gsuite 이메일 서버 보안 강화하기

안녕하세요. 디노입니다.

저희 회사는 구글 지스윗을 사용하고 있어서 설정할 때 크게 설정할 일이 없습니다만, 최근 여러 문의를 통해서 이메일 보안을 강화하기 위해 추가 설정할 내용이 있는 것을 파악하고 이 내용을 공유합니다.

아래의 세 개의 설정을 추가해줘야 한다는데 설명은 다음과 같고 설정 방법을 설명드립니다.

SPF (Sender Policy Framework) 는 도메인의 이메일을 보낼 수 있는 서버를 지정합니다.
DKIM(DomainKeys Identified Mail) 은 메일 콘텐츠가 위조되지 않았고 변경되지 않았는지 확인합니다.
DMARC(Domain-based Message Authentication, Reporting & Conformance) 는 도메인에서 의심스러운 수신 이메일을 처리하는 방법을 지정합니다.


1. SPF레코드

SPF레코드 관리는 다음 문서를 참조하세요. https://support.google.com/a/answer/33786?hl=ko

저희 고객사에서는 이 설정이 되어 있지 않아서 몇개의 기관에서 메일이 리턴되어 오는 경우가 있었습니다.

DNS서버의 TXT설정을 점검하여 레코드가 기존에 존재한다면 삭제하고 다음 값을 이용하여 TXT레코드를 만듭니다.

  1. 이름은 @를 입력하거나 빈칸
  2. TTL 3600으로 하거나 노터치
  3. 값/응답/대상은 v=spf1 include:_spf.google.com ~all
저희 회사의 설정 화면 (domain.com을 각자 도메인으로 변경하세요)

2. DKIM 설정 – 위장 방지

DKIM관리는 다음 문서를 참조하세요.
https://support.google.com/a/answer/174124

구글 관리콘솔 > G Suite > Gmail > 이메일 인증 > 새레코드 생성 으로 이동

이메일 인증 메뉴로 들어가면 아래와 같이 DKIM 설정 화면이 뜹니다.

이 값을 복사하여 DNS 서버로 들어가서 새 레코드 생성하여 TXT레코드에 저장합니다. 각 DNS 설정 서버의 설정 방법에 따라 달라질겁니다. 참고로 저희 회사는 dnsever.com 이라는cloud dns서비스를 사용하고 있습니다.

저희 회사 샘플입니다. 관리 콘솔에 나온 내용을 그대로 txt레코드로 저장합니다.

3. DMARC 사용 – 의심스러운 이메일 처리

DMARC 관리는 다음 문서를 참조하세요.
https://support.google.com/a/answer/2466563?hl=ko

txt레코드에 _dmarc.mydomain.com 과 같이 _dmarc 를 입력하고 txt의 내용에 다음 셋 중 하나를 적용합니다.

v=DMARC1; p=none; rua=mailto:admin@mydomain.com

저희 회사 설정 샘플입니다.

99. 요약

세 가지 요소를 설정하여 다음과 같이 DNS 서버가 설정되면 됩니다.

 801 total views,  4 views today