소개
이 문서에서는 ESA에서 DKIM 서명을 구성하는 방법에 대해 설명합니다.
요구 사항
- ESA(Email Security Appliance)에 액세스합니다.
- DNS에 액세스하여 TXT 레코드를 추가/제거합니다.
DKIM 서명이 꺼져 있는지 확인
변경하기 전에 모든 메일 플로우 정책에서 DKIM 서명이 꺼져 있는지 확인합니다.이렇게 하면 메일 흐름에 영향을 주지 않고 DKIM 서명을 구성할 수 있습니다.
- Mail Policies(메일 정책) > Mail Flow Policies(메일 플로우 정책)로 이동합니다.
- 각 메일 플로우 정책으로 이동하여 "Domain Key/DKIM Signing(도메인 키/DKIM 서명)"이 "Off(끄기)"로 설정되어 있는지 확인합니다.
DKIM 서명 키 만들기
먼저 ESA에서 새 DKIM 서명 키를 생성해야 합니다.
- Mail Policies(메일 정책) > Signing Keys(서명 키)로 이동하여 "Add Key..."를 선택합니다.
- DKIM 키의 이름을 지정하고 새 개인 키를 생성하거나 기존 키에 붙여넣습니다.
참고:대부분의 경우 2048비트 개인 키 크기를 선택하는 것이 좋습니다.
- 변경 사항을 커밋합니다.
새 DKIM 서명 프로필을 생성하고 DNS에 DNS 레코드 게시
다음으로, 새 DKIM 서명 프로필을 생성하고, 해당 DKIM 서명 프로필에서 DKIM DNS 레코드를 생성하고, 해당 레코드를 DNS에 게시해야 합니다.
- Mail Policies(메일 정책) > Signing Profiles(서명 프로필)로 이동하여 "Add Profile...(프로필 추가...)"을 클릭합니다.
- "Profile Name(프로필 이름)" 필드에 프로필을 설명하는 이름을 지정합니다.
- "도메인 이름" 필드에 도메인을 입력합니다.
- "Selector" 필드에 새 선택기 문자열을 입력합니다.
참고: 선택기는 지정된 도메인에 대해 여러 DKIM DNS 레코드를 허용하는 데 사용되는 임의의 문자열입니다.
- "Signing Key" 필드의 이전 섹션에서 만든 DKIM 서명 키를 선택합니다.
- Submit(제출)을 클릭합니다.
- 여기에서 방금 생성한 서명 프로필에 대한 "DNS Text Record" 열에서 "Generate"를 클릭하고 생성된 DNS 레코드를 복사합니다.다음과 비슷한 모양이어야 합니다.
selector2._domainkey.example.com. IN TXT "v=DKIM1; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAwMaX6wMAk4iQoLNWiEkj0BrIRMDHXQ7743OQUOYZQqEXSs+jMGomOknAZJpjR8TwmYHVPbD+30QRw0qEiRY3hYcmKOCWZ/hTo+NQ8qj1CSc1LTMdV0HWAi2AGsVOT8BdFHkyxg40oyGWgktzc1q7zIgWM8usHfKVWFzYgnattNzyEqHsfI7lGilz5gdHBOvmF8LrDSfN" "KtGrTtvIxJM8pWeJm6pg6TM/cy0FypS2azkrl9riJcWWDvu38JXFL/eeYjGnB1zQeR5Pnbc3sVJd3cGaWx1bWjepyNQZ1PrS6Zwr7ZxSRa316Oxc36uCid5JAq0z+IcH4KkHqUueSGuGhwIDAQAB;"
- 변경 사항을 커밋합니다.
- 2단계에서 DKIM DNS TXT 레코드를 DNS에 제출합니다.
- DKIM DNS TXT 레코드가 완전히 전파될 때까지 기다립니다.
- Mail Policies(메일 정책) > Signing Profiles(서명 프로파일)로 이동합니다.
- "Test Profile(테스트 프로필)" 열에서 새 DKIM 서명 프로필에 대해 "Test(테스트)"를 클릭합니다.테스트가 성공하면 이 가이드를 계속 진행합니다.그렇지 않은 경우 DKIM DNS TXT 레코드가 완전히 전파되었는지 확인합니다.
DKIM 서명 켜기
DKIM 서명 메시지를 ESA로 구성했으므로 DKIM 서명을 설정할 수 있습니다.
- Mail Policies(메일 정책) > Mail Flow Policies(메일 플로우 정책)로 이동합니다.
- "Connection Behavior(연결 동작)"가 "Relay(릴레이)"인 각 메일 플로우 정책으로 이동하여 "Domain Key/DKIM Signing(도메인 키/DKIM 서명)"을 "On(켜기)"으로 전환합니다.
참고: 기본적으로 "Connection Behavior(연결 동작)"가 "Relay(릴레이)"인 유일한 메일 흐름 정책은 "Relayed(릴레이됨)"라는 메일 플로우 정책입니다. 여기서 기억해야 할 중요한 점은 DKIM은 발신 메시지만 서명한다는 것입니다.
- 변경 사항을 커밋합니다.
DKIM 통과를 확인하기 위해 메일 흐름 테스트
이제 DKIM 구성을 더 이상 수행할 수 없습니다.그러나 DKIM 서명을 테스트하여 예상대로 아웃바운드 메시지에 서명하고 DKIM 확인을 통과하는지 확인해야 합니다.
- ESA를 통해 DKIM이 ESA에서 서명하도록 하고 다른 호스트에서 DKIM을 확인하도록 메시지를 보냅니다.
- 메시지가 다른 쪽 끝에 수신되면 "Authentication-Results" 헤더에 대한 메시지 헤더를 확인합니다. 헤더의 DKIM 섹션을 찾아 DKIM 확인을 통과했는지 확인합니다.헤더는 다음과 비슷해야 합니다.
Authentication-Results: mx1.example.net; spf=SoftFail smtp.mailfrom=user1@example.net;
dkim=pass header.i=none; dmarc=fail (p=none dis=none) d=example.net
- 헤더 "DKIM-Signature(DKIM-서명)"를 찾고 올바른 선택기와 도메인이 사용되고 있는지 확인합니다.
DKIM-Signature: a=rsa-sha256; d=example.net; s=selector2;
c=simple; q=dns/txt; i=@example.net;
t=1117574938; x=1118006938;
h=from:to:subject:date;
bh=MTIzNDU2Nzg5MDEyMzQ1Njc4OTAxMjM0NTY3ODkwMTI=;
b=dzdVyOfAKCdLXdJOc9G2q8LoXSlEniSbav+yuU4zGeeruD00lszZ
VoG4ZHRNiYzR