Ncloud (네이버 클라우드) Cloud Outbound Mailer에서 도메인을 인증하는 방법 3가지(SPF, DKIM, DMARC)에 대한 안내입니다

Tip: 기술문서 사이트가 리뉴얼 되었습니다.

개요

Ncloud (네이버 클라우드) Cloud Outbound Mailer를 사용할 때 도메인을 등록하고 SPF(Sender Policy Framework), DKIM(DomainKeys Identified Mail), DMARC(Domain-based Message Authentication, Reporting, and Conformance) 인증을 받으면 발신자 자격을 입증할 수 있고 타인이 도메인을 사칭해 메일을 발송하는 것을 막을 수 있습니다.

또한, 인증된 도메인임을 증명함으로써 수신측 메일 서비스에서 차단되거나 스팸 처리될 가능성도 매우 낮아지는 이점이 있으므로 가능하면 도메인 인증을 하는 것이 좋습니다.

Gmail 공지: 특히 Gmail에서는 2024년 2월부터 새로운 이메일 발신자 가이드라인을 적용하면서 도메인 인증을 받지 않은 경우 메일이 스팸처리되거나 제대로 전송되지 않을 수 있다고 공지하고 있습니다.

- Gmail 공지 : https://support.google.com/a/answer/81126?sjid=17985022532965146045-AP

도메인 인증 종류

• SPF(Sender Policy Framework) 인증: 메일 발신자 정보가 DNS에 등록된 메일 서버 정보와 일치하는지 확인하여 발신자 위조 여부를 확인합니다.
• DKIM(DomainKeys Identified Mail) 인증: 메일 헤더에 디지털 서명을 추가하여 메일의 위변조 여부를 확인합니다.
• DMARC(Domain-based Message Authentication, Reporting, and Conformance) 인증: SPF 및 DKIM과 함께 작동하여 메일 발신자를 인증하면서, SPF 및 DKIM 인증에 실패한 도메인의 발신 메일을 어떻게 처리할지 설정할 수 있습니다.

위 3가지 인증을 모두 적용해야 메일이 문제 없이 도착할 수 있습니다.

도메인 등록

[Cloud Outbound Mailer] - [Domain Management]에서 [도메인 등록] 버튼을 클릭합니다.
이미 도메인이 등록되어 있다면 다음 단계로 이동합니다.

등록 절차

1. 이메일 발송 주소로 사용할 도메인을 입력 후, 인증 토큰 생성 버튼을 클릭합니다.
2. 인증 토큰이 생성되면 [복사하기] 버튼을 클릭하여 인증 토큰 정보를 복사합니다.
3. [등록] 버튼을 클릭하여 도메인 등록을 완료합니다.
4. 복사한 인증 토큰을 등록하신 도메인 DNS의 TXT 레코드에 추가합니다.
5. Domain Management 메뉴에서 등록된 도메인 선택 후, [인증] 버튼을 클릭합니다.
6. DNS 변경의 적용에는 시간이 소요될 수 있습니다. 정상적으로 TXT 레코드 등록을 완료했으나 인증이 되지 않는 경우 잠시 후 다시 [인증] 버튼을 클릭해 주세요.

인증 대기

등록을 완료하면 아래와 같이 미인증 상태로 인증대기 중인 화면을 확인할 수 있습니다.

인증 토큰 적용

해당 도메인을 등록한 DNS 서비스 업체에서 [인증 토큰]을 등록하면 되는데, 여기서는 Ncloud의 DNS 서비스인 [Global DNS]에서 아래와 같이 등록했습니다.

인증 확인

DNS 서비스에 [인증 토큰]을 등록하고 잠시 기다렸다가 [도메인 인증 토큰] 항목에 있는 [인증] 버튼을 클릭하면 아래와 같이 [인증 일시] 시각을 확인할 수 있습니다.

인증에 실패했다는 메시지가 나타날 경우 조금 더 기다렸다가 다시 [인증] 버튼을 클릭해보고, 그래도 인증에 실패하면 DNS에 [인증 토큰]이 제대로 등록되었는지 확인해보시기 바랍니다.

SPF 인증

도메인 인증이 끝났으면 다음으로 [SPF] 인증을 해보겠습니다.

SPF(Sender Policy Framework) 인증은 메일 발신자 정보가 DNS에 등록된 메일 서버 정보와 일치하는지 확인하여 발신자 위조 여부를 확인하기 위한 인증입니다.

• 우선 [SPF 레코드] 항목에 있는 [보기] 버튼을 클릭합니다.

인증 레코드 확인

팝업에 나타난 인증 레코드를 복사합니다.

v=spf1 include:email.ncloud.com ~all

DNS 레코드 등록

위에서 복사한 인증 레코드를 DNS에 등록합니다. 이때 기존에 등록된 SPF 레코드가 존재할 경우에는 기존 레코드 문자열에 포함해서 등록해야 합니다.

# 신규 등록일 경우
v=spf1 include:email.ncloud.com ~all

# 다른 SPF 레코드가 존재할 경우 예시
v=spf1 ip4:123.123.123.123 include:email.ncloud.com ~all

• 신규 등록일 경우
• 다른 SPF 레코드가 존재할 경우

• 

• 

인증 확인

인증 레코드를 등록하고 잠시 기다렸다가 [SPF 레코드] 항목에 있는 [인증] 버튼을 클릭하면 아래와 같이 [인증 일시] 시각을 확인할 수 있습니다.

인증에 실패했다는 메시지가 나타날 경우 조금 더 기다렸다가 다시 [인증] 버튼을 클릭해보고, 그래도 인증에 실패하면 DNS에 [인증 레코드]가 제대로 등록되었는지 확인해보시기 바랍니다.

