기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# 이메일 인증 방법
Amazon Simple Email Service(Amazon SES)는 간이 전자 우편 전송 프로토콜(SMTP)을 사용하여 이메일을 보냅니다. SMTP는 자체적으로 인증을 제공하지 않으므로, 스패머가 실제 오리진을 숨기고 다른 사용자가 오리진인 것처럼 위장하여 이메일 메시지를 보낼 수 있습니다. 스패머는 이메일 헤더를 위조하고 IP 주소를 스푸핑하여 수신자가 수신하는 이메일 메시지가 진본이라고 믿도록 유도할 수 있습니다.
이메일 트래픽을 전달하는 ISP는 대부분 이메일이 합법적인지 여부를 평가하기 위한 조치를 취합니다. ISP가 취하는 이러한 조치 중 하나가 이메일 인증 여부를 확인하는 것입니다. 인증은 발신자가 이메일을 보내는 계정의 소유자가 본인임을 확인해야 하는 절차입니다. 경우에 따라 ISP는 인증되지 않은 이메일의 전달을 거부합니다. 최적의 발송률을 실현하려면 이메일을 인증할 것을 권장합니다.
**Topics**
+ [Amazon SES에서 DKIM을 사용하여 이메일 인증](send-email-authentication-dkim.md)
+ [Amazon SES에서 SPF를 사용하여 이메일 인증](send-email-authentication-spf.md)
+ [사용자 지정 MAIL FROM 도메인 사용](mail-from.md)
+ [Amazon SES의 DMARC 인증 프로토콜 준수](send-email-authentication-dmarc.md)
+ [Amazon SES에서 BIMI 사용하기](send-email-authentication-bimi.md)
# Amazon SES에서 DKIM을 사용하여 이메일 인증
*DomainKeys Identified Mail*(*DKIM*)은 특정 도메인에서 전송했다고 주장하는 이메일이 해당 도메인의 소유자가 실제로 승인했는지 확인하기 위해 고안된 이메일 보안 표준입니다. 퍼블릭 키 암호화를 사용하여 프라이빗 키를 사용한 이메일에 서명합니다. 그러면 수신자 서버는 도메인의 DNS에 게시된 퍼블릭 키를 사용하여 전송 중에 이메일의 일부가 수정되지 않았는지 확인할 수 있습니다.
DKIM 서명은 선택 사항입니다. DKIM 준수 이메일 공급자에서 배달 가능성을 개선하기 위해 DKIM 서명을 사용하여 이메일을 서명할 수 있습니다. Amazon SES는 DKIM 서명을 사용하여 메시지에 서명할 수 있는 세 가지 옵션을 제공합니다.
+ **Easy DKIM**: SES가 퍼블릭-프라이빗 키 페어를 생성하고 해당 자격 증명에서 보내는 모든 메시지에 DKIM 서명을 자동으로 추가합니다. [Amazon SES에서 Easy DKIM](send-email-authentication-dkim-easy.md) 섹션을 참조하세요.
+ **DEED(Deterministic Easy DKIM)**: DKIM 서명 속성을 Easy DKIM을 사용하는 상위 자격 증명으로 자동으로 상속하는 복제본 자격 증명을 생성 AWS 리전 하여 여러에서 일관된 DKIM 서명을 유지할 수 있습니다. 섹션을 참조하세요[Amazon SES에서 Deterministic Easy DKIM(DEED) 사용](send-email-authentication-dkim-deed.md).
+ **BYODKIM(자체 DKIM 사용)**: 사용자가 자체 퍼블릭-프라이빗 키 페어를 제공하면 SES가 해당 자격 증명에서 보내는 모든 메시지에 DKIM 서명을 추가합니다. [Amazon SES에 자체 DKIM 인증 토큰(BYODKIM) 제공](send-email-authentication-dkim-bring-your-own.md) 섹션을 참조하세요.
+ **DKIM 서명 수동 추가**: 사용자가 `SendRawEmail` API를 사용하여 전송하는 이메일에 자체 DKIM 서명을 추가합니다. [Amazon SES에서 수동 DKIM 서명](send-email-authentication-dkim-manual.md) 섹션을 참조하세요.
## DKIM 서명 키 길이
현재 많은 DNS 공급자가 DKIM 2048비트 RSA 암호화를 완벽하게 지원하므로 Amazon SES는 또한 이메일 인증을 보다 안전하게 수행할 수 있도록 DKIM 2048을 지원함으로써 API 또는 콘솔에서 Easy DKIM을 구성할 때 이를 기본 키 길이로 사용합니다. 2048비트 키는 BYODKIM(자체 DKIM 사용)에서 설정 및 사용할 수도 있습니다. 이때 서명 키 길이가 1024비트 이상이어야 하며 2048비트를 넘지 않아야 합니다.
Easy DKIM으로 구성된 경우 보안 및 이메일 전송 가능성을 위해 1024 및 2048비트 키 길이를 사용하도록 선택할 수 있으며 여전히 2048비트를 지원하지 않는 DNS 공급자에 의해 발생하는 문제가 있는 경우 1024비트로 되돌릴 수 있는 유연성도 제공합니다. *새 ID를 만들 때 1024비트를 지정하지 않으면 기본적으로 DKIM 2048비트를 사용하여 만들어집니다.*
전송 중인 이메일의 전송 가능성을 유지하기 위해 사용자의 DKIM 키 길이를 변경할 수 있는 빈도에는 제한이 있습니다. 제한 사항은 다음과 같습니다.
+ 이미 구성된 것과 동일한 키 길이로 전환할 수 없습니다.
+ 24시간 동안 두 번 이상 다른 키 길이로 전환할 수 없습니다(해당 기간 동안 첫 번째 다운그레이드가 1024비트로 이루어지지 않은 경우).
이메일이 전송 중일 때 DNS는 퍼블릭 키를 사용하여 이메일 인증합니다. 따라서 키를 너무 빠르게 또는 자주 변경하면 이전 키가 이미 무효화되어 DNS가 이메일을 DKIM 인증하지 못할 수 있으므로 이러한 제한 사항으로 인해 보호됩니다.
## DKIM 고려 사항
DKIM을 사용하여 이메일을 인증할 때 다음 규칙이 적용됩니다.
+ 'From' 주소에 사용하는 도메인에 대해서만 DKIM을 설정하면 됩니다. 'Return-Path' 또는 'Reply-to' 주소에 사용하는 도메인에 대해서는 DKIM을 사용하지 않아도 됩니다.
+ Amazon SES는 여러 AWS 리전에서 사용할 수 있습니다. 둘 이상의 AWS 리전을 사용하여 이메일을 보내는 경우 모든 이메일이 DKIM 서명되도록 각 모든 리전에서 DKIM 설정 프로세스를 완료해야 합니다.
+ DKIM 속성은 상위 도메인에서 상속되기 때문에 DKIM 인증을 사용하여 도메인을 확인할 때 다음을 수행합니다.
+ DKIM 인증은 해당 도메인의 모든 하위 도메인에도 적용됩니다.
+ 하위 도메인에 대한 DKIM 설정은 하위 도메인에서 DKIM 인증을 사용하고 싶지 않은 경우 상속을 사용 중지하여 상위 도메인 설정을 재정의할 수 있습니다. 상속 기능은 나중에 다시 사용 설정할 수 있습니다.
+ DKIM 인증은 주소에서 DKIM 확인 도메인을 참조하는 이메일 자격 증명에서 보낸 모든 이메일에도 적용됩니다.
+ 이메일 주소에 대한 DKIM 설정은 DKIM 인증 없이 메일을 보내려고 하는 경우 하위 도메인(해당하는 경우) 및 상위 도메인에 대한 설정을 상속 사용 중지하여 재정의할 수 있습니다. 상속 기능은 나중에 다시 사용 설정할 수 있습니다.
## 상속된 DKIM 서명 속성 이해
Easy DKIM 또는 BYODKIM이 사용되는지 여부에 관계없이 해당 도메인이 DKIM으로 구성된 경우 이메일 주소 자격 증명이 상위 도메인에서 DKIM 서명 속성을 상속한다는 점을 먼저 이해하는 것이 중요합니다. 따라서 이메일 주소 자격 증명에 대해 DKIM 서명을 사용 중지하거나 사용하면 다음과 같은 주요 요인에 따라 도메인의 DKIM 서명 속성이 재정의됩니다.
+ 이메일 주소가 속하는 도메인에 대해 DKIM을 이미 설정한 경우 해당 이메일 주소 자격 증명에 대해 DKIM 서명을 사용할 필요가 없습니다.
+ 도메인에 대해 DKIM을 설정하면 Amazon SES가 상위 도메인에서 상속한 DKIM 속성을 통해 해당 도메인의 모든 주소에서 보내는 모든 이메일을 자동으로 인증합니다.
+ 특정 이메일 주소 자격 증명의 DKIM 설정은 해당 이메일이 속한 *상위 도메인 또는 하위 도메인(해당하는 경우)의 설정을 자동으로 재정의*합니다.
이메일 주소 자격 증명의 DKIM 서명 속성은 상위 도메인에서 상속되므로 이러한 속성을 재정의하려는 경우 아래 표에서 설명하는 대로 재정의의 계층적 규칙을 고려해야 합니다.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/ses/latest/dg/send-email-authentication-dkim.html)
일반적으로 DKIM 서명을 사용 중지하는 것은 권장되지 않으며 보낸 메일이 정크 또는 스팸 폴더로 이동하거나 도메인이 스푸핑될 위험이 높아집니다.
그러나 DKIM 서명을 영구적으로 또는 일시적으로 사용 중지하거나 나중에 다시 사용해야 할 수 있는 특정 사용 사례 또는 예외적인 비즈니스 결정에 대해 이메일 주소 자격 증명에서 도메인이 상속한 DKIM 서명 속성을 재정의하는 기능이 있습니다. [이메일 주소 자격 증명의 상속된 DKIM 서명 재정의](send-email-authentication-dkim-easy-managing.md#send-email-authentication-dkim-easy-setup-email)을(를) 참조하세요.
# Amazon SES에서 Easy DKIM
도메인 자격 증명에 대해 Easy DKIM을 설정하면 Amazon SES는 사용자가 해당 자격 증명에서 보내는 모든 이메일에 2048비트 DKIM 키를 자동으로 추가합니다. Amazon SES 콘솔을 사용하거나 API를 사용하여 Easy DKIM을 구성할 수 있습니다.
**참고**
Easy DKIM을 설정하려면 도메인의 DNS 설정을 수정해야 합니다. Route 53을 DNS 공급자로 사용하는 경우 Amazon SES가 해당 레코드를 자동으로 생성할 수 있습니다. 다른 DNS 공급자를 사용하는 경우 해당 공급자의 설명서에서 도메인의 DNS 설정 변경에 대해 자세히 알아보세요.
