BIMI의 DMARC p=reject 요구 사항 설명
BIMI의 DMARC p=reject 요구 사항 설명
BIMI 구현 실패의 대부분은 단일 원인으로 귀결됩니다: 잘못된 DMARC 정책입니다. 조직들은 SVG 로고 파일 생성에 집중하면서 로고 표시 여부를 결정하는 인증 요구 사항을 간과합니다.
BIMI는 브랜딩 기능이 아닌 보안 프로토콜입니다. 메일박스 제공자는 메시지가 귀하의 도메인에서 발송되었음을 암호학적으로 검증한 후에만 로고를 표시합니다 [1].
이 문서에서는 BIMI의 DMARC 전제 조건을 설명하고, 세 가지 시행 정책을 비교하며, 도메인 준비 방법을 구체적으로 안내합니다.
DMARC란 무엇인가?
Domain-based Message Authentication, Reporting, and Conformance(DMARC)는 인증되지 않은 발신자가 From 헤더에 귀하의 도메인을 사용하는 것을 방지하는 이메일 인증 표준입니다.
DMARC는 두 가지 기반 프로토콜을 토대로 구축됩니다:
- SPF (Sender Policy Framework): 발신 IP 주소가 도메인 소유자에 의해 인가되었는지 검증합니다.
- DKIM (DomainKeys Identified Mail): 각 메시지에 암호화 서명을 적용하여 수신자가 메시지가 전송 중에 변조되지 않았음을 확인할 수 있게 합니다.
DMARC 레코드는 Gmail 및 Yahoo와 같은 수신 서버에 SPF와 DKIM 모두 실패한 메시지를 어떻게 처리할지 지시합니다.
세 가지 DMARC 정책
DMARC 레코드는 DNS 존에 TXT 레코드로 게시합니다. p= 태그가 시행 정책을 정의합니다.
1. p=none (모니터링 모드)
수신 서버는 실패한 메시지를 받은편지함으로 배달하고, 지정한 주소로 집계 보고서를 전송합니다. 시행으로 전환하기 전에 정상적인 발송 소스를 식별하기 위해 이 정책을 사용하십시오.
BIMI 상태: ❌ 거부됨. 메일박스 제공자는 p=none 상태의 도메인에 대해 BIMI 로고를 표시하지 않습니다.
2. p=quarantine (시행 모드)
수신 서버는 실패한 메시지를 스팸 또는 정크 폴더로 라우팅합니다.
BIMI 상태: ✅ 허용됨. BIMI 자격을 갖추기 위한 최소 정책입니다. 이 정책은 메시지의 100%에 적용되어야 합니다. pct=100을 포함하거나 pct 태그를 생략하십시오(기본값은 100입니다).
3. p=reject (엄격한 시행 모드)
수신 서버는 실패한 메시지를 삭제합니다. 배달되지 않습니다. BIMI 상태: ✅ 허용됨. BIMI를 위한 권장 정책입니다.
BIMI가 시행을 요구하는 이유
이 요구 사항은 시각적 스푸핑을 방지하기 위해 존재합니다. 메일박스 제공자가 메시지 옆에 귀하의 로고를 표시할 때, 수신자에게 해당 메시지가 진본임을 보증하는 것입니다 [2].
BIMI가 p=none을 허용한다면, 공격자가 귀하의 도메인을 스푸핑하여 메일박스 제공자가 피싱 메시지 옆에 귀하의 로고를 표시하게 만들 수 있습니다. p=quarantine 또는 p=reject를 요구함으로써 도메인 소유자가 로고 부여 전에 인증되지 않은 메일을 차단했음을 보장합니다.
서브도메인 고려 사항
기업은 marketing.company.com 또는 receipts.company.com과 같은 별도의 메일 스트림을 위해 서브도메인을 자주 사용합니다. BIMI는 조직 도메인이 시행 상태에 있어야 합니다.
조직 도메인이 p=reject를 게시하더라도 서브도메인을 sp=none으로 재정의하면, 해당 서브도메인에서 발송된 메일에 대해 BIMI가 실패합니다. 시행은 조직 도메인과 그 서브도메인 모두에 적용되어야 합니다.
인프라 감사 방법
SVG 파일을 생성하거나 Verified Mark Certificate(VMC)를 신청하기 전에 DMARC 상태를 확인하십시오.
makeBIMI를 사용하여 도메인을 감사하십시오. 이 도구는 DNS 레코드를 조회하고, SPF 및 DMARC 구성을 평가하며, 도메인이 BIMI 시행 요구 사항을 충족하는지 보고합니다.
도메인이 감사를 통과한 후, 규격에 맞는 SVG 파일을 생성하고 veriBIMI와 같은 CA 중개 서비스를 통해 인증서를 취득하십시오.
참고 문헌
[1] M. Blank, et al. "Brand Indicators for Message Identification (BIMI)." IETF Datatracker, RFC 9091, https://datatracker.ietf.org/doc/html/rfc9091 [2] DMARC.org. "Overview." DMARC, https://dmarc.org/overview/