안녕하세요.
세상 모두의 IT 잇츠입니다.
오늘은 메일서버 등록제(SPF)에 대해 알아보고 Exchange 서버에 SPF 설정을 진행해보겠습니다.
SPF 설정 이후에 DKIM 설정이 필요하면 아래 링크를 참고하세요.
2. Exchange Online (O365) DKIM 설정
안녕하세요. 세상 모두의 IT 잇츠입니다. 요즘 Exchange Online 관리 쪽으로 많이 다루다 보니 어느 정도 정리가 필요하다고 생각해서 카테고리를 하나 더 만들게되었습니다ㅠㅠ Exchange Online 구성과
itswt.tistory.com
[SPF 란 무엇일까?]
| 메일서버등록제(SPF: Sender Policy Framework) 메일서버 정보를 사전에 DNS에 공개 등록함으로써 수신자로 하여금 이메일에 표시된 발송자 정보가 실제 메일서버의 정보와 일치하는지를 확인할 수 있도록 하는 인증기술 대다수 스팸발송자가 자신의 신원을 감추기 위하여 발송자 주소나 전송경로를 허위로 표기하거나 변경하는 경우가 많다는데 착안 |
| SPF를 이용한 이메일 인증절차 발신자 : 자신의 메일서버 정보와 정책을 나타내는 SPF 레코드를 해당 DNS에 등록 수신자 : 이메일 수신시 발송자의 DNS에 등록된 SPF 레코드를 확인하여 해당 이메일에 표시된 발송IP와 대조하고 그 결과값에 따라 수신여부를 결정 (메일서버나 스팸차단솔루션에 SPF 확인기능이 설치되어 있어야 함) |
| SPF 개발 및 도입현황 1998년 Paul Vixie의 ‘Repudiating Mail From'에서 처음으로 아이디어가 제안된 이후 Pobox.com의 Meng Weng Wong에 의해 SPF가 개발됨 2004년 2월 IETF(Internet Engineering Task Force)에 공식 RFC(Request For Comments)로 제안되었으며, 2004년 12월 SPF의 모든 기술적 내용들이 최종 완성됨 SPF는 타 인증기술에 비해 적용이 용이하고 호환성이 좋으며 오픈소스를 기반으로 하므로 전 세계적으로 폭넓은 지지기반을 확보하고 있음 한국을 비롯한 미국, 캐나다, 일본 등 여러 국가들이 정부차원에서 사업자들을 대상으로 SPF 레코드 출판 및 확인기능 도입을 통한 스팸차단 활용을 적극 권고하고 있음 |
[SPF 설정 형식]
아래는 Exchange Online 에 SPF 설정을 어떻게 진행해야 하는지 설명해놓은 링크입니다.
Exchange 운영 형태에 맞게 적용이 필요하기 때문에 아래 링크를 참고해주시기 바랍니다.
스푸핑을 방지할 수 있도록 SPF 설정 - Office 365
Office 365에서 사용자 지정 도메인과 함께 SPF(Sender Policy Framework)를 사용할 수 있도록 DNS(도메인 이름 서비스) 레코드를 업데이트하는 방법을 알아봅니다.
docs.microsoft.com
아래의 설정값을 참고하여 DNS 설정에 TXT 값으로 넣어주시면 됩니다.