**주의**
현재 BYODKIM을 사용하는데 Easy DKIM으로 전환하는 경우 Easy DKIM이 설정 중이고 DKIM 상태가 보류 중인 동안에는 Amazon SES가 BYODKIM을 사용하여 이메일에 서명하지 않습니다. API 또는 콘솔을 통해 Easy DKIM을 사용 설정하도록 호출하는 시점부터 SES가 DNS 구성을 확인할 수 있는 시점까지는 SES에서 DKIM 서명 없이 이메일이 전송될 수 있습니다. 따라서 중간 단계를 사용하여 한 DKIM 서명 방법에서 다른 DKIM 서명 방법으로 마이그레이션하거나(예: BYODKIM이 사용 설정된 도메인의 하위 도메인을 사용한 다음 Easy DKIM 확인이 통과되면 삭제) 애플리케이션의 가동 중지 시간 동안(있는 경우) 이 작업을 수행하는 것이 좋습니다.
## 검증된 도메인 자격 증명에 대해 Easy DKIM 설정
이 섹션의 절차는 이미 만든 도메인 자격 증명에 Easy DKIM을 구성하는 데 필요한 단계를 보여주기 위해 간소화되었습니다. 도메인 자격 증명을 아직 생성하지 않았거나 기본 구성 집합, 사용자 지정 MAIL FROM 도메인 및 태그 사용과 같이 도메인 자격 증명을 사용자 지정하는 데 사용할 수 있는 모든 옵션을 보려면 [도메인 자격 증명 생성](creating-identities.md#verify-domain-procedure) 단원을 참조하세요.
Easy DKIM 도메인 자격 증명을 생성하는 과정의 일부는 Amazon SES 기본값 2048비트를 허용하거나 1024비트를 선택하여 기본값을 무시하도록 선택할 수 있는 DKIM 기반 확인을 구성하는 것입니다. DKIM 서명 키 길이 및 키 변경 방법에 대해 자세히 알아보려면 [DKIM 서명 키 길이](send-email-authentication-dkim.md#send-email-authentication-dkim-1024-2048)을 참조하십시오.
**도메인에 대해 Easy DKIM을 설정하려면**
1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/) Amazon SES 콘솔을 엽니다.
1. 탐색 창의 **구성** 아래에서 **ID**를 선택합니다.
1. 자격 증명 목록에서 **자격 증명** 유형이 *도메인*인 자격 증명을 선택합니다.
**참고**
도메인을 생성하거나 확인해야 하는 경우 [도메인 자격 증명 생성](creating-identities.md#verify-domain-procedure) 단원을 참조하십시오.
1. **DKIM(DomainKeys Identified Mail)** 컨테이너의 **인증** 탭 아래에서 **Edit(편집)**를 선택합니다.
1. **고급 DKIM 설정** 컨테이너에서 **자격 증명 유형** 필드의 **Easy DKIM** 버튼을 선택합니다.
1. **DKIM 서명 키 길이** 필드에서 [**RSA\$12048\$1BIT** 또는 **RSA\$11024\$1BIT**](send-email-authentication-dkim.md#send-email-authentication-dkim-1024-2048)를 선택합니다.
1. **DKIM 서명** 필드에서 **Enabled(활성화됨)** 상자를 확인합니다.
1. **Save changes(변경 사항 저장)**를 선택합니다.
1. Easy DKIM을 사용하여 도메인 자격 증명을 구성했으므로 DNS 공급자로 확인 프로세스를 완료해야 합니다. [DNS 공급자로 DKIM 도메인 자격 증명 확인](creating-identities.md#just-verify-domain-proc) 섹션으로 진행하여 Easy DKIM에 대한 DNS 인증 절차를 따릅니다.
## 자격 증명에 대한 Easy DKIM 서명 키 길이 변경
이 섹션의 절차에서는 서명 알고리즘에 필요한 Easy DKIM 비트를 쉽게 변경하는 방법을 보여줍니다. 보안 강화를 위해 2048비트의 서명 길이가 항상 선호되지만 DKIM 1024만 지원하는 DNS 공급자를 사용해야 하는 경우와 같이 1024비트 길이를 사용해야 할 경우가 있습니다.
전송 중인 이메일의 전송 가능성을 유지하기 위해 DKIM 키 길이를 변경하거나 되돌릴 수 있는 빈도에 제한이 있습니다.
이메일이 전송 중일 때 DNS는 퍼블릭 키를 사용하여 이메일 인증합니다. 따라서 키를 너무 빠르게 또는 자주 변경하면 이전 키가 이미 무효화되어 DNS가 이메일을 DKIM 인증하지 못할 수 있으므로 다음과 같은 제한 사항으로 인해 보호됩니다.
+ 이미 구성된 것과 동일한 키 길이로 전환할 수 없습니다.
+ 24시간 동안 두 번 이상 다른 키 길이로 전환할 수 없습니다(해당 기간 동안 첫 번째 다운그레이드가 1024비트로 이루어지지 않은 경우).
다음 절차를 사용하여 키 길이를 변경할 때 이러한 제한 사항 중 하나를 위반하면 콘솔은 *입력한 입력이 유효하지 않습니다(the input you provided is invalid)*라는 오류 메시지와 유효하지 않은 이유를 표시합니다.
**DKIM 서명 키 길이 비트를 변경하려면**
1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/) Amazon SES 콘솔을 엽니다.
1. 탐색 창의 **구성** 아래에서 **Verified identities(확인된 자격 증명)**를 선택합니다.
1. 자격 증명 목록에서 DKIM 서명 키 길이를 변경하려는 자격 증명을 선택합니다.
1. **DomainKeys Identified Mail(DKIM)** 컨테이너의 **인증** 탭 아래에서 **Edit(편집)**를 선택합니다.
1. **고급 DKIM 설정** 컨테이너의 **DKIM 서명 키 길이** 필드에서 [**RSA\$12048\$1BIT** 또는**RSA\$11024\$1BIT**](send-email-authentication-dkim.md#send-email-authentication-dkim-1024-2048) 중 하나를 선택합니다.
1. **변경 사항 저장**을 선택합니다.
# Amazon SES에서 Deterministic Easy DKIM(DEED) 사용
DEED(Deterministic Easy DKIM)는 여러에서 DKIM 구성을 관리하기 위한 솔루션을 제공합니다 AWS 리전. DNS 관리를 간소화하고 일관된 DKIM 서명을 보장함으로써 DEED는 강력한 이메일 인증 관행을 유지하면서 다중 리전 이메일 전송 작업을 간소화하는 데 도움이 됩니다.
## Deterministic Easy DKIM(DEED)이란 무엇인가요?
DEED(Deterministic Easy DKIM)는 Easy DKIM으로 구성된 상위 도메인을 AWS 리전 기반으로 모든에서 일관된 DKIM 토큰을 생성하는 기능입니다. [Amazon SES에서 Easy DKIM](send-email-authentication-dkim-easy.md) 이를 통해 현재 Easy DKIM으로 구성된 상위 자격 증명과 동일한 DKIM 서명 구성을 AWS 리전 자동으로 상속하고 유지하는 다른에서 자격 증명을 복제할 수 있습니다. DEED를 사용하면 상위 ID에 대해 DNS 레코드를 한 번만 게시하면 되며, 복제본 ID는 동일한 DNS 레코드를 사용하여 도메인 소유권을 확인하고 DKIM 서명을 관리합니다.
DNS 관리를 간소화하고 일관된 DKIM 서명을 보장함으로써 DEED는 최선의 이메일 인증 관행을 유지하면서 다중 리전 이메일 전송 작업을 간소화하는 데 도움이 됩니다.
DEED에 대해 말할 때 사용되는 용어:
+ **상위 ID** - 복제본 ID에 대한 DKIM 구성의 소스 역할을 하는 Easy DKIM으로 구성된 확인된 ID입니다.
+ **복제본 ID** - 동일한 DNS 설정 및 DKIM 서명 구성을 공유하는 상위 ID의 사본입니다.
+ **상위 리전** - 상위 ID가 설정된 AWS 리전 입니다.
+ **복제본 리전** - 복제본 ID가 설정된 AWS 리전 입니다.
+ **DEED ID** - 상위 ID 또는 복제본 ID로 사용되는 모든 ID입니다. (새 ID가 생성되면 처음에는 일반(비 DEED) ID로 처리됩니다. 하지만 복제본이 생성되면 ID가 DEED ID로 간주됩니다.)
DEED 사용의 주요 이점은 다음과 같습니다.
+ **간소화된 DNS 관리** - 상위 ID에 대해 DNS 레코드를 한 번만 게시합니다.
+ **더 쉬운 다중 리전 작업** - 이메일 전송 작업을 새 리전으로 확장하는 프로세스를 간소화합니다.
+ **관리 오버헤드 감소** - 상위 ID에서 DKIM 구성을 중앙에서 관리합니다.
## Deterministic Easy DKIM(DEED) 작동 방식
복제본 ID를 생성하면 Amazon SES는 상위 ID에서 복제본 ID로 DKIM 서명 키를 자동으로 복제합니다. 상위 ID에 대한 후속 DKIM 키 교체 또는 키 길이 변경은 모든 복제본 ID에 자동으로 전파됩니다.
프로세스는 다음 워크플로로 구성됩니다.
1. Easy DKIM을 AWS 리전 사용하여에서 상위 자격 증명을 생성합니다.
1. 상위 ID에 필요한 DNS 레코드를 설정합니다.
1. 다른에서 복제본 자격 증명을 생성하여 상위 자격 증명의 도메인 이름과 DKIM 서명 리전을 AWS 리전지정합니다.
1. Amazon SES는 상위의 DKIM 구성을 복제본 ID에 자동으로 복제합니다.
중요 고려 사항:
+ 이미 복제본인 ID의 복제본은 생성할 수 없습니다.
+ 상위 ID에는 [Easy DKIM](send-email-authentication-dkim-easy.md)이 활성화되어 있어야 합니다. BYODKIM 또는 수동으로 서명된 ID의 복제본을 생성할 수 없습니다.
+ 모든 복제본 ID가 삭제될 때까지 상위 ID를 삭제할 수 없습니다.
## DEED를 사용하여 복제본 ID 설정
이 섹션에서는 필요한 권한과 함께 DEED를 사용하여 복제본 ID를 생성하고 확인하는 방법을 보여 주는 예제를 제공합니다.
**Topics**
+ [복제본 ID 생성](#creating-replica-identity)
+ [복제본 ID 구성 확인](#verifying-replica-identity)
+ [DEED를 사용하는 데 필요한 권한](#required-permissions)
### 복제본 ID 생성
복제본 ID 생성:
1. 복제본 자격 증명을 생성하려는 AWS 리전 에서 [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/) SES 콘솔을 엽니다.
(SES 콘솔에서는 복제본 ID를 *글로벌 ID가*라고 합니다.)
1. 탐색 창에서 **ID**를 선택합니다.
1. **자격 증명 생성(Create identity)**을 선택합니다.
1. **ID 유형**에서 **도메인**을 선택하고 복제하여 상위로 사용할 Easy DKIM으로 구성된 기존 ID의 도메인 이름을 입력합니다.
1. **고급 DKIM 설정**을 확장하고 **Deterministic Easy DKIM**을 선택합니다.
