Office 365용 DMARC를 설정하는 방법: 단계별 가이드
by
읽기 시간: 10 분
Microsoft는 등록된 도메인에서 이메일 인증 프로토콜을 채택할 수 있는 Office 365 사용자를 위한 DMARC를 지원 및 권장합니다. 을 만장일치로 채택할 수 있도록 지원합니다. 이 블로그에서는 Office 365 이메일의 유효성을 검사하기 위해 Office 365용 DMARC를 설정하는 프로세스에 대해 설명합니다:
- Microsoft의 온라인 이메일 라우팅 주소
- 관리 센터에 사용자 정의 도메인 추가
- 파킹 또는 비활성 상태이지만 등록된 도메인
2023년 2분기에 Microsoft는 다양한 출처에서 피싱 사기에 가장 많이 사칭된 브랜드로 선정되었습니다. DMARC와 같은 프로토콜은 방어 메커니즘을 강화하는 데 필수적입니다.
Office 365에서 DMARC를 사용하여 정교한 전자 메일 위협을 방지하는 방법을 알아보세요.
Office 365용 DMARC를 설정하는 방법
DMARC 또는 도메인 기반 메시지 인증, 보고 및 적합성은 도메인의 DNS에 TXT 레코드로 존재합니다. DMARC는 내 도메인에서 발생하는 이메일 기반 위협에 대한 1차 방어 역할을 합니다. DMARC를 구성하기 전에 고급 보호를 위해 도메인에 SPF 또는 DKIM 또는 둘 다에 대한 레코드가 포함되어 있어야 합니다.
사용자 정의 도메인을 사용하는 경우 DMARC 레코드를 만드는 단계는 다음과 같습니다. DMARC를 설정할 때 반드시 SPF와 DKIM을 모두 구성해야 하는 것은 아닙니다. 그러나 추가 보호 계층을 추가하는 것이 좋습니다.
시작하기 전에 고려해야 할 사항
에 따르면 Microsoft의 문서:
- onmicrosoft.com으로 끝나는 MOERA(Microsoft 온라인 이메일 라우팅 주소)를 사용하는 경우 SPF 및 DKIM이 이미 구성되어 있을 것입니다. 하지만 Microsoft 365 관리 센터를 사용하여 DMARC 레코드를 만들어야 합니다.
- example.com과 같은 사용자 정의 도메인을 사용하는 경우 도메인에 대한 SPF, DKIM 및 DMARC를 수동으로 구성해야 합니다.
- 파킹된 도메인(비활성 도메인)의 경우 Microsoft는 해당 도메인에서 이메일을 보내지 않도록 명시적으로 지정할 것을 권장합니다. 그렇지 않으면 이러한 도메인이 스푸핑 및 피싱 공격에 사용될 수 있습니다.
- 전송 중 전달되거나 수정된 메시지의 경우 반드시 ARC. 이렇게 하면 이메일 인증 헤더가 수정되더라도 원본 이메일 인증 헤더를 보존하여 정확한 인증을 수행할 수 있습니다.
1단계: 도메인에 유효한 이메일 소스 확인
이는 사용자를 대신하여 이메일을 보내도록 허용하려는 소스 IP 주소(타사 포함)입니다.
2단계: 도메인에 SPF 설정하기
이제 다음을 구성해야 합니다. SPF 를 구성해야 합니다. 이렇게 하려면 외부 이메일 공급업체를 포함한 모든 유효한 발신 소스를 포함하는 SPF TXT 레코드를 만드세요. PowerDMARC에 무료로 가입하고 SPF 레코드 생성 도구를 사용하여 레코드를 생성할 수 있습니다.
3단계: 도메인에서 Office 365용 DKIM 설정하기
DMARC Office 365를 사용하려면 도메인에 대해 SPF 또는 DKIM이 구성되어 있어야 합니다. 설정하는 것이 좋습니다. DKIM 및 Office 365에서 DMARC를 설정하여 도메인의 이메일에 대한 보안 계층을 추가하는 것이 좋습니다. PowerDMARC에 무료로 가입하고 DKIM 레코드 생성 도구를 사용하여 레코드를 만들 수 있습니다.
4단계: DMARC TXT 레코드 만들기
PowerDMARC의 무료 DMARC 레코드 생성기 를 사용할 수 있습니다. 올바른 구문으로 레코드를 즉시 생성하여 DNS에 게시하고 도메인에 대한 DMARC를 구성하세요!
시행 정책은 거부 정책만 효과적으로 사칭 공격을 방지할 수 있습니다. 먼저 없음 정책으로 시작하여 이메일 트래픽을 정기적으로 모니터링하는 것이 좋습니다. 한동안 이렇게 하다가 최종적으로 시행으로 전환하세요.