| 메커니즘 | 설명 및 허용되는 값 |
| v | SPF 버전. 이 태그는 필수 항목이며 레코드의 첫 번째 태그여야 합니다. 이 메커니즘은 다음과 같습니다. v=spf1 |
| ip4 | IPv4 주소 또는 주소 범위로 메일 서버를 승인합니다. 값은 표준 형식의 IPv4 주소 또는 범위여야 합니다. 예: ip4:192.168.0.1 또는 ip4:192.0.2.0/24 |
| ip6 | IPv6 주소 또는 주소 범위로 메일 서버를 승인합니다. 값은 표준 형식의 IPv6 주소 또는 범위여야 합니다. 예: ip6:3FFE:0000:0000:0001:0200:F8FF:FE75:50DF 또는 ip6:2001:db8:1234::/48 |
| a | 도메인 이름으로 메일 서버를 승인합니다. 예: a:solarmora.com |
| mx | 도메인 MX 레코드로 하나 이상의 메일 서버를 승인합니다. 예: mx:mail.solarmora.com SPF 레코드에 이 메커니즘이 없는 경우 기본값은 SPF 레코드가 사용되는 도메인의 MX 레코드입니다. |
| include | 도메인으로 타사 이메일 발신자를 승인합니다. 예: include:servers.mail.net |
| all | 모든 수신 메일이 일치하도록 지정합니다. SPF 레코드에 항상 이 메커니즘을 포함하는 것이 좋습니다. 이는 SPF 레코드의 마지막 메커니즘이어야 합니다. SPF 레코드의 all 메커니즘 뒤에 오는 모든 메커니즘은 무시됩니다. ~all 또는 -all 중 무엇을 사용해야 하나요? SPF 레코드에 ~all(조건 비승인 한정자)이 포함된 경우 수신 서버는 일반적으로 SPF 레코드에 없는 발신자의 메일을 수신하지만 의심스러운 메일로 표시합니다. SPF 레코드에 -all(비승인 한정자)이 포함된 경우 수신 서버는 SPF 레코드에 없는 발신자의 메일을 거부할 수 있습니다. SPF 레코드가 올바르게 설정되지 않으면 비승인 한정자로 인해 내 도메인에서 보낸 메일이 더 많이 스팸으로 분류될 수 있습니다. 도움말: 이메일을 보내지 않는 도메인이 스푸핑되는 것을 방지하려면 해당 도메인의 SPF 레코드로 vspf1 ~all을 사용하세요. |
1. Office 365에서 완전히 호스팅되는 즉, 온-프레미스 메일 서버가 없는 경우
- Office365에서 운영 중인 메일 서버의 경우 DNS의 TXT 값을 아래와 같이 설정합니다.
v=spf1 include:spf.protection.outlook.com -all
2. on-premise(온-프레미스) 서버로 운영중이며 메일을 발송하는 서버의 IP가 따로 있는 경우
- 예를들어 발송 호스트의 IP 가 192.168.0.1/16 구간에 있는 호스트만 메일을 발송하며
그 이외의 어떤 호스트에서도 메일을 발송하지 않습니다.
v=spf1 ip4: NAT IP(ex:192.168.0.0/16) include:spf.protection.outlook.com -all
//Exchange(on-premise) SPF 설정값
[SPF DNS 등록 방법]
1. DNS에 접속하여 등록된 도메인을 선택한 후 [동작] 메뉴에서 [다른 새 레코드(C)...]를 선택합니다.
2. 메일을 발송하는 시스템의 IP와 설정 값 지정 후 텍스트에 입력합니다.
* 레코드이름, FQDN은 지정하지 않아도 됩니다.
3. TXT 값이 등록되었는지 확인합니다.
[SPF 등록 확인하기]
SPF 등록 완료 후 설정이 정상적으로 되었는지 확인해야 합니다.
1. 명령프로프트를 실행하고 아래 명령어를 차례대로 입력합니다.
1. nslookup
2. set type=txt
3. contoso.com (운영하는 도메인명)
2. PSF 설정 값이 적용되었다면 이전에 입력한 TXT 값이 출력됩니다.
v=spf1 ip4: xxx.xxx.xxx.xxx include:spf.protection.outlook.com -all
오늘은 SPF 설정을 진행해보았습니다.
궁금하신 부분은 댓글을 남겨주세요.
다음에 봐요!!
'IT지식 > Exchange' 카테고리의 다른 글
| Exchange 외부 포워딩 정책 해지 방법 – 550.5.7.520 (1) | 2022.02.02 |
|---|---|
| 관리자 - Exchange Online 사용자 메일 삭제하기 (0) | 2022.01.27 |
| 2. Exchange Online (O365) DKIM 설정 (0) | 2022.01.14 |
