'DNS'에 해당되는 글 2건

  1. 2013.07.23 DNS SPF / White Domain / RBL
  2. 2012.11.29 [펌]리버스 DNS 설정
분류없음2013.07.23 15:04

SPF(Sender Policy Framework)

 - 메일서버 정보를 사전에 공개 등록하여, 수신자로 E-mail에 표시된 발송자 정보가 실제 메일서버의 정보와 일치하는지 인증하는 기술.



○ SPF를 이용한 E-mail 인증 절차

발신자 : 자신의 메일서버 정보와 정책을 나타내는 SPF 레코드를 해당 DNS에 등록 


수신자 : 이메일 수신시 발송자의 DNS에 등록된 SPF 레코드를 확인하여 해당 이메일에 표시된 발송IP와 대조하고 그 결과 값에 따라 수신여부를 결정  (메일서버나 스팸차단솔루션에 SPF 인증 기능이 설치되어 있어야 함

   ※



◇ SPF 레코드 작성 관련

     - KISA-RBL은 통합화이트도메인 검증을 위한 SPF Record 체크 시, 개별 IP만 정상적으로 인지하며, 

       IP 대역으로 지정하게 되면, 실제 자신의 메일 발송 IP 외 다른 IP로 인해 불이익을 당할 수 있다. 



◇ SPF 레코드에 IP를 추가하는 방법

    ● Windows
      o
최초등록 SPF : v=spf1 ip4:x.x.x.x -all
      o
추가등록 SPF : v=spf1 ip4:x.x.x.x ip4:x.x.x.x -all
    ● Unix, Linux
      o
최초등록 SPF : Domain. IN TXT "v=spf1 ip4:x.x.x.x -all"
      o
추가등록 SPF : Domain. IN TXT "v=spf1 ip4:x.x.x.x ip4:x.x.x.x -all"
 
 
 all ~all의 차이
    "-all" : 메일발송IP를 위조하여 보내진 메일을 수신메일서버에서 drop 하라.
    "~all" :
메일발송IP를 위조하여 보내온 메일을 수신메일서버정책에 따라 결정하라.
   

     ~ - 의 차이는 수신서버에서 발송도메인의 SPF Record값을 벗어나는 메일을 수신하게 되었을 때 

    어떻게 처리 할지 발송도메인서버에서 결정하는 내용입니다.
    정
상적으로 발송도메인을 관리하는 도메인서버에 SPF Record를 설정하였다면 메일발송에 전혀 문제가 없다.
    단
, SPF Record에 발송 IP가 누락/ SPF Record 설정자체에 문제가 있다면 메일발송에 문제가 있을 수 있다.


 

◇ SPF 설정 설명

구 분

내  용 

  all

  앞의 설정 이외의 나머지를 뜻 함.

  -all [fail] : 앞의 조건과 맞지 않으면 Deny

  ~all [soft fail]: 앞의 조건과 맞지 않으면, 특정 헤더를 남기고 통과

 +all  [pass]: 무조건 통과. 아무런 기호가 없으면, Default 값

 ?all [neutral]: 신경쓰지 않음 

  a

  a레코드에 지정된 IP와 매칭을 비교  Ex) v=spf1 a:plming.co.kr -all

  mx

  mx레코드에 지정된 IP와 매칭을 비교  Ex) v=spf1 mx:plming.co.kr -all

  ptr

  ptr레코드에 지정된 IP와 매칭을 비교  Ex) v=spf1 ptr:plming.co.kr -all

  ip4

  ipv4 규약의 IP주소와 비교  Ex) v=spf1 ip4:100.100.100.100 -all

  ip6

 ipv6 규약의 IP주소와 비교  Ex) v=spf1 ipv4:20.20.20.20.20.20. -all

  include

 지정된 도메인의 TXT레코드의 값을 가져와 비교  Ex) v=spf1 include:plming.co.kr -all

※ SPF 레코등에 개별 IP대신에 /24 등을 이용하여 대역으로 지정이 문법적으로는 가능하지만  KISA-RBL은 통합화이트도메인

  검증을 위한 SPF Record 체크 시에 개별 IP만 정상적으로 인지하기 때문에 IP를 대역으로 지정하게되면, 실제 자신의 메일

  발송 IP외 다른 IP로 인해 불이익을 당할 수 있다.
 
