liminfo

DMARC/SPF/DKIM Generator

DMARC/SPF/DKIM DNS 레코드 생성기

DMARC 레코드

DNS TXT 레코드: _dmarc.example.com

v=DMARC1; p=reject; adkim=s; aspf=s

SPF 레코드 도우미

DNS TXT 레코드: example.com

v=spf1 include:_spf.google.com ~all

DKIM

DKIM (DomainKeys Identified Mail)은 선택자와 공개 키를 사용합니다. DNS 레코드 형식:

selector._domainkey.example.com TXT "v=DKIM1; k=rsa; p=PUBLIC_KEY_HERE"

이메일 제공업체(Google Workspace, Microsoft 365 등)가 공개 키를 생성합니다.

DMARC/SPF/DKIM Generator 소개

DMARC, SPF, DKIM 레코드 생성기는 세 가지 주요 이메일 인증 표준을 위한 즉시 게시 가능한 DNS TXT 레코드를 생성합니다. DMARC 섹션에서 도메인을 입력하고 정책(모니터링용 none, 의심 메일을 스팸으로 보내는 quarantine, 또는 차단하는 reject)을 선택하며, 집계 보고서(rua)와 포렌식 보고서(ruf) 이메일 주소를 선택적으로 제공하고 DKIM 및 SPF 정렬 엄격도(완화 또는 엄격)를 설정합니다. 도구는 예를 들어 v=DMARC1; p=reject; rua=mailto:dmarc@example.com; adkim=s; aspf=s 같은 완전한 DMARC 레코드 문자열을 실시간으로 구성하며, 원클릭으로 복사할 수 있습니다.

SPF 섹션에서는 알려진 공급자 include 지시어를 원클릭으로 토글해 SPF 레코드를 구성할 수 있습니다. 가장 일반적인 네 가지 이메일 발신 서비스에 대한 빠른 토글 버튼을 제공합니다: Google Workspace(_spf.google.com), Microsoft 365(spf.protection.outlook.com), Amazon SES(amazonses.com), Zendesk(mail.zendesk.com). 자체 메일 서버를 허용 목록에 추가하기 위한 사용자 정의 IPv4 CIDR 범위도 입력할 수 있습니다. 생성된 SPF 레코드는 항상 ~all(소프트 실패)로 끝나 — 전환 기간 동안 미인증 발신자를 완전히 거부하지 않고 의심스러운 것으로 표시하는 안전한 기본값입니다.

DKIM 섹션은 DomainKeys Identified Mail에 대한 명확한 설명을 제공합니다: 정확한 DNS TXT 레코드 형식(selector._domainkey.yourdomain TXT "v=DKIM1; k=rsa; p=PUBLIC_KEY")을 보여주고, 공개 키는 이메일 제공업체(Google Workspace, Microsoft 365 등)가 생성해준다고 안내합니다. 세 가지 레코드를 함께 사용하면 도메인 이름으로 전송되는 피싱, 스푸핑, 스팸을 크게 줄이는 완전한 이메일 인증 스택이 완성됩니다.

주요 기능

  • 실시간 DMARC 레코드 빌더: 도메인, 정책(none/quarantine/reject), rua/ruf 주소, DKIM/SPF 정렬 설정
  • Google Workspace, Microsoft 365, Amazon SES, Zendesk SPF include 원클릭 토글
  • SPF 레코드에 자체 메일 서버 IP 범위 추가를 위한 사용자 정의 IPv4 CIDR 필드
  • SPF 레코드는 안전한 전환 기본값인 ~all(소프트 실패)을 항상 사용
  • 올바른 selector._domainkey DNS 레코드 문법을 보여주는 DKIM 형식 참조
  • DMARC와 SPF 출력 모두 정확한 DNS 레코드 이름 표시(예: _dmarc.example.com)
  • DMARC 및 SPF 레코드 각각 개별 "복사됨!" 피드백이 있는 원클릭 복사
  • 100% 클라이언트 사이드 생성 — 도메인 이름과 이메일 주소가 브라우저 밖으로 전송되지 않음

자주 묻는 질문

DMARC란 무엇이고 왜 필요한가요?

