DMARC

3. DNS 레코드

DMARC 정책은 도메인 네임 시스템(DNS) TXT 레코드로 게시되며, `_dmarc` 하위 도메인(예: `_dmarc.example.com`)에 위치한다.^[83]

TXT 레코드 내용은 `name=value` 형태의 태그로 구성되며, 각 태그는 세미콜론으로 구분한다. DMARC 레코드 예시는 다음과 같다.

`"v=DMARC1;p=none;sp=quarantine;pct=100;rua=mailto:dmarcreports@example.com;"`^[6]

여기서,

• `v`는 DMARC 버전을,
• `p`는 도메인 정책을,
• `sp`는 하위 도메인 정책을,
• `pct`는 정책을 적용할 "부적합" 이메일 비율을,
• `rua`는 일일 보고서를 받을 URI를 나타낸다.

3. 1. 주요 태그

• `p` 태그의 정책
• * '''none''': 수신자는 특별한 처리를 할 필요가 없지만 도메인이 피드백 보고서를 받을 수 있도록 한다.
• * '''quarantine''': DMARC 검사에 실패한 메시지를 의심스러운 것으로 처리하도록 수신자에게 요청한다. 수신자에 따라 구현 방식이 다르며, 예를 들어 메시지에 플래그를 지정하거나 스팸 폴더에 전달한다.
• * '''reject''': DMARC 검사에 실패한 메시지를 완전히 거부하도록 수신자에게 요청한다.

3. 2. 정책 (Policy)

• '''none''': 기본 정책이다. 수신자는 특별한 처리를 할 필요가 없지만, 도메인이 피드백 보고서를 받을 수 있도록 한다.
• '''quarantine''': DMARC 검사에 실패한 메시지를 의심스러운 것으로 처리하도록 수신자에게 요청한다. 수신자에 따라 구현 방식이 다르며, 예를 들어 메시지에 플래그를 지정하거나 스팸 폴더에 전달한다.
• '''reject''': DMARC 검사에 실패한 메시지를 완전히 거부하도록 수신자에게 요청한다.

4. 보고서

DMARC는 이메일 인증 결과에 대한 두 가지 유형의 보고서를 생성한다.^[83] 보고서에는 집계 보고서와 포렌식 보고서가 있으며, 각각 `rua` 태그와 `ruf` 태그로 지정된 주소로 전송된다.^[3] 이 주소는 URI mailto 포맷(예: worker@example.net)으로 지정해야 하며,^[3] 여러 주소를 콤마로 구분된 완전한 URI 형식으로 지정할 수 있다.^[3]

보고서를 수신할 메일 주소가 외부 도메인에 속할 경우, 보고서를 수신할 도메인은 수신 동의를 나타내는 DMARC 레코드를 설정해야 한다.^[3] 예를 들어, `receiver.example`이 `From: someone@sender.example` 메일 메시지를 수신하고 보고하려 할 때 `ruf=mailto:some-id@thirdparty.example` 항목이 있다면, 수신 대상이 관리하는 네임스페이스에 다음과 같은 DNS 레코드가 있는지 확인한다.^[3]

sender.example._report._dmarc.thirdparty.example IN TXT "v=DMARC1;"

4. 1. 집계 보고서 (Aggregate Reports)

행은 소스 IP 및 인증 결과별로 그룹화되어 각 그룹의 개수만 전달한다. '''SPF''' 및 '''DKIM'''으로 레이블이 지정된 가장 왼쪽의 결과 열은 정렬을 고려하여 통과 또는 실패하는 DMARC별 결과를 표시한다. 유사한 레이블이 지정된 가장 오른쪽 열은 메시지 전송에 참여한다고 주장하는 도메인 이름을 표시하고 괄호 안에 식별자 정렬에 관계없이 원래 프로토콜, SPF 또는 DKIM에 따른 해당 주장의 인증 상태를 표시한다. 오른쪽에 SPF는 `Return-Path:` 테스트에 대해 한 번, `HELO` 테스트에 대해 한 번, 최대 두 번 나타날 수 있다. DKIM은 메시지에 있는 각 서명에 대해 한 번 나타날 수 있다.