1. **상위 리전** 드롭다운 메뉴에서 글로벌(복제본) ID에 입력한 것과 동일한 이름의 Easy DKIM 서명 ID가 있는 상위 리전을 선택합니다. (복제 리전은 기본적으로 SES 콘솔에 로그인한 리전으로 설정됩니다.)
1. **DKIM 서명**이 활성화되어 있는지 확인합니다.
1. (선택 사항) 도메인 ID에 하나 이상의 **태그**를 추가합니다.
1. 구성을 살펴본 후 **ID 생성**을 선택합니다.
사용 AWS CLI:
Easy DKIM으로 구성된 상위 ID를 기반으로 복제본 ID를 생성하려면 다음 예제와 같이 상위 도메인 이름, 복제본 ID를 생성하려는 리전 및 상위 DKIM 서명 리전을 지정해야 합니다.
```
aws sesv2 create-email-identity --email-identity example.com --region us-west-2 --dkim-signing-attributes '{"DomainSigningAttributesOrigin": "AWS_SES_US_EAST_1"}'
```
이전 예제에서:
1. *example.com*을 복제 중인 상위 도메인 ID로 바꿉니다.
1. *us-west-2*를 복제본 도메인 ID가 생성될 리전으로 바꿉니다.
1. *AWS\$1SES\$1US\$1EAST\$11*을 복제본 ID에 복제될 Easy DKIM 서명 구성을 나타내는 상위의 DKIM 서명 리전으로 바꿉니다.
**참고**
`AWS_SES_` 접두사는 DKIM이 Easy DKIM을 사용하여 상위 자격 증명에 대해 구성되었음을 나타내며 `US_EAST_1`가 생성된 AWS 리전 입니다.
### 복제본 ID 구성 확인
복제본 ID를 생성한 후 상위 ID의 DKIM 서명 구성으로 올바르게 구성되었는지 확인할 수 있습니다.
**복제본 ID 확인:**
1. 복제본 자격 증명을 생성한 AWS 리전 에서 [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/) SES 콘솔을 엽니다.
1. 탐색 창의 **ID**를 선택하고 ID 테이블에서 확인하려는 **ID**를 선택합니다.
1. **인증** 탭에서 **DKIM 구성** 필드는 상태를 나타내고 **상위 리전** 필드는 DEED를 사용하여 ID의 DKIM 서명 구성에 사용 중인 리전을 나타냅니다.
사용 AWS CLI:
복제본의 도메인 이름과 리전을 지정하는 `get-email-identity` 명령을 사용합니다.
```
aws sesv2 get-email-identity --email-identity example.com --region us-west-2
```
응답에는 복제본 ID가 상위 ID의 DKIM 서명 구성으로 성공적으로 구성되었음을 나타내는 `SigningAttributesOrigin` 파라미터의 상위 리전 값이 포함됩니다.
```
{
"DkimAttributes": {
"SigningAttributesOrigin": "AWS_SES_US_EAST_1"
}
}
```
### DEED를 사용하는 데 필요한 권한
DEED를 사용하려면 다음이 필요합니다.
1. 복제본 리전에서 이메일 ID를 생성하기 위한 표준 권한.
1. 상위 리전에서 DKIM 서명 키를 복제할 수 있는 권한.
#### DKIM 복제를 위한 IAM 정책 예제
다음 정책은 상위 ID에서 지정된 복제본 리전으로의 DKIM 서명 키 복제를 허용합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowDKIMReplication",
"Effect": "Allow",
"Action": "ses:ReplicateEmailIdentityDKIMSigningKey",
"Resource": "arn:aws:ses:us-east-1:123456789124:identity/example.com",
"Condition": {
"ForAllValues:StringEquals": {
"ses:ReplicaRegion": ["us-east-1", "us-east-1"]
}
}
}
]
}
```
------
## 모범 사례
다음은 권장 모범 사례입니다.
+ **상위 및 복제본 리전 계획** - 복제본 리전에 사용되는 DKIM 구성의 출처가 되므로 선택한 상위 리전을 고려합니다.
+ **일관된 IAM 정책 사용** - IAM 정책이 의도한 모든 리전에서 DKIM 복제를 허용하는지 확인합니다.
+ **상위 ID를 활성 상태로 유지** - 복제본 ID는 상위 ID의 DKIM 서명 구성을 상속합니다. 이 종속성으로 인해 모든 복제본 ID가 삭제될 때까지 상위 ID를 삭제할 수 없습니다.
## 문제 해결
DEED에 문제가 발생하면 다음을 고려하세요.
+ **확인 오류** - DKIM 복제에 필요한 권한이 있는지 확인합니다.
+ **복제 지연** - 특히 새 복제본 ID를 생성할 때 복제가 완료될 때까지 잠시 기다립니다.
+ **DNS 문제** - 상위 ID에 대한 DNS 레코드가 올바르게 설정 및 전파되었는지 확인합니다.
# Amazon SES에 자체 DKIM 인증 토큰(BYODKIM) 제공
[Easy DKIM](send-email-authentication-dkim-easy.md)을 사용하는 대신 자체 퍼블릭-프라이빗 키 페어를 사용하여 DKIM 인증을 구성할 수 있습니다. 이 프로세스는 *자체 DKIM 사용*(*BYODKIM*)이라고 합니다.
BYODKIM을 사용하면 세 개의 개별 DNS 레코드를 게시해야 하는 Easy DKIM과 달리 단일 DNS 레코드를 사용하여 도메인에 대한 DKIM 인증을 구성할 수 있습니다. 또한 BYODKIM을 사용하면 도메인의 DKIM 키를 원하는 만큼 자주 교체할 수 있습니다.
**Topics**
+ [1단계: 키 페어 생성](#send-email-authentication-dkim-bring-your-own-create-key-pair)
+ [2단계: DNS 공급자의 도메인 구성에 선택기 및 퍼블릭 키 추가](#send-email-authentication-dkim-bring-your-own-update-dns)
+ [3단계: BYODKIM을 사용하도록 도메인 구성 및 확인](#send-email-authentication-dkim-bring-your-own-configure-identity)
**주의**
현재 Easy DKIM을 사용하는데 BYODKIM으로 전환하는 경우 BYODKIM이 설정 중이고 DKIM 상태가 보류 중인 동안에는 Amazon SES가 Easy DKIM을 사용하여 이메일에 서명하지 않습니다. API 또는 콘솔을 통해 BYODKIM을 사용 설정하도록 호출하는 시점부터 SES가 DNS 구성을 확인할 수 있는 시점까지는 SES에서 DKIM 서명 없이 이메일이 전송될 수 있습니다. 따라서 중간 단계를 사용하여 한 DKIM 서명 방법에서 다른 DKIM 서명 방법으로 마이그레이션하거나(예: Easy DKIM이 사용 설정된 도메인의 하위 도메인을 사용한 다음 BYODKIM 확인이 통과되면 삭제) 애플리케이션의 가동 중지 시간 동안(있는 경우) 이 작업을 수행하는 것이 좋습니다.
## 1단계: 키 페어 생성
BYODKIM 기능을 사용하려면 먼저 RSA 키 페어를 생성해야 합니다.
생성하는 프라이빗 키는 PKCS \$11 또는 PKCS \$18 형식이어야 하며 최소 1024비트 RSA 암호화와 최대 2048비트를 사용하고 base64[(PEM)](https://en.wikipedia.org/wiki/Privacy-Enhanced_Mail) 인코딩을 사용하여 인코딩해야 합니다. DKIM 서명 키 길이 및 키 변경 방법에 대해 자세히 알아보려면 [DKIM 서명 키 길이](send-email-authentication-dkim.md#send-email-authentication-dkim-1024-2048) 단원을 참조하십시오.
**참고**
프라이빗 키가 최소 1024비트 RSA 암호화 및 최대 2048비트로 생성되고 base64[(PEM)](https://en.wikipedia.org/wiki/Privacy-Enhanced_Mail) 인코딩을 사용하여 인코딩된 경우 서드 파티 애플리케이션 및 도구를 사용하여 RSA 키 페어를 생성할 수 있습니다.
다음 절차에서 대부분의 Linux, macOS 또는 Unix 운영 체제에 내장된 `openssl genrsa` 명령을 사용하여 키 페어를 생성하는 예제 코드는 자동으로 base64[(PEM)](https://en.wikipedia.org/wiki/Privacy-Enhanced_Mail) 인코딩을 사용합니다.
**Linux, macOS 또는 Unix 명령줄에서 키 페어를 생성하려면**
1. 명령줄에 다음 명령을 입력하여 최대 1024비트에서 최대 2048비트를 지닌 *nnnn* 비트로 대체하는 프라이빗 키를 생성합니다.
```
openssl genrsa -f4 -out private.key nnnn
```
1. 명령줄에 다음 명령을 입력하여 퍼블릭 키를 생성합니다.
```
openssl rsa -in private.key -outform PEM -pubout -out public.key
```
## 2단계: DNS 공급자의 도메인 구성에 선택기 및 퍼블릭 키 추가
키 페어를 생성했으면 이제 도메인의 DNS 구성에 퍼블릭 키를 TXT 레코드로 추가해야 합니다.
**도메인의 DNS 구성에 퍼블릭 키를 추가하려면**
1. DNS 또는 호스팅 공급자의 관리 콘솔에 로그인합니다.
1. 도메인의 DNS 구성에 새로운 텍스트 레코드를 추가합니다. 레코드는 다음 형식을 사용해야 합니다.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/ses/latest/dg/send-email-authentication-dkim-bring-your-own.html)
이전 예제에서 다음과 같이 변경합니다.
+ *selector*를 키를 식별하는 고유 이름으로 바꿉니다.
**참고**
소수의 DNS 공급자는 레코드 이름에 밑줄(\$1)을 포함하는 것을 허용하지 않습니다. 그러나 DKIM 레코드 이름에서 밑줄은 필수입니다. DNS 공급자가 레코드 이름에 밑줄을 입력하는 것을 허용하지 않는 경우 해당 공급자의 고객 지원 팀에 문의하세요.
+ *example.com*을 도메인으로 바꿉니다.
+ *yourPublicKey*를 이전에 생성한 퍼블릭 키로 바꾸고 위의 *값(Value)* 열에 표시된 대로 `p=` 접두사를 포함합니다.
**참고**
DNS 공급자에 퍼블릭 키를 게시(추가)할 때는 다음과 같은 형식을 사용해야 합니다.
생성된 퍼블릭 키의 첫 번째 줄(`-----BEGIN PUBLIC KEY-----`)과 마지막 줄(`-----END PUBLIC KEY-----`)을 삭제해야 합니다. 또한 생성된 퍼블릭 키에서 줄 바꿈을 제거해야 합니다. 결과 값은 공백이나 줄 바꿈이 없는 문자열입니다.
위 테이블의 *값(Value)* 열에 표시된 대로 `p=` 접두사를 포함해야 합니다.