DMARC 기록의 경우 정책 모드(없음/검역/거부)를 정의하고, DMARC 보고서를 받으려면 'rua' 필드에 이메일 주소를 입력합니다.
| DMARC 정책 | 정책 유형 | 구문 | 액션 |
|---|---|---|---|
| 없음 | 편안한/무조치/허용적 | p=없음; | 인증에 실패한 메시지에 대해서는 아무런 조치도 취하지 않습니다(즉, 메시지를 전달하지 않습니다). |
| 격리 | 시행 | p=검역; | DMARC에 실패한 격리 메시지 |
| 거부 | 시행 | p=거부; | DMARC에 실패한 메시지 삭제 |
DMARC 레코드 구문은 다음과 같습니다:
v=DMARC1; p=reject; rua=mailto:[email protected];
이 레코드에는 "거부" 정책이 적용되어 있으며 도메인에 대해 DMARC 집계 보고가 활성화되어 있습니다.
Microsoft 관리 센터를 사용하여 Office 365 DMARC 레코드를 추가하는 단계
다음에 대한 DMARC Office 365 레코드를 추가하려면 MOERA 도메인(*온마이크로소프트.com 도메인)을 클릭한 다음 단계를 따르세요:
1. Microsoft 관리 센터에 로그인합니다.
2. 2. 모두 보기 > 설정 > 도메인
3. 도메인 페이지의 도메인 목록에서 *onmicrosoft.com 도메인을 선택하여 도메인 세부 정보 페이지를 엽니다.
4. 이 페이지에서 DNS 레코드 탭을 클릭하고 + 레코드 추가를 선택합니다.
5. 다양한 필드가 있는 새 DMARC 레코드를 추가할 수 있는 텍스트 상자가 나타납니다. 아래는 특정 필드에 입력해야 하는 값입니다:
유형: TXT
이름: _dmarc
TTL: 1 시간
Value: (생성한 DMARC 레코드의 값 붙여넣기)
6. 저장을 클릭합니다.
사용자 지정 도메인에 Office 365 DMARC 레코드 추가하기
example.com과 같은 사용자 정의 도메인을 사용하는 경우 다음과 같은 자세한 가이드를 참조하세요. DMARC 설정 방법. 가이드의 단계에 따라 프로토콜을 쉽게 구성할 수 있습니다. Microsoft는 사용자 지정 도메인에 대해 DMARC를 구성하는 동안 몇 가지 유용한 권장 사항을 제공합니다. 저희도 이러한 팁에 동의하며 고객에게도 이를 제안합니다! 그 내용을 살펴보겠습니다:
- DMARC를 구성할 때는 없음 정책으로 시작하세요.
- 천천히 격리로 전환한 다음 거부하기
- 정책 영향력에 대한 백분율(%) 값을 10에서 시작하여 천천히 100까지 늘려서 낮은 값을 유지할 수도 있습니다.
- 이메일 채널을 정기적으로 모니터링하려면 DMARC 보고를 사용하도록 설정하세요.
비활성 도메인에 대한 DMARC Office 365 레코드 추가하기
다음에 대한 자세한 가이드를 다루었습니다. 비활성/파킹된 도메인을 보호하는 방법 비활성/주차된 도메인을 보호하는 방법에 대한 자세한 가이드를 다루었습니다. 여기에서 자세한 단계를 살펴볼 수 있지만 간략하게 요약하자면 비활성 도메인의 경우에도 DMARC를 구성해야 합니다.
비활성 도메인에 대한 DNS 관리 콘솔에 액세스하여 DMARC 레코드를 게시하기만 하면 됩니다. DNS에 액세스할 수 없는 경우 지금 바로 DNS 공급업체에 문의하세요. 이 레코드는 DMARC에 실패하는 비활성 도메인에서 보내는 모든 메시지를 거부하도록 구성할 수 있습니다:
v=DMARC1; p=거부;
PowerDMARC로 Office 365용 DMARC를 올바른 방법으로 설정하세요!
Office 365에 DMARC를 설정하는 이유는 무엇인가요?
Office 365에는 스팸 방지 솔루션과 이메일 보안 게이트웨이가 이미 보안 제품군에 통합되어 있습니다. 그렇다면 Office 365에서 인증을 위해 DMARC 정책이 필요한 이유는 무엇일까요? 그 이유는 이러한 솔루션은 인바운드 피싱 이메일에 대해서만 피싱 이메일 만 보호하기 때문입니다. DMARC 인증 프로토콜은 아웃바운드 피싱 방지 솔루션입니다. 도메인 소유자는 도메인에서 보낸 이메일 중 인증에 실패한 이메일에 응답하는 방법을 수신 메일 서버에 지정할 수 있습니다. 또한 DMARC는 정상적인 메시지가 스팸 폴더에 도착할 위험도 줄여줍니다.