위 표에서 첫 번째 행은 example.org에서 보낸 주요 메일 흐름을 나타내고, 두 번째 행은 전송 중 약간의 변경으로 인한 서명 파손과 같은 DKIM 결함을 나타낸다. 세 번째 및 네 번째 행은 각각 전달자 및 메일링 리스트의 일반적인 실패 모드를 보여준다. DMARC 인증은 마지막 행에서만 실패했으며, example.org가 엄격한 정책을 지정한 경우 메시지 처리에 영향을 미쳤을 수 있다.

'''처리'''는 실제로 메시지에 적용된 게시된 정책, 즉 ''없음'', ''격리'', 또는 ''거부''를 반영한다. 표에는 표시되지 않지만 DMARC는 정책 재정의를 제공한다. 수신자가 요청된 것과 다른 정책을 적용할 수 있는 몇 가지 이유는 사양에 이미 제공되어 있다.

• '''전달됨''': 동일한 반송 주소를 유지하면서 일반적으로 DKIM을 손상시키지 않음
• '''샘플링 아웃됨''': 발신자가 메시지의 백분율에만 정책을 적용하도록 선택할 수 있기 때문
• '''신뢰할 수 있는 전달자''': 메시지가 로컬에서 알려진 소스에서 도착
• '''메일링 리스트''': 수신자가 경험적으로 메시지가 메일링 리스트에서 도착했음을 결정
• '''로컬 정책''': 수신자는 원하는 정책을 적용할 수 있으며, 발신자에게 알리는 것이 좋음
• '''기타''': 위의 내용이 적용되지 않는 경우 댓글 필드를 사용하여 더 자세한 내용을 설명

4. 2. 포렌식 보고서 (Forensic Reports)

• 발신 IP 주소
• 발신자 이메일 주소 (From)
• 수신자 이메일 주소
• 이메일 제목
• SPF 및 DKIM 인증 결과
• 수신 시간
• 이메일 메시지 헤더 (발신 호스트, 이메일 메시지 ID, DKIM 서명 및 기타 사용자 지정 헤더 정보)

5. 단계적 도입 (Step by Step Adoption)

DMARC 프로토콜은 메일 관리자가 DMARC를 전혀 구현하지 않은 상태에서 엄격한 설정을 완료하는 상태까지 점진적으로 전환할 수 있도록 다양한 전환 단계를 제공한다.^[47][48][49] 단계적 채용이라는 개념은 DMARC의 목표가 가장 강력한 설정이라고 가정하지만, 이는 모든 도메인에 해당되는 것은 아니다. 그 의도의 유무에 관계없이 이 메커니즘은 훌륭한 유연성을 실현한다.^[7][8][9]

처음에는 `p=none` 정책을 사용하여 모니터링하고, 점차적으로 `quarantine`, `reject` 정책으로 강화할 수 있다. `pct` 태그를 사용하여 정책을 적용할 이메일의 비율을 조절할 수 있다.

6. 호환성 (Compatibility)

DMARC는 이메일 전달 및 메일링 리스트와 같은 환경에서 일부 호환성 문제가 발생할 수 있다. 이메일 전달의 경우, 일부 방식은 SPF를 손상시켜 DMARC 인증 결과에 영향을 줄 수 있다.^[17][18] 메일링 리스트는 제목 헤더에 접두사를 추가하는 등의 이유로 원본 작성자의 도메인 DKIM 서명을 깨뜨리는 경우가 종종 있다. 이러한 문제를 해결하기 위한 여러 방법이 있으며,^[19][20] 메일링 리스트 소프트웨어 패키지들도 해결책을 모색하고 있다.^[27]

6. 1. 이메일 전달 (Forwarders)

