우리 조직은 우리를 대신하여 이메일을 보내는 타사 클라우드 서비스 계정을 설정하고 있습니다. 우리 마케팅 부서에서는 일부 고객이 표시하는 "경유" 또는 "대신" 비트를 제거하여 이메일이 우리가 직접 보낸 것처럼 보이도록 하려고 합니다. 이 주제에 대한 제3자의 도움말 페이지를 살펴보면서 그들은 자사 서버의 영역에 DKIM 레코드를 삽입해 줄 것을 요청합니다. 현재 메일 서버에는 SPF를 구현하지만 DKIM은 구현하지 않습니다.
- 제3자가 조직을 대신하여 메일을 보낼 수 있도록 허용하려면 DKIM TXT 레코드만 있으면 충분합니까(SPF 정책을 업데이트하거나 해당 서버를 참조하는 다른 레코드를 추가하지 않음)?
- 제3자가 우리 도메인에서 합법적인 이메일을 보낼 수 있도록 허용한다는 점 외에도 이 DKIM 레코드를 삽입하면 나머지 시스템(보안 또는 기타)에 어떤 영향이 있습니까?
답변1
서비스 제공업체의 서버에서 메일을 보내는 것을 허용하지 않는 SPF 레코드가 있는 경우 SPF만 확인하거나 SPF와 DKIM을 모두 확인하는 수신자는 SPF 실패를 친절하게 받아들이지 않을 것입니다. 서비스 제공업체가 이 문제를 처리하기 위해 SPF 지침이나 이와 유사한 지침을
제공한다고 생각합니다 .include아니요, 있어서는 안 됩니다. DKIM 키는 연관된 선택기 값을 기반으로 조회됩니다. 도메인 전체에 대한 일반 DKIM 기록은 없으며 DKIM 서명 메일에 지정된 특정 선택기에 대해서만 기록됩니다. DKIM 레코드를 추가해도 서명되지 않은 메일이나 다른 선택기의 키로 서명된 메일에는 영향을 미치지 않습니다.
DKIM 기록은 키 소유자가 자신이 보내는 메일이 도메인 소유자에 의해 승인되었다는 합리적인 수준의 확실성*을 보여주기만 합니다.
*) DKIM 레코드가 포함된 영역이 DNSSEC에 서명되지 않은 경우 레코드 데이터의 신뢰성을 확인할 방법이 없습니다. 이러한 상황에서 가져온 키를 기반으로 서명을 검증하면 실제로 입증된 내용이 상당히 제한될 것입니다.
답변2
모든 ESP에는 이메일 인증에 대한 특정 지침이 있습니다. 일부는 CNAME wl.sendgrid.net의 em.example.com과 같이 마케팅용 하위 도메인을 구성하도록 요청하고 다른 일부는 SPF용 SPF.example.com과 dkim 텍스트 레코드를 포함하는 조합을 요청합니다.
특정 지침을 따르되 규정을 준수해야 합니다. SPF의 경우 DNS 조회가 10개 미만이어야 하고, DKIM의 경우 선택기당 하나의 키만 가질 수 있습니다.
ESP를 게시하시면 구체적인 내용을 알려드릴 수 있습니다.