이를 위해서는 DNS 레코드에 액세스할 수 있어야 합니다.

구글 워크스페이스와 같은 일부 이메일 서비스는 비공개 키를 자동으로 생성하거나 수동으로 추가해야 할 수도 있습니다.

다음 섹션에서는 DKIM 설정이 다양한 이메일 서비스에서 어떻게 작동하는지 보여드리겠습니다.

호스팅어의 이메일 서비스를 사용하여 dkim 레코드 추가하기

웹 호스팅 제공업체에서 제공하는 이메일 서비스를 사용하면 단계를 간소화할 수 있습니다. 호스팅어의 이메일 서비스를 사용하면 호스팅어 이메일을 설정하기만 하면 호스팅어가 자동으로 dkim 레코드를 추가합니다.

1. 새 이메일 계정을 설정하려면 웹 호스팅 계정에 로그인하고 도메인 이름 옆에 있는 관리 버튼을 클릭합니다. 거기에서 이메일 → 이메일 계정으로 이동합니다.

2. 도메인 이름 옆의 관리를 선택하고 이메일 계정 만들기 버튼을 클릭합니다.

3. 이메일 계정 설정 아래의 양식을 작성한 다음 만들기 버튼을 클릭합니다.

4. DNS 설정으로 이동하여 dkim 옆의 기본값 설정을 클릭합니다. 전파하는 데 최대 24시간이 소요됩니다.

5. 상태가 활성화으로 변경 되면 dkim 설정 옆의 화살표 아이콘을 선택하고 DNS 확인을 클릭합니다.

다른 이메일 제공업체의 dkim 레코드 추가하기

dkim의 기본 설정은 모든 이메일 서비스 제공업체(Email Service Provider, ESP)에서 거의 동일합니다.

호스팅어 이메일 또는 구글 워크스페이스와 같은 인기 있는 ESP는 사용자들이 쉽고 빠르게 dkim 레코드를 추가할 수 있도록 지원합니다. 이 섹션에서는 구글 워크스페이스를 예로 들어 dkim을 설정하겠습니다.

Gmail은 기본 dkim 도메인 키로 모든 이메일 메시지에 서명하지만 추가 보안 계층을 위해 이메일 도메인을 수동으로 인증하는 것이 좋습니다.

구글 워크스페이스에서 dkim을 설정하는 단계는 다음과 같습니다:

1. 구글 워크스페이스 계정에 로그인하고 앱 아래에서 관리자 버튼을 선택합니다. 관리 콘솔 홈페이지에 대한 액세스는 구글 워크스페이스 이메일에 대해서만 사용할 수 있습니다.

2. 관리 콘솔 홈페이지에서 구글 어드민 옆의 헤더에 있는 세 줄을 클릭합니다. 앱 → 구글 워크스페이스 → Gmail로 이동하여 인증 프로세스를 시작합니다.

3. 이메일 인증을 클릭하여 dkim을 설정합니다.

4. 선택한 도메인은 자동으로 내 도메인이 되므로 변경 하지 마세요. 새 레코드 생성(GENERATE NEW RECORD)을 클릭하기만 하면 됩니다.

5. 먼저 dkim 키 비트 길이를 선택합니다. 보다 안전한 방법을 위해 2048을 선택하는 것이 좋습니다. 일부 도메인은 1024 비트 키만 지원하므로 도메인 호스트에 문의하세요. 접두사 선택기는 ‘구글’로 유지할 수 있습니다. 계속하려면 생성을 클릭합니다.

6. 그러면 공개 키에 대한 TXT 레코드 값이 생성됩니다. 도메인 서버의 DNS 존 편집기로 이동하여 DNS 레코드를 추가합니다.

7. DNS 레코드 관리 아래에서 구글에서 생성한 레코드를 추가합니다. 수신 서버는 이 키를 사용하여 메시지를 확인할 수 있습니다.

8. 구글 워크스페이스 인증 페이지로 돌아가 인증 시작(START AUTHENTICATION) 버튼을 클릭하여 DKIM 서명을 활성화하세요.

9. dkim 보안 표준이 작동하는지 확인하려면 Gmail 또는 구글 워크스페이스를 사용하는 사람에게 이메일 메시지를 보냅니다.

10. 수신 이메일의 받은 편지함에 액세스하여 메시지를 엽니다. 왼쪽 상단에 있는 점 3개를 클릭하고 원본 보기를 선택합니다.

11. dkim이 이미 작동 중인 경우 도메인 이름 앞에 PASS가 표시되며, 이는 도메인이 안전하다는 의미입니다.

변경 사항이 적용되려면 최대 24시간이 걸릴 수 있습니다.

비공개 메일 서버를 실행할 때 DKIM 레코드 추가하기

자체 메일 서버를 운영하는 경우 서명을 위한 키를 생성하려면 SparkPost와 같은 dkim 생성기가 필요합니다. 일부 생성기는 선택기를 직접 만들 수 있는 방법을 제공하기도 하고, 다른 생성기는 선택기를 자동으로 만들어 주기도 합니다.

1. 키가 생성되면 공개 dkim 키를 복사하여 DNS 레코드에 추가합니다. 유형으로 TXT를 선택하면 이름은 다음 형식을 따릅니다:
   
   Selector-name._domainkey
2. 대상 또는 콘텐츠 섹션에 공개 dkim 설정 키를 붙여넣습니다. 비공개 키의 경우 이메일 서버가 dkim을 지원하는지 확인합니다.
3. 개인 키가 포함된 새 텍스트 파일을 만듭니다. BEGIN RSA PRIVATE KEY에서 END RSA PRIVATE KEY까지 모든 내용을 복사해야 합니다.
4. 파일을 Windows의 경우 C:\pmta 또는 Linux의 경우 /etc/pmta에 저장합니다.
5. 도메인의 제어판으로 이동하여 dkim 서명 아래에서 텍스트 파일을 선택합니다.
6. 마지막으로 선택기 이름을 추가하여 dkim 서명 프로세스를 완료합니다.

결론

유해한 이메일의 전달이나 스푸핑을 방지하려면 도메인의 모든 메시지를 보호하는 것은 귀하의 책임입니다. 특히 소규모 비즈니스의 경우 마케팅 이메일이 스팸 또는 정크 폴더에 들어가는 것을 원하지 않기 때문에 더욱 그렇습니다.

이 문제에 대한 해결책 중 하나는 dkim 레코드와 서명을 추가하는 것입니다. 발신자와 수신자의 이메일 서버는 비공개-공개 dkim 설정 키를 사용하여 메시지를 인증합니다. 또한 dkim 표준은 이메일 전달성을 개선하고 SPF 및 DMARC와 잘 작동합니다.

dkim 레코드와 서명을 추가하는 다양한 방법을 알려드렸습니다. dkim 레코드를 추가하는 방법은 호스팅어의 이메일 서비스, 구글 워크스페이스, 그리고 비공개 메일 서버를 사용할 수 있습니다. 어떤 방법을 선택하든 먼저 비공개-공개 dkim 설정 키를 받아야 합니다.

이제 도메인에서 보내는 모든 메시지를 쉽게 보호할 수 있습니다. 행운을 빕니다.