공급자마다 DNS 레코드를 업데이트하는 절차가 다릅니다. 다음 표에는 널리 사용되는 몇몇 DNS 공급자의 설명서에 대한 링크가 포함되어 있습니다. 이는 전체 목록이 아니며 목록에 포함되어 있다고 해서 해당 공급자를 승인하는 것은 아닙니다. 마찬가지로 DNS 공급자가 목록에 없는 경우에도 Amazon SES에서 도메인을 사용할 수 없다는 의미는 아닙니다.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/ses/latest/dg/send-email-authentication-dkim-bring-your-own.html)
## 3단계: BYODKIM을 사용하도록 도메인 구성 및 확인
콘솔 또는 AWS CLI를 사용하여 새 도메인(즉, 현재 Amazon SES를 통해 이메일을 보내는 데 사용하지 않는 도메인)과 기존 도메인(즉, Amazon SES에서 사용하도록 이미 설정한 도메인) 모두에 대해 BYODKIM을 설정할 수 있습니다. 이 섹션의 AWS CLI 절차를 사용하기 전에 먼저를 설치하고 구성해야 합니다 AWS CLI. 자세한 내용은 [AWS Command Line Interface 사용 설명서를](https://docs.aws.amazon.com/cli/latest/userguide/) 참조하세요.
### 옵션 1: BYODKIM을 사용하는 새 도메인 자격 증명 생성
이 단원에서는 BYODKIM을 사용하는 새 도메인 자격 증명을 생성하는 절차에 대해 설명합니다. 새 도메인 자격 증명은 이전에 Amazon SES를 사용하여 이메일을 보내도록 설정하지 않은 도메인입니다.
BYODKIM을 사용하도록 기존 도메인을 구성하려면 대신 [옵션 2: 기존 도메인 자격 증명 구성](#send-email-authentication-dkim-bring-your-own-configure-identity-existing-domain) 절차를 완료하세요.
**콘솔에서 BYODKIM을 사용하여 자격 증명을 생성하려면**
+ [도메인 자격 증명 생성](creating-identities.md#verify-domain-procedure)의 절차를 따르고 8단계에 도달하면 BYODKIM 관련 지침을 따릅니다.
**에서 BYODKIM을 사용하여 자격 증명을 생성하려면 AWS CLI**
새 도메인을 구성하려면 Amazon SES API의 `CreateEmailIdentity` 작업을 사용합니다.
1. 텍스트 편집기에서 다음 코드를 붙여 넣습니다.
```
{
"EmailIdentity":"example.com",
"DkimSigningAttributes":{
"DomainSigningPrivateKey":"privateKey",
"DomainSigningSelector":"selector"
}
}
```
이전 예제에서 다음과 같이 변경합니다.
+ *example.com*을 생성하려는 도메인으로 바꿉니다.
+ *privateKey*를 해당 프라이빗 키로 바꿉니다.
**참고**
생성된 프라이빗 키의 첫 번째 줄(`-----BEGIN PRIVATE KEY-----`)과 마지막 줄(`-----END PRIVATE KEY-----`)을 삭제해야 합니다. 또한 생성된 프라이빗 키에서 줄 바꿈을 제거해야 합니다. 결과 값은 공백이나 줄 바꿈이 없는 문자열입니다.
+ *selector*를 도메인에 대한 DNS 구성에서 TXT 레코드를 생성할 때 지정한 고유 선택기로 바꿉니다.
작업을 마치면 파일 이름을 `create-identity.json`(으)로 저장합니다.
1. 명령줄에 다음 명령을 입력합니다.
```
aws sesv2 create-email-identity --cli-input-json file://path/to/create-identity.json
```
앞의 명령에서 *path/to/create-identity.json*을 이전 단계에서 생성한 파일의 전체 경로로 바꿉니다.
### 옵션 2: 기존 도메인 자격 증명 구성
이 단원에서는 BYODKIM을 사용하도록 기존 도메인 자격 증명을 업데이트하는 절차에 대해 설명합니다. 기존 도메인 자격 증명은 Amazon SES를 사용하여 이메일을 보내도록 이미 설정한 도메인입니다.
**콘솔에서 BYODKIM을 사용하여 도메인 ID를 업데이트하려면**
1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/) Amazon SES 콘솔을 엽니다.
1. 탐색 창의 **구성** 아래에서 **Verified identities(확인된 자격 증명)**를 선택합니다.
1. 자격 증명 목록에서 **자격 증명** 유형이 *도메인*인 자격 증명을 선택합니다.
**참고**
도메인을 생성하거나 확인해야 하는 경우 [도메인 자격 증명 생성](creating-identities.md#verify-domain-procedure) 단원을 참조하십시오.
1. **도메인키 식별 메일(DKIM)((DomainKeys Identified Mail(DKIM))** 창의 **인증(Authentication)** 탭 아래에서 **편집(Edit)**을 선택합니다.
1. **고급 DKIM 설정(Advanced DKIM settings)** 창에서 **자격 증명 유형(Identity type)** 필드의 **DKIM 인증 토큰 제공(Provide DKIM authentication token)** 버튼을 선택합니다.
1. **프라이빗 키(Private key)**에 이전에 생성한 프라이빗 키를 붙여 넣습니다.
**참고**
생성된 프라이빗 키의 첫 번째 줄(`-----BEGIN PRIVATE KEY-----`)과 마지막 줄(`-----END PRIVATE KEY-----`)을 삭제해야 합니다. 또한 생성된 프라이빗 키에서 줄 바꿈을 제거해야 합니다. 결과 값은 공백이나 줄 바꿈이 없는 문자열입니다.
1. **선택기 이름**의 경우, 도메인의 DNS 설정에서 지정한 선택기 이름을 입력합니다.
1. **DKIM 서명** 필드에서 **Enabled(활성화됨)** 상자를 확인합니다.
1. **Save changes(변경 사항 저장)**를 선택합니다.
**에서 BYODKIM을 사용하여 도메인 자격 증명을 업데이트하려면 AWS CLI**
기존 도메인을 구성하려면 Amazon SES API의 `PutEmailIdentityDkimSigningAttributes` 작업을 사용합니다.
1. 텍스트 편집기에서 다음 코드를 붙여 넣습니다.
```
{
"SigningAttributes":{
"DomainSigningPrivateKey":"privateKey",
"DomainSigningSelector":"selector"
},
"SigningAttributesOrigin":"EXTERNAL"
}
```
이전 예제에서 다음과 같이 변경합니다.
+ *privateKey*를 해당 프라이빗 키로 바꿉니다.
**참고**
생성된 프라이빗 키의 첫 번째 줄(`-----BEGIN PRIVATE KEY-----`)과 마지막 줄(`-----END PRIVATE KEY-----`)을 삭제해야 합니다. 또한 생성된 프라이빗 키에서 줄 바꿈을 제거해야 합니다. 결과 값은 공백이나 줄 바꿈이 없는 문자열입니다.
+ *selector*를 도메인에 대한 DNS 구성에서 TXT 레코드를 생성할 때 지정한 고유 선택기로 바꿉니다.
작업을 마치면 파일 이름을 `update-identity.json`(으)로 저장합니다.
1. 명령줄에 다음 명령을 입력합니다.
```
aws sesv2 put-email-identity-dkim-signing-attributes --email-identity example.com --cli-input-json file://path/to/update-identity.json
```
위의 명령에서 다음과 같이 변경하세요.
+ *path/to/update-identity.json*을 이전 단계에서 생성한 파일의 전체 경로로 바꿉니다.
+ *example.com*을 업데이트하려는 도메인으로 바꿉니다.
### BYODKIM을 사용하는 도메인의 DKIM 상태 확인
**콘솔에서 도메인의 DKIM 상태를 확인하려면**
BYODKIM을 사용하도록 도메인을 구성한 후 SES 콘솔을 사용하여 DKIM이 제대로 구성되었는지 확인할 수 있습니다.
1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/) Amazon SES 콘솔을 엽니다.
1. 탐색 창의 **구성** 아래에서 **Verified identities(확인된 ID)**를 선택합니다.
1. 자격 증명 목록에서 DKIM 상태를 확인하려는 자격 증명을 선택합니다.
1. DNS 설정에 대한 변경 사항이 배포되려면 최대 72시간이 소요될 수 있습니다. Amazon SES가 도메인 DNS 설정에서 이러한 DKIM 레코드를 모두 감지하면 확인 프로세스가 완료됩니다. 모든 것이 올바르게 구성된 경우 **도메인키 식별 메일(DKIM)** 창에서 도메인의 **DKIM 구성** 필드에 **성공**이 표시되고 **요약** 창에서 **ID 상태** 필드에 **확인됨**이 표시됩니다.
**를 사용하여 도메인의 DKIM 상태를 확인하려면 AWS CLI**
BYODKIM을 사용하도록 도메인을 구성한 후 GetEmailIdentity 작업을 사용하여 DKIM이 제대로 구성되었는지 확인할 수 있습니다.
+ 명령줄에 다음 명령을 입력합니다.
```
aws sesv2 get-email-identity --email-identity example.com
```
앞의 명령에서 *example.com*을 해당 도메인으로 바꿉니다.
이 명령은 다음 예제와 유사한 섹션이 포함된 JSON 객체를 반환합니다.
```
{
...
"DkimAttributes": {
"SigningAttributesOrigin": "EXTERNAL",
"SigningEnabled": true,
"Status": "SUCCESS",
"Tokens": [ ]
},
...
}
```
다음 사항이 모두 true일 경우 BYODKIM이 도메인에 대해 올바르게 구성된 것입니다.
+ `SigningAttributesOrigin` 속성의 값이 `EXTERNAL`입니다.
+ `SigningEnabled`의 값이 `true`입니다.
+ `Status`의 값이 `SUCCESS`입니다.
# Easy DKIM 및 BYODKIM 관리
자격 증명 인증을 위한 DKIM 설정은 웹 기반 Amazon SES 콘솔이나 Amazon SES API를 사용하여 Easy DKIM 또는 BYODKIM으로 관리할 수 있습니다. 이러한 방법 중 하나를 사용하여 자격 증명의 DKIM 레코드를 얻거나, 자격 증명에 대해 DKIM 서명을 사용하거나 사용 중지할 수 있습니다.
## 자격 증명의 DKIM 레코드 얻기
Amazon SES 콘솔을 사용하여 언제든 도메인 또는 이메일 주소의 DKIM 레코드를 얻을 수 있습니다.
**콘솔을 사용하여 자격 증명의 DKIM 레코드 얻기**
1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/) Amazon SES 콘솔을 엽니다.
1. 탐색 창의 **구성** 아래에서 **Verified identities(확인된 ID)**를 선택합니다.
1. 자격 증명 목록에서 DKIM 레코드를 얻으려는 자격 증명을 선택합니다.
1. 자젹 증명 세부 정보 페이지의 **인증** 탭에서 **View DNS records(DNS 레코드 보기)**를 확장합니다.
1. Easy DKIM을 사용한 경우 CNAME 레코드 3개를 복사하고, 이 섹션에 나타나는 BYODKIM을 사용한 경우 TXT 레코드를 복사합니다. 또는 **Download .csv record set(레코드 세트를 .csv로 다운로드)**를 선택하여 레코드 사본을 컴퓨터에 저장할 수도 있습니다.
다음 이미지는 Easy DKIM과 연결된 CNAME 레코드를 표시하는 확장된 **DNS 레코드 보기** 섹션의 예제입니다.