◇ SPF Record 출판시 주의사항
 
o UDP 패킷이 512byte 초과시 buffer overflow 발생하기 때문에 IP13개 이상 등록시 오류가 발생합니다 .

 o -all(
또는 ~all)은 문장 끝에 한번만 쓴다.

 o
오탈자 조심(자주 틀리는 철자 : sfp..  )

 o IN, TXT
등의 문자는 Unix, BIND, Linux에서 설정하는 것이므로 Windows에서는
 
v=spf1 ip4:1.2.3.4 ip4:1.2.3.5 -all
 
이외의 문자가 들어갈 수 없다.

공백(space) 문자 주의사항
 
o v=spf  (※주의 : v?=?spf 처럼 공백 입력 시 오류발생)
  o spf1?ip4:x.x.x.x
  o ip4:x.x.x.x?ip4:x.x.x.x
  o ip4:x.x.x.x?-all
  ※ Tab
키 사용하지 말 것

 

 

 


 

■ White Domain

 ○ 스팸이 아닌, 정상적인 다량의 이메일이 스팸으로 인식되어 RBL로 간주되는 것을 예방하기 위하여, 사전에 신청하여 등록된 개인/사업자에 한해 국내 주요 포탈사이트로의 이메일 전송을 보장하는 제도.

 ○ 단, 최초의 White Domain으로 등록된 경우에도 모니터링을 통해 이후, White Domin에서 삭제될 수 있다.

   ※ White Domain에서의 삭제가 즉시 RBL 등록은 아니며, White Domain에서 삭제되더라도 스팸이력 모니터링이

      되지않으면, 메일발신이 차단되지는 않는다.

 

■ White Domain 등록요건

  ○ 해당 DNS에 SPF 레코드를 출판한 도메인에 한해서 등록 가능. 이는 SPF를 통해 이메일 발신지 인증을 통한 도메인의 신뢰도 평가 및 관리를 위해서 반드시 필요로 함.

 


RBL (Real-time Blocking List)

 - 이메일 수신 시에, 스팸여부를 판단하여 차단할 수 있도록 제공되는 스팸발송 IP 리스트 뜻함.

 - 대체로 DNS Lookup을 통하 확인하는 방식으로 이용하여 DNSBL(DNS-based Blackhole List)라고도 함.

 - 국내에서는 현재 한국 인터넷 진흥원(KISA)에서 운영하는 KISA-RBL이 있다. (1시간 단위 업데이트)

Posted by 네떡지기
분류없음2012.11.29 11:18
리버스 도메인 변경

 


 

 Last Updated  : 2015.01.28
   ○ KT
리버스 도메인 등록 방법 변경
        - 기존 리버스 도메인 등록 시, 별도의 로그인 없이 게시판에 등록하였으나, 2014년 12월 15일부터 신규 게시판을 이용하여
          계정 생성 후, 로그인 하여 등록 가능.
        - 접속 주소 : http://dms.kornet.net
        - 변경내용 비교표

 

구분 기존게시판 신규게시판
접속 주소 http://olddms.kornet.net http://dms.kornet.net
게시판 이용방법 로그인 없이 게시판 이용 회원 가입/로그인 후 게시판 이용
이용 기한 ~ 12월 14일(일) 까지 11월 17일(월) ~
정방향 도메인
등록/변경 요청 방법
고객명/전용회선번호 가입 후
도메인 신청 내역 작성
(1)도메인 관리 메뉴 > 관리 도메인 추가
(2)도메인구매자에게 승인 메일발송(자동)
(3)도메인구매자 메일 승인 완료
(4)게시글 내용 작성 전 승인 도메인 선택
(5)도메인 등록/변경 내역 작성 후 요청
리버스 도메인 등록 및
기술문의 요청 방법
고객명/전용회선번호 가입 후
도메인 신청 내역 작성
별도 승인 절차 없이
리버스 도메인 등록/변경 및
기술문의 게시글 요청 가능

NetworkSecurity특수문자

sinc

 

1. Inverse (Reverse) Domain 이란 ?

 

말 그대로 역방향 조회.

즉, 일반적인 DNS 역할이라고 할 수 있는 도메인에 대한 질의가 아닌 반대로 IP 에 대한 질의를 의미합니다.

 

정방향 (도메인에 대한 질의) : 도메인 -> IP

역방향 (IP 에 대한 질의) : IP -> 도메인

 

 

 

2.  리버스 검사 알고리즘

 

받는 메일서버가 리버스 검사를 할 경우 일반적으로 진행되는 과정에 대해 설명 드립니다.

 

a.  SMTP 서버가 메일을 받음.