6. 2. 메일링 리스트 (Mailing Lists)

7. 역사

DMARC 초안 명세는 2012년 1월 30일에 발표되었다.^[26] 2015년 3월에는 [https://tools.ietf.org/html/rfc7489 RFC 7489]로 표준화되었다.^[34]

2013년 10월, GNU Mailman 2.1.16은 p=reject의 DMARC 정책을 가진 도메인의 게시자를 처리하는 옵션을 제공했다.^[27]

2014년 4월, 야후(Yahoo)는 DMARC 정책을 p=reject로 변경하여 여러 메일링 리스트에서 오작동을 일으켰다.^[28][29] 며칠 후, AOL도 DMARC 정책을 p=reject로 변경했다.^[30] 이러한 움직임은 큰 혼란을 야기했으며, 해당 사서함 제공자들은 자체 보안 실패에 대한 비용을 제3자에게 강요한다는 비난을 받았다.^[31]

인터넷 엔지니어링 태스크 포스(IETF) 실무 그룹은 DMARC 문제를 해결하기 위해 2014년 8월에 결성되었다.^[33]

2017년 3월, 미국 연방거래위원회(Federal Trade Commission)는 기업의 DMARC 사용에 대한 연구를 발표했다.^[35]

참조

_[1] IETF RFC
_[2] IETF Domain-based Message Authentication, Reporting, and Conformance (DMARC) Internet Engineering Task Force 2015-03-18
_[3] 웹사이트 How we moved microsoft.com to a p=quarantine DMARC record https://blogs.msdn.m[...] 2016-09-27
_[4] 웹사이트 Bulk Senders Guidelines – Gmail Help https://support.goog[...] 2015-04-24
_[5] 메일링리스트 Doing a tree walk rather than PSL lookup https://mailarchive.[...] 2020-11-24
_[6] IETF
_[7] 웹사이트 Tutorial: Recommended DMARC rollout https://support.goog[...]
_[8] 웹사이트 Implementation Guidance: Email Domain Protection https://www.cyber.gc[...] 2021-08-12
_[9] 웹사이트 User Guide for Cisco Domain Protection https://www.cisco.co[...] 2021-05-25
_[10] 메일링리스트 "p=none" vs. "p=quarantine; pct=0" http://lists.dmarc.o[...] 2018-10-09
_[11] IETF Experimental Domain-Based Message Authentication, Reporting, and Conformance (DMARC) Extension for Public Suffix Domains Internet Engineering Task Force 2021-07-26
_[12] 웹사이트 RUA vs RUF - Different DMARC Report Types Explained https://blog.progist[...] 2023-12-14
_[13] 웹사이트 What is the rationale for choosing ZIP for the aggregate reports? https://dmarc.org/wi[...] 2019-04-03
_[14] IETF Domain-based Message Authentication, Reporting, and Conformance (DMARC) Internet Engineering Task Force 2019-03-03
_[15] 웹사이트 I need to implement aggregate reports, what do they look like? https://dmarc.org/wi[...] 2016-05-26
_[16] 웹사이트 The Ultimate Guide to DMARC Reporting in 2022 https://glockapps.co[...] 2019-08-23
_[17] IETF Interoperability Issues between Domain-based Message Authentication, Reporting, and Conformance (DMARC) and Indirect Email Flows Internet Engineering Task Force 2017-03-14
_[18] 웹사이트 How does email forwarding affect DMARC authentication results? https://blog.progist[...] 2023-01-06
_[19] 웹사이트 Mitigating DMARC damage to third party mail https://wiki.asrg.sp[...]
_[20] 웹사이트 dmarc.org wiki https://dmarc.org/wi[...]
_[21] 웹사이트 Upcoming changes for lists.debian.org https://lists.debian[...]
_[22] 웹사이트 Spam Resource: Run an email discussion list? Here's how to deal with DMARC http://www.spamresou[...] 2014-04-18
_[23] 메일링리스트 Realistic responses to DMARC https://mailarchive.[...] 2017-03-14
_[24] 웹사이트 Mitigating DMARC damage to third party mail http://wiki.asrg.sp.[...] ASRG 2014-06-01