![\[\]](http://docs.aws.amazon.com/ko_kr/ses/latest/dg/images/dkim_existing_dns.png)
Amazon SES API를 사용하여 자격 증명의 DKIM 레코드를 얻을 수도 있습니다. API와 상호 작용하는 일반적인 방법은 AWS CLI을(를) 사용하는 것입니다.
**를 사용하여 자격 증명에 대한 DKIM 레코드를 가져오려면 AWS CLI**
1. 명령줄 프롬프트에 다음 명령을 입력합니다.
```
aws ses get-identity-dkim-attributes --identities "example.com"
```
앞의 예에서 *example.com*을 DKIM 레코드를 얻으려는 자격 증명으로 바꿉니다. 이메일 주소 또는 도메인을 지정할 수 있습니다.
1. 다음 예와 같이 이 명령의 출력에는 `DkimTokens` 섹션이 포함됩니다.
```
{
"DkimAttributes": {
"example.com": {
"DkimEnabled": true,
"DkimVerificationStatus": "Success",
"DkimTokens": [
"hirjd4exampled5477y22yd23ettobi",
"v3rnz522czcl46quexamplek3efo5o6x",
"y4examplexbhyhnsjcmtvzotfvqjmdqoj"
]
}
}
}
```
토큰을 사용하여 도메인의 DNS 설정에 추가하는 CNAME 레코드를 생성할 수 있습니다. CNAME 레코드를 생성하려면 다음 템플릿을 사용합니다.
```
token1._domainkey.example.com CNAME token1.dkim.amazonses.com
token2._domainkey.example.com CNAME token2.dkim.amazonses.com
token3._domainkey.example.com CNAME token3.dkim.amazonses.com
```
*token1*의 각 인스턴스를 `get-identity-dkim-attributes` 명령을 실행할 때 받은 목록의 첫 번째 토큰으로 바꾸고, *token2*의 모든 인스턴스를 목록의 두 번째 토큰으로 바꾸고, *token3*의 모든 인스턴스를 목록의 세 번째 토큰으로 바꿉니다.
예를 들어 앞의 예에 나온 토큰에 이 템플릿을 적용하면 다음 레코드가 생성됩니다.
```
hirjd4exampled5477y22yd23ettobi._domainkey.example.com CNAME hirjd4exampled5477y22yd23ettobi.dkim.amazonses.com
v3rnz522czcl46quexamplek3efo5o6x._domainkey.example.com CNAME v3rnz522czcl46quexamplek3efo5o6x.dkim.amazonses.com
y4examplexbhyhnsjcmtvzotfvqjmdqoj._domainkey.example.com CNAME y4examplexbhyhnsjcmtvzotfvqjmdqoj.dkim.amazonses.com
```
**참고**
모든 사용자가 기본 SES DKIM 도메인을 AWS 리전 사용하는 것은 아닙니다. 리전에서 리전별 DKIM 도메인을 사용하는지 `dkim.amazonses.com`확인하려면에서 [DKIM 도메인 테이블](https://docs.aws.amazon.com/general/latest/gr/ses.html#ses_dkim_domains)을 확인하세요*AWS 일반 참조*.
## 자격 증명에 대해 Easy DKIM 비활성화
Amazon SES 콘솔을 사용하여 자격 증명의 DKIM 인증을 빠르게 비활성화할 수 있습니다.
**자격 증명에 대해 DKIM 사용 중지**
1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/) Amazon SES 콘솔을 엽니다.
1. 탐색 창의 **구성** 아래에서 **Verified identities(확인된 ID)**를 선택합니다.
1. 자격 증명 목록에서 DKIM을 사용 중지하려는 자격 증명을 선택합니다.
1. **DKIM(DomainKeys Identified Mail)** 컨테이너의 **인증** 탭 아래에서 **Edit(편집)**를 선택합니다.
1. **고급 DKIM 설정(Advanced DKIM settings)**에서 **DKIM 서명(DKIM signatures)** 필드의 **사용(Enabled)** 상자를 선택 취소합니다.
Amazon SES API를 사용하여 자격 증명에 대해 DKIM을 사용 중지할 수도 있습니다. API와 상호 작용하는 일반적인 방법은 AWS CLI을(를) 사용하는 것입니다.
**를 사용하여 자격 증명에 대해 DKIM을 비활성화하려면 AWS CLI**
+ 명령줄 프롬프트에 다음 명령을 입력합니다.
```
aws ses set-identity-dkim-enabled --identity example.com --no-dkim-enabled
```
앞의 예에서 *example.com*을 DKIM을 사용 중지하려는 자격 증명으로 바꿉니다. 이메일 주소 또는 도메인을 지정할 수 있습니다.
## 자격 증명에 대해 Easy DKIM 활성화
이전에 자격 증명에 대해 DKIM을 사용 중지한 경우 Amazon SES 콘솔을 사용하여 다시 사용 설정할 수 있습니다.
**자격 증명에 대해 DKIM 사용 설정**
1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/) Amazon SES 콘솔을 엽니다.
1. 탐색 창의 **구성** 아래에서 **Verified identities(확인된 ID)**를 선택합니다.
1. 자격 증명 목록에서 DKIM을 사용 설정하려는 자격 증명을 선택합니다.
1. **DomainKeys Identified Mail(DKIM)** 컨테이너의 **인증** 탭 아래에서 **Edit(편집)**를 선택합니다.
1. **고급 DKIM 설정**에서 **DKIM 서명** 필드의 **Enabled(활성화)** 상자를 확인합니다.
Amazon SES API를 사용하여 자격 증명에 대해 DKIM을 사용 설정할 수도 있습니다. API와 상호 작용하는 일반적인 방법은 AWS CLI을(를) 사용하는 것입니다.
**를 사용하여 자격 증명에 대해 DKIM을 활성화하려면 AWS CLI**
+ 명령줄 프롬프트에 다음 명령을 입력합니다.
```
aws ses set-identity-dkim-enabled --identity example.com --dkim-enabled
```
앞의 예에서 *example.com*을 DKIM을 사용 설정하려는 자격 증명으로 바꿉니다. 이메일 주소 또는 도메인을 지정할 수 있습니다.
## 이메일 주소 자격 증명의 상속된 DKIM 서명 재정의
이 섹션에서는 Amazon SES로 이미 확인한 특정 이메일 주소 자격 증명에서 상위 도메인으로부터 상속된 DKIM 서명 속성을 재정의(사용 중지 또는 사용 설정)하는 방법을 확인합니다. DNS 설정이 도메인 수준에서 구성되어 있으므로 이미 소유한 도메인에 속한 이메일 주소 자격 증명에 대해서만 이 작업을 수행할 수 있습니다.
**중요**
다음에 해당하는 이메일 주소 자격 증명에 대해 DKIM 서명을 사용/사용 중지할 수 없습니다.
소유하지 않은 도메인의 이메일 주소 자격 증명 예를 들어 *gmail.com* 또는 *hotmail.com* 주소에 대해 DKIM 서명을 토글할 수 없습니다.
소유하고 있지만 Amazon SES에서 아직 확인되지 않은 도메인의 이메일 주소 자격 증명
소유하고 있지만 DKIM 서명을 사용하지 않은 도메인의 이메일 주소 자격 증명
이 섹션은 다음 주제를 포함합니다:
+ [상속된 DKIM 서명 속성 이해](#dkim-easy-setup-email-key-points-mng)
+ [이메일 주소 자격 증명의 DKIM 서명 재정의(콘솔)](#override-dkim-email-console-mng)
+ [이메일 주소 자격 증명의 DKIM 서명 재정의(AWS CLI)](#override-dkim-email-cli-mng)
### 상속된 DKIM 서명 속성 이해
Easy DKIM 또는 BYODKIM이 사용되는지 여부에 관계없이 해당 도메인이 DKIM으로 구성된 경우 이메일 주소 자격 증명이 상위 도메인에서 DKIM 서명 속성을 상속한다는 점을 먼저 이해하는 것이 중요합니다. 따라서 이메일 주소 자격 증명에 대해 DKIM 서명을 사용 중지하거나 사용하면 다음과 같은 주요 요인에 따라 도메인의 DKIM 서명 속성이 재정의됩니다.
+ 이메일 주소가 속하는 도메인에 대해 DKIM을 이미 설정한 경우 해당 이메일 주소 자격 증명에 대해 DKIM 서명을 사용할 필요가 없습니다.
+ 도메인에 대해 DKIM을 설정하면 Amazon SES가 상위 도메인에서 상속한 DKIM 속성을 통해 해당 도메인의 모든 주소에서 보내는 모든 이메일을 자동으로 인증합니다.
+ 특정 이메일 주소 자격 증명의 DKIM 설정은 해당 이메일이 속한 *상위 도메인 또는 하위 도메인(해당하는 경우)의 설정을 자동으로 재정의*합니다.
이메일 주소 자격 증명의 DKIM 서명 속성은 상위 도메인에서 상속되므로 이러한 속성을 재정의하려는 경우 아래 표에서 설명하는 대로 재정의의 계층적 규칙을 고려해야 합니다.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/ses/latest/dg/send-email-authentication-dkim-easy-managing.html)
일반적으로 DKIM 서명을 사용 중지하는 것은 권장되지 않으며 보낸 메일이 정크 또는 스팸 폴더로 이동하거나 도메인이 스푸핑될 위험이 높아집니다.
그러나 DKIM 서명을 영구적으로 또는 일시적으로 사용 중지하거나 나중에 다시 사용해야 할 수 있는 특정 사용 사례 또는 예외적인 비즈니스 결정에 대해 이메일 주소 자격 증명에서 도메인이 상속한 DKIM 서명 속성을 재정의하는 기능이 있습니다.
### 이메일 주소 자격 증명의 DKIM 서명 재정의(콘솔)
다음의 SES 콘솔 절차에서는 Amazon SES로 이미 확인한 특정 이메일 주소 자격 증명에서 상위 도메인으로부터 상속된 DKIM 서명 속성을 재정의(사용 중지 또는 사용 설정)하는 방법을 보여줍니다.
**콘솔을 통해 이메일 주소 자격 증명의 DKIM 서명 사용 중지/사용 설정**
1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/) Amazon SES 콘솔을 엽니다.
1. 탐색 창의 **구성** 아래에서 **Verified identities(확인된 ID)**를 선택합니다.
1. 자격 증명 목록에서 **자격 증명 유형(Identity type)**이 *이메일 주소(Email address)*이고 확인된 도메인 중 하나에 속하는 자격 증명을 선택합니다.
1. **DKIM(DomainKeys Identified Mail)** 컨테이너의 **인증** 탭 아래에서 **Edit(편집)**를 선택합니다.
**참고**
이 **인증** 탭은 선택한 이메일 주소 ID가 SES에서 이미 확인된 도메인에 속하는 경우에만 표시됩니다. 도메인을 아직 확인하지 않은 경우 [도메인 자격 증명 생성](creating-identities.md#verify-domain-procedure) 섹션을 참조하세요.