DMARC는 두 가지 표준 인증 방식, 즉 SPF와 DKIM을 사용합니다. 이를 통해 전자 메일의 진위 여부를 확인합니다. Office 365 DMARC 정책을 적용하면 사칭 공격 및 스푸핑에 대한 보호 기능을 강화할 수 있습니다.
현재 상황에서 비즈니스 이메일에 DMARC를 설정하는 것이 그 어느 때보다 중요한 이유는 다음과 같습니다:
- 연방 기관들은 해커들이 부재하거나 취약한 취약한 DMARC 정책
- DMARC 규정 준수는 다음 경우에 필수입니다. 야후 및 구글 대량 발신자
- 그리고 FBI의 IC3 보고서 는 피싱 공격의 가장 큰 피해 국가로 미국을 지목했습니다.
- IBM 보고서 5개 기업 중 1개 기업이 자격 증명 분실 또는 도난으로 인한 데이터 유출의 영향을 받는다고 합니다.
Office 365를 사용하면서 DMARC가 정말 필요한가요?
기업들 사이에서 흔히 오해하는 것이 있는데, 바로 Office 365가 스팸 및 사기성 전자 메일로부터 안전을 보장한다고 생각하는 것입니다. 하지만 2020년 5월에 일련의 피싱 공격 피싱 공격이 여러 중동 보험 회사를 대상으로 수행되었습니다. 공격자들은 Office 365를 사용하여 상당한 데이터 손실과 보안 침해를 일으켰습니다. 이를 통해 얻은 교훈은 다음과 같습니다:
이유 1: Microsoft의 보안 솔루션은 완벽하지 않습니다.
그렇기 때문에 단순히 Microsoft의 통합 보안 솔루션에 의존하는 것만으로는 충분하지 않습니다. 도메인을 보호하기 위해 외부에서 노력해야 하는 것은 큰 실수가 될 수 있습니다.
이유 2: 아웃바운드 공격으로부터 보호하려면 Office 365용 DMARC를 설정해야 합니다.
Office 365의 통합 보안 솔루션은 인바운드 전자 메일 위협 및 피싱 시도로부터 보호할 수 있지만, 자체 도메인에서 보낸 아웃바운드 메시지가 고객 및 파트너의 받은 편지함에 도착하기 전에 효과적으로 인증되도록 해야 합니다. 이것이 바로 Office 365용 DMARC가 필요한 이유입니다.
이유 3: DMARC는 이메일 채널 모니터링에 도움이 됩니다.
DMARC는 직접적인 도메인 스푸핑 및 피싱 공격으로부터 도메인을 보호할 뿐만 아니라 이메일 채널도 보호합니다. 또한 이메일 채널을 모니터링하는 데도 도움이 됩니다. "거부/검역"과 같은 강제 정책을 사용하든, "없음"과 같은 보다 관대한 정책을 사용하든, 다음을 통해 인증 결과를 추적할 수 있습니다. DMARC 보고서. 이러한 보고서는 이메일 주소로 전송되거나 DMARC 보고서 분석기 도구로 전송됩니다. 모니터링을 통해 합법적인 이메일이 성공적으로 전달되는지 확인할 수 있습니다.
Office 365에서 DMARC는 어떻게 작동하나요?
Office 365에서 DMARC를 구현하려면 도메인 소유자가 DNS 설정에 DMARC 레코드를 게시해야 합니다. 도메인 소유자는 원하는 정책(없음, 격리 또는 거부)을 지정할 수 있습니다. 스푸핑된 Office 365 이메일을 수신 서버에서 거부하도록 구성할 수도 있습니다.
Office 365 관리자는 Exchange 관리 센터 또는 PowerShell 명령을 통해 DMARC 설정을 관리할 수 있습니다.
또한 Office 365에서 DMARC를 설정하여 타사에서 도메인의 이메일이 어떻게 처리되고 있는지에 대한 보고서를 요청할 수도 있습니다.
Office 365에서 DMARC 정책을 사용하도록 설정하지 않으면 어떻게 되나요?
Office 365에서 DMARC를 사용하도록 설정하지 않으면 도메인이 스푸핑될 위험이 있습니다.
DMARC는 이메일 시스템에 액세스하여 사기나 피싱에 사용하려는 이메일 발신자가 도메인을 스푸핑하지 못하도록 보호하는 데 도움이 되도록 설계되었습니다.
