DMARC(SPF/DKIM), 스푸핑(Spoofing)

DMARC(Domain-based Message Authentication, Reporting and Conformance)

이메일 인증 프로토콜이다. 이메일 도메인 소유자가 이메일 스푸핑으로 알려진 무단 사용에서 도메인을 보호할 수 있도록 설계되었다. DMARC는 비즈니스 이메일 공격, 피싱 이메일, 이메일 사기 등 사이버 위협 행위에 도메인이 이용되지 않게 보호한다. 

 

DMARC는 DNS 레코드가 게시되면 수신 이메일 서버는 도메인 소유자가 게시한 정책에 따라 수신 이메일을 검사한다. 인증을 통과하면 전송되고 신뢰할 수 있다. 만약 검사에 통과하지 못하면 DMARC 레코드에 포함된 지침에 따라 이메일을 전송, 격리, 거부할 수 있다.

DMARC는 SPF(Sender Policy Framework)와 DKIM(DomainKeys Identified Mail) 두 가지 기존 메커니즘을 확장한다. DNS 레코드에 정책을 게시하여 해당 도메인에서 전자 메일을 보낼 때 어떤 메커니즘을 사용하는지 지정할 수 있다. 최종적으로 사용자에게 표시된 필드를 확인하는 방법과 수신자가 실패를 처리하는 방법, 일일 보고서 전달 방식을 지정한다. 

 

사람의 도메인에서 이메일이 SPF 또는 DKIM으로 보호됨을 표시하고 인증을 통과하지 못하는 경우 메시지를 거부하거나 격리하는 등 수신자에게 수행할 작업을 지정할 수 있다. 이 정책은 전자 메일 수신자가 인증에 성공/실패한 메시지를 보낸 사람의 도메인에 보고하는 방법도 지정할 수 있다. DMARC 정책은 공개 도메인 네임 시스템(DNS)에 TXT 레코드로 게시한다. DMARC는 에미일이 스팸인지 사기성인지 직접 정의하지 않고, 대신 메시지가 DKIM 또는 SPF 유효성 검사를 통과하는 것 뿐만 아니라 연관성 검사를 통과할 것을 필수로 요구한다. DMARC 표준에서는 SPF나 DKIM을 통과해도 연성관이 없으면 인증이 실패할 수 있다. DMARC를 설정하면 적절한 발신자의 전송 성공 비율에 긍정적인 영향을 줄 수 있다.

DMARC(도메인 기반 이메일 인증) 인증 절차

 

SPF(Sender Policy Framework)

메일을 받는 수신측에서 송신자가 지정한 발신 서버에서 보낸 메일인지 확인하는 인증기술로, XXX@A.com이란 발신주소의 도메인을 사용하는 메일은 반드시 특정 IP에서만 발송된다라는 것과, 특정 IP에서 발신되지 않은 메일에 대한 처리 방법을 발신 도메인의 DNS에 기록하고, 수신쪽에서 DNS에 기록된 SPF 레코드를 참조하여 실제 메일이 발송된 IP와 SPF 레코드 상의 발신 서버가 일치하는지 여부를 판단하여, 일치하지 않는 경우 SPF 레코드에 기록된 처리 방법에 따라 해당 메일을 처리하는 일련의 절차를 뜻한다.

SPF가 SMTP의 발신자 인증기술의 결여를 채워주는 것은 맞으나 불안요소들이 있다. 그렇기 때문에 어디까지나 보조적인 역할로 사용해야 한다. 반면 DNS txt필드만 업데이트 해주면 된다는 점에서 어떠한 발신자 인증 기술보다도 경쟁력이 있다. 비록 메일을 수신하는 쪽은 데몬을 설치하고 SPF 레코드에 따른 필터링 규칙을 넣어야 하지만.. 타 기술과 결합하여 보완해줄 수 있는 보완재 역할은 충분히 해줄 수 있다. 

SPF(메일 서버 등록제) 인증 절차

 

DKIM(DomainKeys Identified Mail)

메일을 받는 사람 도메인이 유효성을 검사하고 메시지를 실제 보낸 도메인으로부터 발송되었는지 확인하는 프로세서로 메소드를 통해 동작한다. DKIM 서비스를 사용하면 발송되는 E-Mail Header에 DKIM-Signature를 추가하고 수신측 E-Mail 서버에서 DKIM 서명이 포함된 메일을 받으면, DNS서버에서 서명을 해독할 공개키를 확인하여 받은 메일이 해당 도메인에서 발송된 것을 확인할 수 있도록 하는 방식이다.

DKIM(도메인 키 인증 메일) 인증 절차

Header DKIM

Header DKIM-Signature

 

**DMARC(도메인 기반 이메일 인증), SPF(메일 서버 등록제), DKIM(도메인 키 인증 메일) 정리

구분	SPF	DKIM	DMARC
인증 대상	발송 서버	메일 발신자	발송 서버 & 메시지 발신자
인증 방법	메일이 발송된 IP 비교	전자서명	SPF & DKIM 검사 결과 조합
발신자 요구사항	DNS에 SPF정책 설정(별도 SW설치 없음)	DNS에 공개키 등록 및 전자서명 기술 적용	DNS에 DMARC 정책 설정
수신자 요구사항	메일 수신 시스템(메일 서버 등)에 SPF SW 설치 필요	메일 수신 시스템(메일 서버 등)에 DKIM SW 설치 필요	메일 수신 시스템(메일 서버 등)에 DMARC SW 설치 필요
주요 기능	발송 서버를 사칭하는 메일인지 검증	이메일 디지털 서명을 메일 헤더에 삽입하여 발신자가 발송한 메일이 위·변조 되었는지 검증할 수 있는 인증기술로 메시지 무결성 검증과 발신자 사칭 여부를 검증	메일서버등록제(SPF)와 도메인 키 인증 메일(DKIM)을 활용하여 이메일의 진위 여부를 확인하고 정당한 발신자인지 구분할 수 있도록 인증 및 DMARC 정책처리 결과 보고서를 발송

 

스푸핑(Spoofing)

스푸핑이란 직접적으로 시스템에 침입을 시도하지 않고 피해자가 공격자의 악의적인 시도에 의한 잘못된 정보나 연결을 신뢰하게끔 만드는 기법을 의미한다. 쉽게 말해 두 네트워크 사이에 끼어들어가 데이터를 훔쳐보는 것으로 대표적인 스푸핑 기술들로 DNS 스푸핑, ARP 스푸핑, IP 스푸핑 등이 있으며, 중간자 공격 기법 중 하나다.