 

b.  메일을 발신한 SMTP 서버의 IP 를 찾음. ( Header로 따지자면 Received 의 Relay 된 서버 IP )

 

c.  해당 IP 에 대해 DNS 역방향 질의 (PTR)

 

d-1.  응답이 없을 경우 -> 드랍 or 리턴

         응답이 있을 경우 -> 별다른 확인절차 없이 전송

 

d-2.  응답이 없을 경우 -> 드랍 or 리턴

         응답이 있을 경우 -> 보낸 사람 (Header 의 From) 의 도메인 정보 와 DNS 질의를 통해 얻은 도메인 정보를 비교.
                                              두 도메인이 일치하면 받고 , 불일치시 드랍 or 리턴

 

 

 

3. 리버스 등록을 왜 해야 하는가 ?

 

먼저 리버스 등록은 의무가 아닌 권고사항입니다.

다만, OIE 권고사항과는 질적으로 다르기 때문에~~ ^^;  무시하지 마시고 등록 하시는 것이 좋습니다.

 

국내의 경우 일반적인 메일서버들은 리버스 검사를 잘 하지 않는 편입니다.

메일 서버 앞단에 스팸 필터링 서버가 있다고 해도  대부분  옵션 정도로 활용되기 때문에 큰 문제가 되지는 않습니다.

 

다만,  국내 유명 10개 포탈의 경우 KISA  White List  를 참조하므로 미등록시 포탈로의 발송에 문제가 있을 수 있습니다.

(  Kisa White List  신청시 리버스 설정이 되있어야 등록이 가능합니다. )

 

해외의 경우는 선택이 아닌 필수 입니다.

 

이유는  메일서버들이 독립적으로 리버스 검사를 한다기 보다는 해외 RBL 사이트들이 이 부분을 블랙리스트화 하기 때문입니다.

대부분의 메일서버들이 RBL을 기준으로 필터링하고,  가령 AOL 같은 곳이나 스팸 기술 어쩌구 자부하는 MS 조차도

Spamcop.net 에 블랙리스트 올라가면 Rejet  되는 현실이니 해외로의 메일 발송이 많다면 필히 등록하셔야 됩니다.

 

 


4. 1 개의 IP로 다중 도메인 메일 서비스를 할 경우 (메일 호스팅)

 

인버스 도메인 신청은 1개의 IP에 1개의 도메인만 가능합니다.

 

그렇다면 메일 호스팅을 할 경우는 도메인이 여러개인데 어떻게 하느냐는 질문이 나올 수 밖에 없습니다.

 

일단 2번에 설명드린 검사 알고리즘에서 볼 수 있듯이 응답의 여부가 기준이 되면 도메인을 체크하지 않기 때문에 문제될 것이 없습니다.

 

대부분의 리버스 검사는 d-1처럼 작동하기에 결론적으로 큰 문제가 되지는 않습니다만, D-2 처럼 검사하면 당연히 필터링 됩니다.

결론은 받는 쪽 필터 정책에 따라 달라 질 수 있지만,  대표 도메인 하나만 등록해도  문제될 것은 없습니다.


만약 위임을 받아 자신이 운영하는 네임서버에서 해당 도메인을 모두 등록하면 되지 않을까... 하는 생각을 해볼 수 있습니다.

하지만,  PTR 의 경우 질의시 라운드 로빈으로 동작하기 때문에 큰 의미는 없습니다.

 

참고로 메일 호스팅 업체에서 일 해본적은 없기에 어디까지나 신뢰할 수 없는 제 사견입니다. ^^;

 

 


5. 리버스 등록 방법

 

방법은 생각보다 간단합니다.

메일 서버가 사용중인 네트웍의 해당 ISP 업체에 문의 후, 신청서를 작성하여 제출하시면 됩니다.

 

하나로 통신 기준으로 좀더 구체적으로 설명 드리겠습니다.
(상담원 통해서도 처리 가능하지만, 다이렉트로 처리하는 방법입니다.)

 

- 02-6266-6551 or 2488 전화거셔서 인버스 도메인 신청할려고 한다고 말씀하시면 신청서를 줍니다.

 

- 해당 신청서를 작성하여 메일로 보냅니다. 수신자 : domain@hanaro.com

- 개인사용자는 신청을 받지 않으며,  처음이시면 사업자 등록증을 팩스로 보내달라고 할 수도 있습니다. 

 

- KT 나 기타 ISP 업체도 방법은 같습니다.

* KT 리버스 DNS 요청 사이트 : http://dns.kornet.net/jsp/login.jsp

* LG : dnsadm@bora.net  : 가입자번호 / 연락처

Posted by 네떡지기

티스토리 툴바