1. **고급 DKIM 설정Advanced DKIM settings)**의 **DKIM 서명(DKIM signatures)** 필드에서 **사용 설정(Enabled)** 확인란을 선택 취소하여 DKIM 서명을 비활성화하거나 해당 확인란을 선택하여 DKIM 서명을 다시 활성화합니다(이전에 재정의한 경우).
1. **변경 사항 저장**을 선택합니다.
### 이메일 주소 자격 증명의 DKIM 서명 재정의(AWS CLI)
다음 예제에서는 AWS CLI SES API 명령 및 파라미터를 사용하여 SES로 이미 확인한 특정 이메일 주소 자격 증명의 상위 도메인에서 상속된 DKIM 서명 속성을 재정의(비활성화 또는 활성화)합니다.
**를 사용하여 이메일 주소 자격 증명에 대한 DKIM 서명을 비활성화/활성화하려면 AWS CLI**
+ *example.com* 도메인을 소유하고 있다고 가정할 때, 도메인의 이메일 주소 중 하나에 대해 DKIM 서명을 사용 중지하려면 명령줄에 다음 명령을 입력합니다.
```
aws sesv2 put-email-identity-dkim-attributes --email-identity marketing@example.com --no-signing-enabled
```
1. *marketing@example.com*을 DKIM 서명을 사용 중지하려는 이메일 주소 자격 증명으로 바꿉니다.
1. `--no-signing-enabled`는 DKIM 서명을 사용 중지합니다. DKIM 서명을 다시 사용하려면 `--signing-enabled`를 사용합니다.
# Amazon SES에서 수동 DKIM 서명
Easy DKIM을 사용하는 대신에 메시지에 DKIM 서명을 수동으로 추가한 후 Amazon SES.를 사용하여 해당 메시지를 보낼 수도 있습니다. 메시지에 수동으로 서명하기로 선택한 경우 먼저 DKIM 서명을 생성해야 합니다. 메시지와 DKIM 서명을 생성한 후 [SendRawEmail](https://docs.aws.amazon.com/ses/latest/APIReference/API_SendRawEmail.html) API를 사용하여 보낼 수 있습니다.
이메일에 수동으로 서명하기로 결정한 경우 다음 요소를 고려하세요.
+ Amazon SES.를 사용하여 보내는 모든 메시지에는 *amazonses.com*의 서명 도메인을 참조하는 DKIM 헤더가 포함됩니다(즉 `d=amazonses.com` 문자열 포함). 따라서, 메시지에 수동으로 서명하는 경우 메시지에 *두 개*의 DKIM 헤더(사용자 도메인 용으로 하나, Amazon SES가 *amazonses.com*에 대해 자동으로 생성된 것 하나)를 포함해야 합니다.
+ Amazon SES는 메시지에 수동으로 추가하는 DKIM 서명의 유효성을 검사하지 않습니다. 메시지의 DKIM 서명에 오류가 있는 경우 이메일 공급자가 거부할 수 있습니다.
+ 메시지에 서명할 때 1,024비트 이상의 비트 길이를 사용해야 합니다.
+ Message-ID, Date, Return-Path, Bounces-To 필드에 서명하지 마세요.
**참고**
Amazon SES SMTP 인터페이스를 사용하여 이메일 클라이언트로 이메일을 보내는 경우 클라이언트가 메시지에 대한 DKIM 서명을 자동으로 수행할 수 있습니다. 일부 클라이언트는 이러한 필드 중 일부에 서명할 수 있습니다. 기본적으로 서명되는 필드에 대한 정보를 보려면 해당 이메일 클라이언트의 설명서를 참조하십시오.
# Amazon SES에서 SPF를 사용하여 이메일 인증
*Sender Policy Framework*(SPF)는 이메일 스푸핑 방지를 위해 마련된 이메일 검증 표준입니다. 도메인 소유자는 SPF를 사용하여 도메인에서 이메일을 전송하는 데 허용된 서버를 이메일 공급자에게 알립니다. SPF는 [RFC 7208](https://tools.ietf.org/html/rfc7208)에 정의되어 있습니다.
Amazon SES를 통해 보내는 메시지는 `amazonses.com`의 하위 도메인을 기존 MAIL FROM 도메인으로 자동 사용합니다. 기본 MAIL FROM 도메인은 이메일을 전송한 애플리케이션(이 경우 SES)과 일치하므로 SPF 인증은 이 메시지를 성공적으로 검증합니다. 따라서 SES에서는 SPF가 암시적으로 설정됩니다.
그러나 SES 기본 MAIL FROM 도메인을 사용하지 않고 소유한 도메인의 하위 도메인을 사용하려는 경우, SES에서는 이를 *사용자 지정* MAIL FROM 도메인을 사용한다고 합니다. 이렇게 하려면 사용자 지정 MAIL FROM 도메인에 대한 자체 SPF 레코드를 게시해야 합니다. 또한 SES에서는 사용자 지정 MAIL FROM 도메인이 이메일 공급자가 보내는 반송 메일 및 수신 거부 알림을 받을 수 있도록 MX 레코드를 설정해야 합니다.
**SPF 인증을 설정하는 방법 알아보기**
SPF로 도메인을 구성하고 [사용자 지정 MAIL FROM 도메인 사용](mail-from.md)에 MX 및 SPF(유형 TXT) 레코드를 게시하는 방법에 대한 지침이 제공됩니다.
# 사용자 지정 MAIL FROM 도메인 사용
이메일을 전송하는 경우 해당 출처를 나타내는 두 개의 주소가 있습니다. 즉, 메시지 수신자에게 표시되는 From 주소와 메시지가 발생한 위치를 나타내는 MAIL FROM 주소입니다. MAIL FROM 주소를 *envelope sender*, *envelope from*, *bounce address* 또는 *Return Path* 주소라고 부르기도 합니다. 메일 서버는 MAIL FROM 주소를 사용하여 반송 메시지 및 기타 오류 알림을 반환합니다. MAIL FROM 주소는 일반적으로 수신자가 메시지의 소스 코드를 표시할 경우에만 볼 수 있습니다.
자체(사용자 지정) 도메인을 지정하지 않으면 Amazon SES는 기본값으로 보내는 메시지에 대해 MAIL FROM 도메인을 설정합니다. 이 단원에서는 사용자 지정 MAIL FROM 도메인 설정의 이점에 대해 설명하고 설정 절차를 안내합니다.
## 사용자 지정 MAIL FROM 도메인을 사용하는 이유
Amazon SES를 통해 보내는 메시지는 `amazonses.com`의 하위 도메인을 기존 MAIL FROM 도메인으로 자동 사용합니다. 기본 MAIL FROM 도메인은 이메일을 전송한 애플리케이션(이 경우 SES)과 일치하므로 발신자 정책 프레임워크(SPF) 인증은 이 메시지를 성공적으로 검증합니다.
SES 기본 MAIL FROM 도메인을 사용하지 않고 소유한 도메인의 하위 도메인을 사용하려는 경우, SES에서는 이를 *사용자 지정* MAIL FROM 도메인을 사용한다고 합니다. 이렇게 하려면 사용자 지정 MAIL FROM 도메인에 대한 자체 SPF 레코드를 게시해야 합니다. 또한 SES에서는 사용자의 도메인이 이메일 공급자가 보내는 반송 메일 및 수신 거부 알림을 받을 수 있도록 MX 레코드를 설정해야 합니다.
사용자 지정 MAIL FROM 도메인을 사용하면 SPF, DKIM 또는 둘 다를 유연하게 사용하여 [DMARC(Domain-based Message Authentication, Reporting and Conformance)](send-email-authentication-dmarc.md) 검증을 수행할 수 있습니다. DMARC를 통해 발신자의 도메인은 해당 도메인에서 발송된 이메일이 하나 이상의 인증 시스템에 의해 보호되고 있음을 나타낼 수 있습니다. DMARC 검증을 획득하는 방법은 [SPF를 통해 DMARC 준수](send-email-authentication-dmarc.md#send-email-authentication-dmarc-spf) 및 [DKIM을 통해 DMARC 준수](send-email-authentication-dmarc.md#send-email-authentication-dmarc-dkim) 등 두 가지입니다.
## 사용자 지정 MAIL FROM 도메인 선택
다음에서 *MAIL FROM 도메인*이라는 용어는 항상 사용자가 소유한 도메인의 하위 도메인을 지칭합니다. 사용자 지정 MAIL FROM 도메인에 사용하는 하위 도메인은 다른 용도로 사용되어서는 안 되며, 다음 요구 사항을 충족해야 합니다.
+ MAIL FROM 도메인은 확인된 자격 증명(이메일 주소 또는 도메인)에 대한 상위 도메인의 하위 도메인이어야 합니다.
+ MAIL FROM 도메인은 사용자가 이메일을 보내는 데 사용하는 하위 도메인이 아니어야 합니다.
+ MAIL FROM 도메인은 사용자가 이메일을 수신하는 데 사용하는 하위 도메인이 아니어야 합니다.
## 사용자 지정 MAIL FROM 도메인에서 SPF 사용
*Sender Policy Framework*(SPF)는 이메일 스푸핑 방지를 위해 마련된 이메일 검증 표준입니다. SPF를 사용해 사용자 지정 MAIL FROM 도메인을 구성하여 사용자 지정 MAIL FROM 도메인에서 이메일을 보낼 수 있는 서버를 이메일 공급자에게 알릴 수 있습니다. SPF는 [RFC 7208](https://tools.ietf.org/html/rfc7208)에 정의되어 있습니다.
SPF를 설정하려면 TXT 레코드를 사용자 지정 MAIL FROM 도메인의 DNS 구성에 게시해야 합니다. 이 레코드에는 사용자 지정 MAIL FROM 도메인을 사용하여 이메일을 보낼 수 있는 권한을 부여하는 서버의 목록이 포함되어 있습니다. 이메일 공급자가 사용자 지정 MAIL FROM 도메인으로부터 메시지를 받으면 이메일이 인증된 서버에서 전송되었는지 확인하기 위해 해당 도메인의 DNS 레코드를 검사합니다.
이 SPF 레코드를 DMARC를 준수하는 방법으로 사용하려면 발신 주소의 도메인이 MAIL FROM 도메인과 일치해야 합니다. [SPF를 통해 DMARC 준수](send-email-authentication-dmarc.md#send-email-authentication-dmarc-spf)을(를) 참조하세요.
다음 섹션 [사용자 지정 MAIL FROM 도메인 구성](#mail-from-set)에서는 사용자 지정 MAIL FROM 도메인에 SPF를 설정하는 방법을 설명합니다.
## 사용자 지정 MAIL FROM 도메인 구성
사용자 지정 MAIL FROM 도메인을 설정하는 과정에서 도메인의 DNS 구성에 레코드를 추가해야 합니다. SES에서는 이메일 공급자가 보내는 반송 메일 및 수신 거부 알림을 도메인에서 받을 수 있게 MX 레코드를 게시하도록 요구합니다. 또한 Amazon SES가 도메인에서 이메일을 보낼 권한이 부여되었음을 증명하기 위해 SPF(TXT 형식) 레코드를 게시해야 합니다.