정책을 정의하지 않으면 기록은 비활성 상태나 마찬가지입니다. Office 365 전자 메일에 대해 DMARC 정책을 사용하도록 설정하지 않으면 권한이 없더라도 누구나 도메인을 대신하여 전자 메일을 보낼 수 있습니다. 또한 누가 메시지를 보냈는지, 권한이 있는 출처에서 보냈는지 여부를 확인할 수 없게 됩니다.
도메인 소유자는 도메인 스푸핑 공격과 피싱 공격을 통해 도메인 또는 브랜드 네임을 악의적인 활동에 사용하는 위협 행위자를 항상 경계해야 합니다. 어떤 이메일 교환 솔루션을 사용하든 스푸핑 및 사칭으로부터 도메인을 보호하는 것은 브랜드 신뢰도를 보장하고 소중한 고객층 사이에서 신뢰를 유지하는 데 필수적입니다.
Office 365에서 PowerDMARC를 사용하는 이유는 무엇인가요?
Microsoft Office 365는 사용자에게 통합 스팸 방지 필터와 함께 다양한 클라우드 기반 서비스 및 솔루션을 제공합니다. 하지만 다양한 장점에도 불구하고 보안 관점에서 보면 다음과 같은 단점도 있습니다:
- 도메인에서 보낸 아웃바운드 메시지의 유효성을 검사하는 솔루션이 없습니다.
- 인증 검사에 실패한 이메일에 대한 보고 메커니즘 없음
- 이메일 에코시스템에 대한 가시성 부족
- 인바운드 메일 및 아웃바운드 이메일 흐름을 관리하고 모니터링할 수 있는 대시보드가 없습니다.
- SPF 레코드가 항상 조회 횟수 제한 10회 미만인지 확인하는 메커니즘이 없습니다.
PowerDMARC를 사용한 DMARC 보고 및 모니터링
PowerDMARC는 Office 365와 원활하게 통합되어 도메인 소유자에게 BEC 및 직접 도메인 스푸핑과 같은 정교한 소셜 엔지니어링 공격으로부터 보호하는 고급 인증 솔루션을 제공합니다.
PowerDMARC에 가입하면 모든 이메일 인증 모범 사례(SPF, DKIM, DMARC)를 조합하는 멀티테넌트 SaaS 플랫폼에 가입하는 것입니다, MTA-STS, TLS-RPT 및 BIMI) 뿐만 아니라 이메일 에코시스템에 대한 완벽한 가시성을 제공하는 광범위하고 심층적인 dmarc 보고 메커니즘도 제공합니다. DMARC 보고서 는 두 가지 형식으로 생성됩니다:
- 집계 보고서
- 포렌식 보고서
저희는 다양한 업계 문제를 해결하여 더 나은 인증 경험을 제공하기 위해 노력해 왔습니다. 저희는 사용자 경험과 명확성을 향상시키기 위해 DMARC 포렌식 보고서의 암호화를 보장하고 집계 보고서를 7가지 보기로 표시합니다.
이메일 흐름과 인증 실패를 모니터링하는 데 도움이 되는 PowerDMARC와 블랙리스트 전 세계의 악성 IP 주소를 차단할 수 있습니다. 당사의 DMARC 분석기 는 도메인에 맞게 DMARC를 올바르게 구성하고 모니터링에서 시행으로 즉시 전환할 수 있도록 도와줍니다. 이를 통해 복잡한 설정에 대한 걱정 없이 DMARC Office 365를 사용할 수 있습니다.
Office 365용 DMARC FAQ
콘텐츠 검토 및 사실 확인 프로세스
Office 365 DMARC 설정 프로세스에 대한 정보는 Microsoft 공식 문서에서 가져온 것입니다. 이 문서는 향후 Microsoft 포털의 개발자가 변경한 내용에 따라 업데이트될 수 있습니다. 이 문서에 언급된 권장 사항은 실제로 고객에게 효과가 있었던 것을 기반으로 한 것으로, 여러분에게도 도움이 될 수 있습니다.
도메인 및 이메일 보안 전문가 PowerDMARC
Yunes는 이메일 인증 및 보안에 대한 전문 지식을 갖춘 PowerDMARC의 운영 팀장입니다. Yunes는 CompTIA A+ 등의 자격증을 보유한 Microsoft 인증 Azure 관리자 어소시에이트입니다.
Yunes Tarada의 최신 글 (전체 보기)
- DNS 취약점: 상위 5가지 위협 및 완화 전략 - 2024년 12월 24일
- DNS 타임라인 및 보안 점수 기록 소개 - 2024년 12월 10일
- 엔트리를 사용한 PowerDMARC 원클릭 자동 DNS 게시 - 12월 10, 2024