_[25] 웹사이트 Domain-based Message Authentication, Reporting and Conformance (DMARC) [draft 01] https://tools.ietf.o[...] IETF 2013-07-15
_[26] 웹사이트 History https://dmarc.org/ab[...]
_[27] 웹사이트 Mailman and DMARC http://wiki.list.org[...] 2015-08-13
_[28] 웹사이트 Yahoo email anti-spoofing policy breaks mailing lists http://www.pcworld.c[...] PC World 2014-04-15
_[29] 웹사이트 Yahoo Statement on DMARC policy https://wordtothewis[...] wordtothewise.com 2014-04-12
_[30] 웹사이트 AOL Mail updates DMARC policy to 'reject' http://postmaster-bl[...] AOL 2015-08-13
_[31] 메일링리스트 DMARC and ietf.org https://mailarchive.[...] 2016-10-10
_[32] 웹사이트 FAQ in DMARC wiki https://dmarc.org/wi[...] 2020-07-15
_[33] 메일링리스트 WG Action: Formed Domain-based Message Authentication, Reporting & Conformance (dmarc) https://mailarchive.[...] 2016-10-10
_[34] 웹사이트 DMARC FAQ https://dmarc.org/
_[35] 웹사이트 Businesses Can Help Stop Phishing and Protect their Brands Using Email Authentication https://www.ftc.gov/[...] Federal Trade Commission 2017-03-03
_[36] IETF Domain-based Message Authentication, Reporting, and Conformance (DMARC)
_[37] 웹사이트 DMARC Contributors http://www.dmarc.org[...]
_[38] 웹사이트 Outlook.com increases security with support for DMARC and EV certificates http://blogs.office.[...] Microsoft 2012-12-10
_[39] 웹사이트 DMARC: a new tool to detect genuine emails http://engineering.l[...] Linkedin 2012-09-20
_[40] 웹사이트 Introducing DMARC for Twitter.com emails https://blog.twitter[...] 2013-02-21
_[41] 웹사이트 History – dmarc.org https://dmarc.org/ab[...]
_[42] 논문 Spoofed Emails: An Analysis of the Issues Hindering a Larger Deployment of DMARC https://link.springe[...] Springer Nature Switzerland 2024
_[43] IETF Domain-based Message Authentication, Reporting, and Conformance (DMARC) IETF 2015-03-18
_[44] 웹사이트 How we moved microsoft.com to a p=quarantine DMARC record https://blogs.msdn.m[...]
_[45] 웹사이트 Bulk Senders Guidelines – Gmail Help https://support.goog[...]
_[46] 메일링리스트 Use of the public suffix list https://www.mail-arc[...] 2017-11-02
_[47] 웹사이트 Tutorial: Recommended DMARC rollout https://support.goog[...]
_[48] 웹사이트 Implementation Guidance: Email Domain Protection https://www.cyber.gc[...]
_[49] 웹사이트 User Guide for Cisco Domain Protection https://www.cisco.co[...] 2021-05-25
_[50] 메일링리스트 "p=none" vs. "p=quarantine; pct=0" http://lists.dmarc.o[...] 2018-10-09
_[51] IETF Experimental Domain-Based Message Authentication, Reporting, and Conformance (DMARC) Extension for Public Suffix Domains IETF 2021-07-26
_[52] 웹사이트 What is the rationale for choosing ZIP for the aggregate reports? https://dmarc.org/wi[...]
_[53] IETF Domain-based Message Authentication, Reporting, and Conformance (DMARC) IETF 2015-03
_[54] 웹사이트 I need to implement aggregate reports, what do they look like? https://dmarc.org/wi[...]
_[55] 웹사이트 The Ultimate Guide to DMARC Reporting in 2022 https://glockapps.co[...] 2019-08-23