전체 도메인이나 하위 도메인은 물론, 개별 이메일 주소에도 사용자 지정 MAIL FROM 도메인을 설정할 수 있습니다. 다음 절차는 Amazon SES 콘솔을 사용하여 사용자 지정 MAIL FROM 도메인을 구성하는 방법을 보여줍니다. 또한 [SetIdentityMailFromDomain](https://docs.aws.amazon.com/ses/latest/APIReference/API_SetIdentityMailFromDomain.html) API 작업을 사용하여 사용자 지정 MAIL FROM 도메인을 구성할 수도 있습니다.
### 확인된 도메인에 사용자 지정 MAIL FROM 도메인 설정
이 절차에서는 전체 도메인 또는 하위 도메인에 대해 사용자 지정 MAIL FROM 도메인을 구성하여 해당 도메인의 주소에서 전송된 모든 메시지가 이 사용자 지정 MAIL FROM 도메인을 사용하도록 하는 방법을 보여줍니다.
**확인된 도메인이 지정된 사용자 지정 MAIL FROM 도메인을 사용하도록 구성하려면**
1. [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/)에서 Amazon SES 콘솔을 엽니다.
1. 왼쪽 탐색 창의 **구성** 아래에서 **ID**를 선택합니다.
1. 자격 증명 목록에서 **자격 증명 유형(Identity type)**이 **도메인(Domain)**이고 **상태(Status)**가 *확인됨(Verified)*인 경우에 구성하려는 자격 증명을 선택합니다.
1. **상태(Status)**가 *확인되지 않음(Unverified)*인 경우 [DNS 공급자로 DKIM 도메인 자격 증명 확인](creating-identities.md#just-verify-domain-proc)의 절차를 완료하여 이메일 주소의 도메인을 확인합니다.
1. 화면 맨 아래의 **사용자 지정 MAIL FROM 도메인** 창에서 **편집**을 선택합니다.
1. **일반 세부 정보(General details)** 창에서 다음을 수행합니다.
1. **사용자 지정 MAIL FROM 도메인 사용(Use a custom MAIL FROM domain)** 확인란을 선택합니다.
1. **MAIL FROM 도메인**에 MAIL FROM 도메인으로 사용할 하위 도메인을 입력합니다.
1. **MX 장애 발생 시 동작(Behavior on MX failure)**에서 다음 옵션 중 하나를 선택합니다.
+ **기본 MAIL FROM 도메인 사용** – 사용자 지정 MAIL FROM 도메인의 MX 레코드가 올바르게 설정되지 않은 경우 Amazon SES가 `amazonses.com`의 하위 도메인을 사용합니다. 하위 도메인은 Amazon SES AWS 리전 를 사용하는에 따라 달라집니다.
+ **메시지 거부** – 사용자 지정 MAIL FROM 도메인의 MX 레코드가 올바르게 설정되지 않은 경우 Amazon SES는 `MailFromDomainNotVerified` 오류를 반환합니다. 이 도메인에서 보내려는 이메일이 자동으로 거부됩니다.
1. **변경 사항 저장(Save changes)**을 선택합니다. 이전 화면으로 돌아갑니다.
1. MX 및 SPF(TXT 형식) 레코드를 사용자 지정 MAIL FROM 도메인의 DNS 서버에 게시합니다.
**사용자 지정 MAIL FROM 도메인(Custom MAIL FROM domain)** 창에서 이제 **DNS 레코드 게시(Publish DNS records)** 테이블에 도메인의 DNS 구성에 게시(추가)해야 하는 MX 및 SPF(TXT 형식) 레코드가 표시됩니다. 이 레코드는 다음 표에 표시된 형식을 사용합니다.
****
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/ses/latest/dg/mail-from.html)
이전 레코드에서
+ *subdomain*.*domain*.*com*은 MAIL FROM 하위 도메인으로 채워집니다.
+ *region*은 MAIL FROM 도메인을 확인 AWS 리전 하려는의 이름으로 채워집니다(예: `us-west-2`, `us-east-1`또는 등`eu-west-1`).
+ MX 값과 함께 나열된 숫자 *10*은 메일 서버의 기본 설정 순서이며 DNS 공급자의 GUI에서 지정한 대로 별도의 값 필드에 입력해야 합니다.
+ SPF의 TXT 레코드 값에는 일반적으로 따옴표가 포함되어야 하지만 일부 DNS 공급자는 필요하지 않습니다.
**DNS 레코드 게시(Publish DNS records)** 테이블에서 각 값 옆에 있는 복사 아이콘을 선택하여 MX 및 SPF(TXT 형식) 레코드를 복사하고 DNS 공급자 GUI의 해당 필드에 붙여 넣습니다. 또는 **Download .csv record set(레코드 세트를 .csv로 다운로드)**를 선택하여 레코드 사본을 컴퓨터에 저장할 수도 있습니다.
**중요**
MX 및 SPF(유형 TXT) 레코드를 게시하는 특정 절차는 DNS 또는 호스팅 공급자에 따라 다릅니다. 도메인에 대한 DNS 구성에 이러한 레코드를 추가하는 것에 관한 정보는 공급자의 설명서를 참조하거나 공급자에게 문의하세요.
Amazon SES를 이용해 사용자 지정 MAIL FROM 도메인을 설정하려면 MAIL FROM 도메인의 DNS 서버에 정확히 하나의 MX 레코드를 게시해야 합니다. MAIL FROM 도메인에 MX 레코드가 여러 개인 경우 Amazon SES를 사용한 사용자 지정 MAIL FROM 설정이 실패합니다.
Route 53가 MAIL FROM 도메인에 대한 DNS 서비스를 제공하고 Route 53에 사용하는 것과 AWS Management Console 동일한 계정으로에 로그인한 경우 ** Route 53을 사용하여 레코드 게시**를 선택합니다. DNS 레코드가 도메인의 DNS 구성에 자동으로 적용됩니다.
다른 DNS 공급자를 사용하는 경우, MAIL FROM 도메인의 DNS 서버에 DNS 레코드를 수동으로 게시해야 합니다. 도메인의 DNS 서버에 DNS 레코드를 추가하는 절차는 웹 호스팅 서비스 또는 DNS 공급자에 따라 다릅니다.
도메인의 DNS 레코드를 게시하는 절차는 이용하는 DNS 공급자에 따라 다릅니다. 다음 표에는 널리 사용되는 몇몇 DNS 공급자의 설명서에 대한 링크가 포함되어 있습니다. 이는 전체 목록이 아니며 목록에 포함되어 있다고 해서 해당 공급자를 승인하는 것은 아닙니다. 마찬가지로 DNS 공급자가 목록에 없는 경우에도 MAIL FROM 도메인 구성을 지원하지 않는다는 의미는 아닙니다.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/ses/latest/dg/mail-from.html)
레코드가 있음을 Amazon SES가 감지하면 사용자 지정 MAIL FROM 도메인이 성공적으로 설정되었음을 알리는 이메일을 받습니다. DNS 공급자에 따라 Amazon SES가 MX 레코드를 감지하기까지 최대 72시간이 지연될 수도 있습니다.
### 확인된 이메일 주소에 사용자 지정 MAIL FROM 도메인 설정
또한 특정 이메일 주소에 사용자 지정 MAIL FROM 도메인을 설정할 수도 있습니다. 이메일 주소에 사용자 지정 MAIL FROM 도메인을 설정하려면 이메일 주소가 연결된 도메인의 DNS 레코드를 수정해야 합니다.
**참고**
사용자는 소유하지 않은 도메인의 주소에 사용자 지정 MAIL FROM 도메인을 설정할 수 없습니다(예를 들어 사용자는 필요한 DNS를 해당 도메인에 추가할 수 없기 때문에 `gmail.com` 도메인의 주소에 사용자 지정 MAIL FROM 도메인을 생성할 수 없습니다).
**확인된 이메일 주소가 지정된 MAIL FROM 도메인을 사용하도록 구성하려면,**
1. [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/)에서 Amazon SES 콘솔을 엽니다.
1. 왼쪽 탐색 창의 **구성** 아래에서 **ID**를 선택합니다.
1. 자격 증명 목록에서 **자격 증명 유형(Identity type)**이 **이메일 주소(Email address)**이고 **상태(Status)**가 *확인됨(Verified)*인 구성하려는 자격 증명을 선택합니다.
1. **상태(Status)**가 *확인되지 않음(Unverified)*인 경우 [이메일 주소 자격 증명 확인](creating-identities.md#just-verify-email-proc)의 절차를 완료하여 이메일 주소의 도메인을 확인합니다.
1. **MAIL FROM 도메인(MAIL FROM Domain)** 탭의 **사용자 지정 MAIL FROM 도메인(Custom MAIL FROM domain)** 창에서 **편집(Edit)**을 선택합니다.
1. **일반 세부 정보(General details)** 창에서 다음을 수행합니다.
1. **사용자 지정 MAIL FROM 도메인 사용(Use a custom MAIL FROM domain)** 확인란을 선택합니다.
1. **MAIL FROM 도메인**에 MAIL FROM 도메인으로 사용할 하위 도메인을 입력합니다.
1. **MX 장애 발생 시 동작(Behavior on MX failure)**에서 다음 옵션 중 하나를 선택합니다.
+ **기본 MAIL FROM 도메인 사용** – 사용자 지정 MAIL FROM 도메인의 MX 레코드가 올바르게 설정되지 않은 경우 Amazon SES가 `amazonses.com`의 하위 도메인을 사용합니다. 하위 도메인은 Amazon SES AWS 리전 를 사용하는에 따라 달라집니다.
+ **메시지 거부** – 사용자 지정 MAIL FROM 도메인의 MX 레코드가 올바르게 설정되지 않은 경우 Amazon SES는 `MailFromDomainNotVerified` 오류를 반환합니다. 이 이메일 주소에서 보내려는 이메일이 자동으로 거부됩니다.
1. **변경 사항 저장(Save changes)**을 선택합니다. 이전 화면으로 돌아갑니다.
1. MX 및 SPF(TXT 형식) 레코드를 사용자 지정 MAIL FROM 도메인의 DNS 서버에 게시합니다.
**사용자 지정 MAIL FROM 도메인(Custom MAIL FROM domain)** 창에서 이제 **DNS 레코드 게시(Publish DNS records)** 테이블에 도메인의 DNS 구성에 게시(추가)해야 하는 MX 및 SPF(TXT 형식) 레코드가 표시됩니다. 이 레코드는 다음 표에 표시된 형식을 사용합니다.
****
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/ses/latest/dg/mail-from.html)
이전 레코드에서
+ *subdomain*.*domain*.*com*은 MAIL FROM 하위 도메인으로 채워집니다.
+ *region*은 MAIL FROM 도메인을 확인 AWS 리전 하려는의 이름으로 채워집니다(예: `us-west-2`, `us-east-1`또는 등`eu-west-1`).
+ MX 값과 함께 나열된 숫자 *10*은 메일 서버의 기본 설정 순서이며 DNS 공급자의 GUI에서 지정한 대로 별도의 값 필드에 입력해야 합니다.
+ SPF의 TXT 레코드 값에는 인용 부호를 포함해야 합니다.
