[Mail]SPF 레코드 매커니즘, SPF 레코드 규정

Google mail 등 다양한 메일 서비스를 사용하다보면

발신자가 나에게 보낸 메일이 차단된 경우가 있다.

스팸함으로 들어오는 것이 아닌 메일 서버단에서 해당 메일을 차단한 것이다.

이러한 현상은 주로 평판이 낮은 도메인을 사용하는 유저가 메일을 보내면 일어난다.

 

스팸 메일로 많이 신고 당했거나 보안 지침을 지키지 않는 등의 이유로

도메인의 평판이 낮아질 수 있고

이는 곧 도메인이 블랙리스트에 올라 메일 발송이 어려워 질 수 있다.

 

구글에서는 이러한 메일을 Unsolicited mail이라 규정했다.

이때 메일이 차단된 수신자는 달리 조치할 방법이 없고

 

1. 기다린다. 

 - 기다리다보면 자동으로 차단이 해제될 수 있으나

  언제 차단이 해제될 지 알 수 없고, 다시 차단될 가능성도 있다.

2. 발신자에게 보안 정보 등록을 요청한다.
 - SPF, DKIM, DMARC 등의 인증 정보를 업데이트 요청한다.

 

오늘은 그 중 특히 SPF 규정에 대해서 얘기해보자

 

SPF 레코드: Google Workspace 및 기타 발신자

spf 레코드 예	설명
v=spf1 ip4:192.168.0.0/16 include:_spf.google.com ~all	도메인에 대해 다음 이메일 발신자를 승인합니다. IP 주소가 192.168.0.0부터 192.168.255.255 사이에 해당하는 모든 서버 Google Workspace
v=spf1 ip4:192.168.0.0/16 include:_spf.google.com include:sendyourmail.com ~all	도메인에 대해 다음 이메일 발신자를 승인합니다. 192.168.0.0부터 192.168.255.255 사이에 해당하는 서버 Google Workspace 타사 서비스 Sendyourmail
v=spf1 a:mail.solarmora.com ip4:192.72.10.10 include:_spf.google.com ~all	도메인에 대해 다음 이메일 발신자를 승인합니다. mail.solarmora.com 서버 IP 주소 192.72.10.10의 서버 Google Workspace
v=spf1 include:servers.mail.net include:_spf.google.com ~all	도메인에 대해 다음 이메일 발신자를 승인합니다. servers.mail.net 서버를 이용하는 타사 이메일 서비스 Google Workspace

SPF 레코드 메커니즘

매커니즘	설명 및 허용되는 값
v	SPF 버전. 이 태그는 필수 항목이며 레코드의 첫 번째 태그여야 합니다. 이 메커니즘은 다음과 같습니다. v=spf1
ip4	IPv4 주소 또는 주소 범위로 메일 서버를 승인합니다. 값은 표준 형식의 IPv4 주소 또는 범위여야 합니다. 예: ip4:192.168.0.1 또는 ip4:192.0.2.0/24
ip6	IPv6 주소 또는 주소 범위로 메일 서버를 승인합니다. 값은 표준 형식의 IPv6 주소 또는 범위여야 합니다. 예: ip6:3FFE:0000:0000:0001:0200:F8FF:FE75:50DF 또는 ip6:2001:db8:1234::/48
a	도메인 이름으로 메일 서버를 승인합니다. 예: a:solarmora.com
mx	도메인 MX 레코드로 하나 이상의 메일 서버를 승인합니다. 예: mx:mail.solarmora.com SPF 레코드에 이 메커니즘이 없는 경우 기본값은 SPF 레코드가 사용되는 도메인의 MX 레코드입니다.
include	도메인으로 타사 이메일 발신자를 승인합니다. 예: include:servers.mail.net
all	모든 수신 메일이 일치하도록 지정합니다. SPF 레코드에 항상 이 메커니즘을 포함하는 것이 좋습니다. 이는 SPF 레코드의 마지막 메커니즘이어야 합니다. SPF 레코드의 all 메커니즘 뒤에 오는 모든 메커니즘은 무시됩니다. ~all 또는 -all 중 무엇을 사용해야 하나요? SPF 레코드에 ~all(조건 비승인 한정자)이 포함된 경우 수신 서버는 일반적으로 SPF 레코드에 없는 발신자의 메일을 수신하지만 의심스러운 메일로 표시합니다. SPF 레코드에 -all(비승인 한정자)이 포함된 경우 수신 서버는 SPF 레코드에 없는 발신자의 메일을 거부할 수 있습니다. SPF 레코드가 올바르게 설정되지 않으면 비승인 한정자로 인해 내 도메인에서 보낸 메일이 더 많이 스팸으로 분류될 수 있습니다. 도움말: 이메일을 보내지 않는 도메인이 스푸핑되는 것을 방지하려면 해당 도메인의 SPF 레코드로 vspf1 ~all을 사용하세요.

SPF 레코드 한정자

한정자	일치하는 경우 수신 서버에서 취하는 조치
+	인증 통과. 일치하는 IP 주소를 가진 서버가 내 도메인의 메일을 전송하도록 승인되었습니다. 메일이 인증되며, 메커니즘에 한정자가 사용되지 않은 경우 수행되는 기본 작업입니다.
-	인증 실패. 일치하는 IP 주소를 가진 서버가 해당 도메인의 메일을 전송하도록 승인되지 않았습니다. SPF 레코드에 발신 서버 IP 주소 또는 도메인이 포함되지 않아 메일이 인증을 통과하지 못합니다.
~	인증 조건 비승인. 일치하는 IP 주소를 가진 서버가 해당 도메인의 메일을 전송하도록 승인되었을 가능성이 낮습니다. 수신 서버에서 일반적으로 메일을 허용하지만 의심스러운 메일로 표시합니다.
?	Neutral(판정 없음). 인증을 통과하지도 인증에 실패하지도 않습니다. SPF 레코드에 해당 IP 주소에서 도메인의 메일을 전송하도록 승인되었다고 명시되어 있지 않습니다. 결과가 Neutral(판정 없음)로 이어지는 SPF 레코드에는 일반적으로 ?all이 사용됩니다.

특히 주의해야할 점은

도메인에는 하나의 SPF 레코드만 있어야 한다는 것이다.

예외적으로 호스트 설정을 사용하여 하위 도메인에 SPF 레코드를 적용하는 것은 추가 가능하다.

둘 이상의 SPF 레코드를 추가할 순 있으나 이럴 경우 메시지를 올바르게 인증하지 않을 수 있는 부작용이 있다.

 

참조 : https://support.google.com/a/answer/10685031?hl=ko&sjid=1297087904145133033-AP 

https://support.google.com/a/answer/10683907?hl=ko&sjid=1297087904145133033-AP

SPF 레코드 정의하기(기본 설정) - Google Workspace 관리자 고객센터