Google Workspace 보안 도메인을 위한 SPF, DKIM, DMARC 설정

회사 웹사이트가 전문적으로 보여도 이메일 도메인은 여전히 쉽게 사칭될 수 있습니다. SPF, DKIM, DMARC는 누가 메일을 보낼 수 있는지와 실패를 어떻게 처리해야 하는지에 대한 증거를 수신자에게 제공해 이 간극을 줄입니다.

보안을 강조하는 회사라면 이것은 선택적인 마감 작업이 아닙니다. 사이트가 contact, support, security, privacy, legal, sales 같은 메일함을 공개한다면 이는 공개 신뢰 표면의 일부입니다.

• 먼저 운영 메일함을 생성합니다. dmarc@example.com 같은 DMARC 보고 메일함도 포함합니다.
• Google Workspace처럼 실제 발신에 쓰이는 서비스에 대해 SPF를 게시합니다.
• Google Workspace DKIM 서명을 활성화하고 DKIM TXT 레코드를 게시합니다.
• DMARC는 p=none과 보고 활성화로 시작하여 강제 정책 전에 실패를 관찰합니다.
• 정상 발신자가 정렬된 뒤에만 quarantine 또는 reject로 이동합니다.

검증은 DNS와 실제 메시지 헤더 양쪽에서 수행해야 합니다. DNS는 레코드 존재를 확인합니다. 메시지 헤더는 운영 발신 경로에서 보낸 메일이 실제로 SPF, DKIM, DMARC 정렬을 통과하는지 보여줍니다.

• SPF에는 도메인을 대신해 실제로 메일을 보내는 서비스만 포함되어야 합니다.
• DKIM은 최신 selector를 사용하고 수신 메시지에서 pass를 보여야 합니다.
• DMARC 보고서는 모니터링되는 메일함으로 전달되어야 합니다.
• 향후 메일 도구가 전달성을 깨뜨리지 않도록 정책을 문서화해야 합니다.

보고서가 안정적으로 깨끗해지면 DMARC를 단계적으로 강화합니다. 가장 강한 최종 상태는 reject이지만, 적절한 일정은 뉴스레터, 트랜잭션 메일, CRM 도구 또는 지원 도구가 같은 도메인에서 발신하는지에 따라 달라집니다.