_[56] IETF Interoperability Issues between Domain-based Message Authentication, Reporting, and Conformance (DMARC) and Indirect Email Flows IETF 2016-09
_[57] 웹사이트 How does email forwarding affect DMARC authentication results? https://blog.progist[...] 2023-01-06
_[58] 웹사이트 Mitigating DMARC damage to third party mail https://wiki.asrg.sp[...]
_[59] 웹사이트 dmarc.org wiki https://dmarc.org/wi[...]
_[60] 웹사이트 Upcoming changes for lists.debian.org https://lists.debian[...]
_[61] 웹사이트 Spam Resource: Run an email discussion list? Here's how to deal with DMARC http://www.spamresou[...] 2014-04-09
_[62] 웹사이트 How Threadable solved the DMARC problem http://blog.threadab[...]
_[63] 메일링리스트 Realistic responses to DMARC https://mailarchive.[...] 2016-12-18
_[64] 웹사이트 Mitigating DMARC damage to third party mail http://wiki.asrg.sp.[...] ASRG 2014-05-31
_[65] 웹사이트 Domain-based Message Authentication, Reporting and Conformance (DMARC) [draft 01] https://tools.ietf.o[...] IETF 2013-07-15
_[66] 웹사이트 History https://dmarc.org/ab[...]
_[67] 웹사이트 Mailman and DMARC http://wiki.list.org[...] 2013-10-16
_[68] 웹사이트 Yahoo email anti-spoofing policy breaks mailing lists http://www.pcworld.c[...] PC World 2014-04-08
_[69] 웹사이트 Yahoo Statement on DMARC policy https://wordtothewis[...] wordtothewise.com 2014-04-12
_[70] 웹사이트 AOL Mail updates DMARC policy to 'reject' http://postmaster-bl[...] AOL 2014-04-22
_[71] 메일링리스트 DMARC and ietf.org https://mailarchive.[...] 2016-10-10
_[72] 웹사이트 FAQ in DMARC wiki https://dmarc.org/wi[...] 2020-07-15
_[73] 메일링리스트 WG Action: Formed Domain-based Message Authentication, Reporting & Conformance (dmarc) https://mailarchive.[...] 2016-10-10
_[74] 웹사이트 DMARC FAQ https://dmarc.org/
_[75] 간행물 Businesses Can Help Stop Phishing and Protect their Brands Using Email Authentication https://www.ftc.gov/[...] Federal Trade Commission 2017-03-03
_[76] 논문 Domain-based Message Authentication, Reporting, and Conformance (DMARC)
_[77] 문서 DMARC Contributors http://www.dmarc.org[...]
_[78] 웹사이트 Outlook.com increases security with support for DMARC and EV certificates http://blogs.office.[...] Microsoft 2012-12-12
_[79] 웹사이트 DMARC: a new tool to detect genuine emails http://engineering.l[...] Linkedin 2013-08-17
_[80] 웹사이트 Introducing DMARC for Twitter.com emails https://blog.twitter[...] 2014-04-10
_[81] 웹사이트 History – dmarc.org https://dmarc.org/ab[...] 2020-09-23
_[82] 웹인용 RFC 7489 - Domain-based Message Authentication, Reporting, and Conformance (DMARC) https://datatracker.[...]
_[83] 웹인용 How we moved microsoft.com to a p=quarantine DMARC record https://blogs.msdn.m[...] 2016-09-27
_[84] 웹인용 Domain-based Message Authentication, Reporting and Conformance (DMARC) [draft 01] https://tools.ietf.o[...] IETF 2016-05-24
_[85] 웹인용 Bulk Senders Guidelines – Gmail Help https://support.goog[...] 2015-04-24
_[86] 웹인용 What is the rationale for choosing ZIP for the aggregate reports? https://dmarc.org/wi[...] 2019-04-03
_[87] IETF_document