인증 사용

인증이 완료되었으면, 향후 [Cloud Outbound Mailer]에서 메일을 발송할 때 [SPF 인증]이 적용되도록 [사용]하기를 설정해야 합니다. 아래 스샷처럼 [SPF 레코드] 항목에 있는 [사용] 버튼을 클릭합니다.

• [SPF 인증] 사용하기가 설정되면 아래와 같이 [사용 중] 상태로 바뀌면서 [사용 중지] 버튼이 활성화 됩니다.

DKIM 인증

다음으로 [DKIM] 인증을 해보겠습니다.

DKIM(DomainKeys Identified Mail) 인증은 메일 헤더에 디지털 서명을 추가하여 메일의 위변조 여부를 확인하기 위한 인증입니다.

• 우선 [DKIM] 서명키를 확인하기 위해 [DKIM 레코드] 항목에 있는 [보기] 버튼을 클릭합니다.

서명 키 확인

아래와 같이 팝업에 나타난 [DKIM] 서명키를 복사해서 DNS에 등록합니다.

DNS에 등록할 때 TXT 레코드의 호스트명은 반드시 mailer._domainkey를 사용해야 합니다.

- TXT 레코드는 255자의 길이 제한이 있는데, Ncloud에서 제공하는 DKIM 서명키는 255자를 넘기 때문에 분할하여, multi-line으로 등록하셔야 합니다.
- Ncloud Global DNS를 사용할 경우에는 분할할 필요 없이 그대로 등록하면 자동으로 분할 등록되므로 편리합니다.
- DNS 설정에서 255자 이상의 TXT 레코드 등록하는 방법: https://docs.3rdeyesys.com/networking/ncloud-networking-global-dns-configure-long-txt-record.html

DNS 등록

아래와 같이 호스트명을 mailer._domainkey로 입력하고, [DKIM] 서명키를 등록했습니다.

인증 사용

인증이 완료되었으면, 향후 [Cloud Outbound Mailer]에서 메일을 발송할 때 [DKIM 인증]이 적용되도록 [사용]하기를 설정해야 합니다. 아래 스샷처럼 [DKIM] 항목에 있는 [사용] 버튼을 클릭합니다.

• [DKIM 인증] 사용하기가 설정되면 아래와 같이 [사용 중] 상태로 바뀌면서 [사용 중지] 버튼이 활성화 됩니다.

DMARC 인증

[DMARC] 인증은 다른 인증과 달리 레코드 값을 직접 설정해서 등록해야 합니다. 자세한 방법은 아래쪽에서 확인해보겠습니다.

DMARC 레코드 값 준비

1. DMARC 레코드 이름, 즉 호스트명은 반드시 _dmarc를 입력해야 합니다.
2. DMARC 레코드의 값은 아래와 같은 형식으로 구성됩니다.
   예시: v=DMARC1; p=none; aspf=r; adkim=r; rua=mailto:report@example.com

항목	입력 값 및 설명	필수 여부
v	버전을 의미 DMARC1으로 입력	필수
p	수신 서버에서 DMARC로 인증되지 않은 메일에 대한 처리 방법 - none: 조치하지 않고 메일 수신 - quarantine: 스팸 메일함으로 수신 - reject: 수신을 차단하고 반송 처리	필수
sp	하위 도메인에서 전송된 메일에 대한 정책 - none: 조치하지 않고 메일 수신 - quarantine: 스팸 메일함으로 수신 - reject: 수신을 차단하고 반송 처리	필수 아님
aspf	메일 정보와 spf 서명의 문자열 일치 여부 설정 - s: 모든 부분 일치 - r: (기본값) 부분 일치를 허용 (서브 도메인 허용)	필수 아님
adkim	메일 정보와 dkim 서명의 문자열 일치 여부 설정 - s: 모든 부분 일치 - r: (기본값) 부분 일치를 허용 (서브 도메인 허용)	필수 아님
rua	해당 도메인의 DMARC 처리 보고서를 수신할 이메일 주소 - 메일 주소 앞에 mailto: 입력 - 쉼표(,)를 연결하여 여러 이메일 주소 지정 가능	필수 아님

DNS 등록

아래와 같이 호스트명을 _dmarc로 입력하고, [DMARC] 레코드를 등록했습니다.

인증 확인

인증 레코드를 등록하고 잠시 기다렸다가 [DMARC 인증] 항목에 있는 [인증 일시] 시각이 나타나는 것을 확인할 수 있습니다.

도메인 인증 결과 테스트

실제로 Gmail로 메일을 발송한 후 인증 결과를 테스트 해보겠습니다.

Gmail 계정쪽으로 메일을 발송한 후 Gmail에 접속해서 도착한 메일을 선택하고 오른쪽 끝에 있는 [ ] 아이콘을 클릭하면 나타나는 메뉴에서 [원본 보기]를 선택합니다.

인증 PASS

메일의 [원본 보기]를 확인해보면 아래와 같이 [SPF], [DKIM], [DMARC] 3가지 인증 모두 PASS 즉, 인증이 정상적으로 완료되었다는 것을 알 수 있습니다.

참고 URL

1. Ncloud Cloud Outbound Mailer 기본 가이드
   • https://guide.ncloud-docs.com/docs/email-email-1-1
2. Ncloud Cloud Outbound Mailer 도메인 인증 가이드
   • https://guide.ncloud-docs.com/docs/cloudoutboundmailer-use-domain

문서 업데이트 내역

날짜	내용
2024-01-26	문서 최초 생성

Tags: mail auth