DKIM 구현 가이드: 일반적인 함정과 이를 피하는 방법

DKIM(도메인 키 식별 메일)은 메시지 무결성과 발신자의 적법성을 검증하는 중요한 이메일 인증 프로토콜입니다. 제대로 인증된 이메일만 받은 편지함에 브랜드 로고를 표시할 수 있으므로 DKIM은 BIMI(메시지 식별을 위한 브랜드 지표)에 필수적입니다. 그러나 DKIM 설정에는 보안과 전달성을 모두 약화시킬 수 있는 몇 가지 일반적인 함정이 있습니다.

• DNS에 공개 키가 없거나 잘못됨: DKIM 공개 키가 DNS에 게시되지 않았거나 형식이 잘못 지정되어 있으면 인증이 실패합니다. 항상 DKIM 레코드 생성기를 사용하고 DNS 항목에 구문 오류가 있는지 확인하세요.
• 키 길이가 약하거나 오래된 경우: 1024비트보다 짧은 키(예: 512비트)를 사용하면 DKIM이 공격에 취약해집니다. 최소 1024비트 키(1048비트 권장)를 사용하고 6~12개월마다 키를 교체하세요.
• 정렬 문제: DKIM 서명의 도메인(d=값)은 '보낸 사람' 주소의 도메인과 일치해야 합니다. 정렬이 잘못되면 인증 실패로 이어지고 DMARC 규정 준수를 위반할 수 있습니다.
• 선택기 불일치: DNS 레코드의 선택자는 이메일 헤더의 선택자와 일치해야 합니다. 한 글자만 불일치해도 인증 실패가 발생할 수 있습니다.
• 잘못된 형식: DKIM 레코드는 DNS에서 끊어지지 않은 단일 문자열이어야 합니다. 줄 바꿈, 이스케이프되지 않은 세미콜론 또는 누락된 필드(예: v=DKIM1 또는 k=rsa)가 있으면 레코드가 무효화됩니다.
• DKIM 서명을 사용하도록 설정하는 것을 잊어버림: DNS 레코드를 게시하는 것만으로는 충분하지 않으므로 메일 서버 또는 이메일 제공업체에서 DKIM 서명이 사용 설정되어 있는지 확인하세요.
• 하위 도메인 및 타사 공급업체 무시: 하위 도메인에서 메일을 보내거나 타사 서비스를 사용하는 경우 인증에 공백이 생기지 않도록 각 도메인에 DKIM이 올바르게 구성되어 있어야 합니다.
• 모니터링 또는 테스트 미실시: DKIM 설정을 정기적으로 테스트하고 DMARC 보고서를 모니터링하여 문제를 조기에 파악하세요. 변경 사항이 있으면 테스트 이메일을 보내고 DKIM 패스를 확인합니다.

• 강하고 규칙적으로 회전하는 키를 사용하세요: 1024-2048비트.
• DNS 서식 및 선택기 정렬을 다시 확인합니다: 올바른 구문과 일치하는 선택기가 있는지 확인하세요.
• DKIM 도메인을 정렬합니다: DKIM 서명의 도메인이 '보낸 사람' 주소와 일치해야 합니다.
• 업데이트할 때마다 테스트: DMARC 보고서로 인증 결과를 모니터링합니다.
• 타사 발신자와 협력하세요: 모든 공급업체가 DKIM을 올바르게 구현하는지 확인하세요.
• 오래되거나 손상된 키를 해지하세요: 오용을 방지하기 위해 DNS에서 해당 키를 제거하세요.

• DNS 전파 지연을 확인하세요: 변경에는 최대 48시간이 소요될 수 있습니다.
• DMARC 및 DKIM 장애 보고서를 검토합니다: 무엇이 실패하고 왜 실패했는지에 대한 단서를 찾아보세요.
• 서명 후 메시지 내용이 변경되지 않았는지 확인합니다: 전달 또는 보안 도구가 메시지를 수정하지 않았는지 확인하세요.
• 이메일 서비스 제공업체의 설명서를 참조하세요: 플랫폼별 지침에 따라 인증 문제를 해결하세요.