DMARC(도메인 기반 메시지 인증, 보고 및 준수)는 SPF 또는 DKIM 검사에 실패한 메시지를 수신 메일 서버가 어떻게 처리해야 하는지 알려주는 이메일 인증 정책입니다. DMARC 없이는 누구든지 여러분의 도메인에서 온 것처럼 보이는 이메일을 보낼 수 있습니다. p=reject를 설정하면 이런 스푸핑된 메시지를 차단해 브랜드 평판과 사용자를 피싱 공격으로부터 보호합니다.

p=none, p=quarantine, p=reject의 차이는 무엇인가요?

p=none은 모니터링 전용 정책으로 실패한 메시지는 정상적으로 전달되지만, rua 주소로 보고서가 전송되어 트래픽을 감사할 수 있습니다. p=quarantine은 실패한 메시지를 스팸/정크 폴더로 이동시킵니다. p=reject는 수신 서버에 인증에 실패한 메시지를 완전히 차단하고 삭제하도록 지시합니다. 모범 사례는 none으로 시작해 몇 주간 보고서를 분석한 후 quarantine을 거쳐 reject로 단계적으로 이동하는 것입니다.

DMARC의 rua 주소는 무엇인가요?

rua(집계 보고 URI) 태그는 수신 메일 서버가 도메인의 인증 통과/실패 통계를 요약한 일별 집계 XML 보고서를 어디로 보낼지 알려줍니다. 이 보고서는 SPF 레코드에서 놓쳤을 수 있는 합법적인 메일 소스를 파악하고 스푸핑 시도를 포착하는 데 도움이 됩니다.

DKIM/SPF 정렬의 완화와 엄격의 차이는 무엇인가요?

정렬은 From 헤더의 도메인이 DKIM 또는 SPF로 인증된 도메인과 얼마나 일치해야 하는지를 의미합니다. 완화(adkim=r / aspf=r)는 서브도메인을 허용하므로 mail.example.com이 example.com에 대해 통과합니다. 엄격(adkim=s / aspf=s)은 정확한 도메인 일치를 요구합니다. 합법적인 메일 흐름이 깨지지 않도록 완화로 시작한 뒤 메일 소스를 완전히 파악한 후 엄격으로 강화하세요.

SPF란 무엇이고 어떻게 작동하나요?

SPF(Sender Policy Framework)는 도메인의 이메일 발신이 허용된 메일 서버를 나열하는 DNS TXT 레코드입니다. 수신 서버가 귀사에서 왔다고 주장하는 메시지를 받으면 발신 IP가 SPF 레코드에 나열되어 있는지 확인합니다. 끝의 ~all은 미나열 발신자를 소프트 실패(의심)로 처리하고, -all은 하드 실패(거부)를 의미합니다.

SPF 레코드에서 include:_spf.google.com은 무엇을 의미하나요?

include: 메커니즘은 다른 도메인의 SPF 레코드로 인증을 위임합니다. include:_spf.google.com은 수신 서버에 Google의 모든 Workspace 발신 IP 범위를 포함하는 Google 자체 SPF 레코드도 확인하도록 알려줍니다. Google Workspace를 통해 이메일을 보낸다면 반드시 이를 포함해야 합니다. 마찬가지로 include:spf.protection.outlook.com은 Microsoft 365를 다룹니다.

DKIM이란 무엇이고 왜 DMARC/SPF와 별개인가요?

DKIM(DomainKeys Identified Mail)은 발신 이메일에 암호화 서명을 추가합니다. 서명은 메일 제공업체가 개인 키로 생성하고, 해당 공개 키는 DNS에 selector._domainkey.yourdomain의 TXT 레코드로 게시됩니다. 수신자는 DNS 공개 키와 서명을 대조해 검증합니다. 서명이 메시지와 함께 전달되므로 DKIM은 SPF가 자주 실패하는 메일 전달(포워딩)에서도 유효합니다.

세 가지 레코드(DMARC, SPF, DKIM)가 모두 필요한가요?

네, 강력한 이메일 인증을 위해 세 가지 모두 필요합니다. SPF는 발신 서버를 검증하고, DKIM은 메시지가 변조되지 않았음을 검증하며, DMARC는 SPF와 DKIM 두 결과를 사용해 선택한 정책을 적용하고 보고서를 수집합니다. Google과 Microsoft 같은 주요 이메일 제공업체는 이제 대량 발신자의 받은 편지함 전달을 보장하기 위해 유효한 DMARC 레코드를 요구합니다.