[메일 보안] SPF

Microsoft 365 또는 모든 메일 서비스에서 전자메일인증은 3가지 입니다.

 

1.SPF ,2.DKIM, 3.DMARC

 

Email 인증은 A@microsoft.com 전자메일이 정상적인가 또는 해당 메일 도메인에 대한 @microsoft.com에서 온것을 확인합니다.

 

 

도메인에 기존 SPF, DKIM 및 DMARC 레코드가 없는 경우 이러한 레코드 검사는 인증 상태 정보를 충분히 전달하지 못합니다.따라서 Microsoft는 암시적 전자 메일 인증 알고리즘을 개발했습니다. 이 알고리즘은 여러 신호를 복합 인증 또는 짧게 compauth이라는 메세지에 헤더의 인증 - 결과 헤더에 아래와 같은 인증결과를 표시하게 됩니다.

 

Authentication-Results:
   compauth=<fail | pass | softpass | none> reason=<yyy>

 

암호화된 이메일 헤더

 

전자 메일 인증보안에  충분하지 않은 이유

• 원본 도메인에 필요한 DNS 레코드가 없거나 레코드가 잘못 구성되었을 수 있습니다.
• 원본 도메인에 DNS 레코드가 올바르게 구성되어 있지만 해당 도메인이 보낸 사람 주소의 도메인과 일치하지 않습니다.
• SPF 및 DKIM은 보낸 사람 주소에서 사용된 도메인을 필요하지 않습니다.
• 공격자 또는 합법적인 서비스는 도메인을 등록하고, 도메인에 대해 SPF 및 DKIM을 구성하고, 보낸 사람의 주소에서 다른 도메인을 사용할 수 있습니다. 이 도메인의 보낸 사람이 보낸 메시지는 SPF 및 DKIM을 전달합니다

 

기본적으로 Outlook은 Exchange online에서 EOP라는 메일보안덕에 기본값으로 두면 SPF,DKIM,DMARC 인증이 된다.

 

하지만 사용자가 소유하고 있는 도메인에 대한 전자메일 인증을 구성하면, 메일 인증에 대한 복잡성이 올라가 조직내 스푸핑 및 도메인간 스푸핑 문제를 해결하는데 도움이 됩니다.

 

 

SPF는 사용자 지정 도메인에서 보낸 아웃바운드 전자 메일의 유효성을 검사하는 데 도움이 됩니다.

SPF 설정 방법

 

도메인 호스팅 (가비아, 카페24, 후이즈 등)에서 구매를 하면 DNS 관리 센터로 들어가면 네임 서버 또는 레코드값을 수정 할 수 있습니다.

 

하지만 SPF 값을 바꾸는 것 이기때문에 DNS 정보에 있는 레코드 값만 수정해주면 됩니다.

 

 

레코드 추가를 누르고 TXT를 클릭합니다.

 

값을 아래의 값을 넣습니다.

 

Exchage Online에서 일반적으로 사용하는 SPF 값입니다.

 

"v=spf1 include:spf.protection.outlook.com -all"

 

SPF 전자 메일 인증이 실제로 하는일

 

SPF를 등록하면 사용자를 대신해 메일서버를 확인합니다.

 

SPF는 사용자 지정 도메인을 대신하여 메일을 보낼 수 있는 메일 서버를 식별하기 위해 DNS에서 사용하는 TXT 레코드에 추가됩니다.

 

받는 사람의 메일 시스템은 SPF TXT 레코드를 참조하여 사용자 지정 도메인의 메시지가 인증된 메시징 서버에서 온 것인지 여부를 확인합니다.