**DNS 레코드 게시(Publish DNS records)** 테이블에서 각 값 옆에 있는 복사 아이콘을 선택하여 MX 및 SPF(TXT 형식) 레코드를 복사하고 DNS 공급자 GUI의 해당 필드에 붙여 넣습니다. 또는 **Download .csv record set(레코드 세트를 .csv로 다운로드)**를 선택하여 레코드 사본을 컴퓨터에 저장할 수도 있습니다.
**중요**
Amazon SES를 이용해 사용자 지정 MAIL FROM 도메인을 설정하려면 MAIL FROM 도메인의 DNS 서버에 정확히 하나의 MX 레코드를 게시해야 합니다. MAIL FROM 도메인에 MX 레코드가 여러 개인 경우 Amazon SES를 사용한 사용자 지정 MAIL FROM 설정이 실패합니다.
Route 53가 MAIL FROM 도메인에 대한 DNS 서비스를 제공하고 Route 53에 사용하는 것과 AWS Management Console 동일한 계정으로에 로그인한 경우 ** Route 53을 사용하여 레코드 게시**를 선택합니다. DNS 레코드가 도메인의 DNS 구성에 자동으로 적용됩니다.
다른 DNS 공급자를 사용하는 경우, MAIL FROM 도메인의 DNS 서버에 DNS 레코드를 수동으로 게시해야 합니다. 도메인의 DNS 서버에 DNS 레코드를 추가하는 절차는 웹 호스팅 서비스 또는 DNS 공급자에 따라 다릅니다.
도메인의 DNS 레코드를 게시하는 절차는 이용하는 DNS 공급자에 따라 다릅니다. 다음 표에는 널리 사용되는 몇몇 DNS 공급자의 설명서에 대한 링크가 포함되어 있습니다. 이는 전체 목록이 아니며 목록에 포함되어 있다고 해서 해당 공급자를 승인하는 것은 아닙니다. 마찬가지로 DNS 공급자가 목록에 없는 경우에도 MAIL FROM 도메인 구성을 지원하지 않는다는 의미는 아닙니다.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/ses/latest/dg/mail-from.html)
레코드가 있음을 Amazon SES가 감지하면 사용자 지정 MAIL FROM 도메인이 성공적으로 설정되었음을 알리는 이메일을 받습니다. DNS 공급자에 따라 Amazon SES가 MX 레코드를 감지하기까지 최대 72시간이 지연될 수도 있습니다.
## Amazon SES를 사용한 사용자 지정 MAIL FROM 도메인 설정 상태
사용자 지정 MAIL FROM 도메인을 사용하도록 자격 증명을 구성한 후 Amazon SES가 DNS 설정에 필요한 MX 레코드 감지를 시도하는 동안 설정 상태는 "대기 중"입니다. Amazon SES가 MX 레코드를 감지하는지에 따라 상태가 변경됩니다. 다음 표에서는 이메일 전송 동작 및 각각의 상태에 연결된 Amazon SES 작업을 설명합니다. 상태가 변경될 때마다 Amazon SES는와 연결된 이메일 주소로 알림을 보냅니다 AWS 계정.
****
| State | 이메일 전송 동작 | Amazon SES 작업 |
| --- | --- | --- |
| 보류중 | 사용자 지정 MAIL FROM 대체 설정 사용 | Amazon SES가 72시간 동안 필요한 MX 레코드 감지를 시도합니다. 찾지 못한 경우 상태가 "Failed"로 변경됩니다. |
| Success | 사용자 지정 MAIL FROM 도메인 사용 | 필요한 MX 레코드가 있는지 Amazon SES가 지속적으로 검사합니다. |
| 일시적인 오류 | 사용자 지정 MAIL FROM 대체 설정 사용 | Amazon SES가 72시간 동안 필요한 MX 레코드 감지를 시도합니다. 찾기에 실패하면 상태가 "Failed"로 변경되고 찾기에 성공하면 "Success"로 변경됩니다. |
| 실패 | 사용자 지정 MAIL FROM 대체 설정 사용 | Amazon SES가 더 이상 필요한 MX 레코드 감지를 시도하지 않습니다. 사용자 지정 MAIL FROM 도메인을 사용하려면 [사용자 지정 MAIL FROM 도메인 구성](#mail-from-set)에서 설정 프로세스를 다시 시작해야 합니다. |
# Amazon SES의 DMARC 인증 프로토콜 준수
Domain-based Message Authentication, Reporting and Conformance(DMARC)는 Sender Policy Framework(SPF)와 도메인키 식별 메일(DKIM)을 사용하여 이메일 스푸핑 및 피싱을 찾아내는 이메일 인증 프로토콜입니다. DMARC를 준수하려면 SPF 또는 DKIM을 통해 메시지를 인증해야 하지만, 이상적으로는 둘 모두 DMARC와 함께 사용하면 이메일 전송에 대해 가능한 한 높은 수준의 보호를 보장할 수 있습니다.
각각 어떤 역할을 하는지, DMARC가 이들을 어떻게 연결하는지 간략하게 살펴보겠습니다.
+ **SPF** - DNS에서 사용하는 DNS TXT 레코드를 통해 사용자 지정 MAIL FROM 도메인을 대신하여 메일을 보낼 수 있는 메일 서버를 식별합니다. 수신자 메일 시스템은 SPF TXT 레코드를 참조하여 사용자 지정 도메인의 메시지가 승인된 메시징 서버에서 오는지를 판단합니다. 기본적으로 SPF는 스푸핑을 방지하는 데 도움이 되도록 설계되었지만, SPF가 실제로 취약한 스푸핑 기법이 있어 DMARC와 함께 DKIM도 사용해야 합니다.
+ **DKIM** - 이메일 헤더의 아웃바운드 메시지에 디지털 서명을 추가합니다. 수신 이메일 시스템은 이 디지털 서명을 사용하여 수신 이메일이 도메인 소유의 키로 서명되었는지 확인할 수 있습니다. 그러나 수신 이메일 시스템이 메시지를 전달하면 SPF 인증을 무효화하는 방식으로 메시지의 봉투가 변경됩니다. 디지털 서명은 이메일 헤더의 일부여서 이메일 메시지와 함께 유지되므로, DKIM은 메시지 콘텐츠가 수정되지 않은 한 메시지가 메일 서버 간에 전달된 경우에도 효과가 있습니다.
+ **DMARC** - SPF 및 DKIM 중 하나 이상과 도메인이 정렬되었는지 확인합니다. SPF와 DKIM만 사용하면 From 주소(수신자가 이메일 클라이언트에서 보는 이메일 주소)가 인증되었는지 확인할 수 없습니다. SPF는 MAIL FROM 주소에 지정된 도메인만 확인합니다(수신자가 볼 수 없음). DKIM은 DKIM 서명에 지정된 도메인만 확인합니다(마찬가지로 수신자가 볼 수 없음). DMARC는 SPF 또는 DKIM에서 도메인 정렬을 올바르게 설정하도록 요구하여 다음 두 문제를 해결합니다.
+ SPF가 DMARC 정렬을 전달하려면 From 주소의 도메인이 MAIL FROM 주소(Return-Path 및 Envelope-from 주소라고도 함)의 도메인과 일치해야 합니다. 전달된 메일의 경우 이런 일이 거의 일어나지 않습니다. 전달된 메일이 삭제되거나, 타사 대량 이메일 공급자를 통해 메일을 보내는 경우 Return-Path(MAIL FROM)가 공급자(SES)가 소유한 주소를 사용하여 추적하는 반송 메일 및 수신 거부에 사용되기 때문입니다.
+ DKIM이 DMARC 정렬을 전달하려면 DKIM 서명에 지정된 도메인이 From 주소의 도메인과 일치해야 합니다. 사용자를 대신하여 메일을 보내는 타사 발신자 또는 서비스를 사용하는 경우 타사 발신자가 DKIM 서명을 위해 올바르게 구성되었는지 확인하고 도메인 내에 적절한 DNS 레코드를 추가했는지 확인하여 이 작업을 수행할 수 있습니다. 메일 서버를 수신하면 도메인 내 주소를 사용할 권한이 있는 누군가가 보낸 이메일처럼 제3자가 보낸 이메일을 확인할 수 있습니다.
**모든 것을 DMARC와 통합**
위에서 설명한 DMARC 정렬 검사는 SPF, DKIM 및 DMARC가 모두 함께 작용하여 도메인에 대한 신뢰를 높이고 이메일을 받은 편지함으로 전달하는 방법을 보여줍니다. DMARC는 수신자가 보는 From 주소가 SPF 또는 DKIM에 의해 인증되도록 하여 이 작업을 수행합니다.
+ 설명된 SPF 또는 DKIM 검사 중 하나 또는 둘 다 통과하면 메시지가 DMARC를 전달합니다.
+ 설명된 SPF 또는 DKIM 검사가 모두 실패하면 메시지가 DMARC를 전달하지 않습니다.
따라서 DMARC가 전송된 이메일에 대한 인증을 획득할 수 있는 최적의 기회를 얻으려면 SPF와 DKIM이 모두 필요하며, 3가지를 모두 활용하면 완전한 보호 기능을 갖춘 전송 도메인을 확보하는 데 도움이 됩니다.
또한, DMARC를 사용하면 이메일 서버가 설정한 정책을 통해 DMARC 인증에 실패할 때 이메일을 처리하는 방법을 이메일 서버에 지시할 수 있습니다. 다음 섹션([도메인의 DMARC 정책 설정](#send-email-authentication-dmarc-dns))에서는 SPF와 DKIM을 모두 사용하여 DMARC 인증 프로토콜을 준수하는 이메일이 전송되도록 SES 도메인을 구성하는 방법에 대한 정보를 설명합니다.
## 도메인의 DMARC 정책 설정
DMARC를 설정하려면 도메인의 DNS 설정을 수정해야 합니다. 도메인의 DNS 설정에는 도메인의 DMARC 설정을 지정하는 TXT 레코드가 포함되어 있어야 합니다. DNS 구성에 TXT 레코드를 추가하는 절차는 사용하는 DNS 또는 호스팅 공급자에 따라 다릅니다. Route 53을 사용하는 경우 *Amazon Route 53 개발자 가이드*의 [레코드 작업](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/rrsets-working-with.html)을 참조하세요. 다른 공급자를 사용하는 경우 해당 공급자에 대한 DNS 구성 설명서를 참조하세요.
생성하는 TXT 레코드의 이름은 `_dmarc.example.com`이어야 합니다. 여기서 `example.com`은(는) 사용자 도메인입니다. TXT 레코드의 값에는 사용자 도메인에 적용되는 DMARC 정책이 포함됩니다. 다음은 DMARC 정책이 포함된 TXT 레코드의 예제입니다.
| 이름 | Type | 값 |
| --- | --- | --- |
| \$1dmarc.example.com | TXT | "v=DMARC1;p=quarantine;rua=mailto:my\$1dmarc\$1report@example.com" |
앞의 DMARC 정책 예제에서 이 정책은 이메일 공급자에 다음을 수행하도록 지시합니다.
+ 인증에 실패한 모든 메시지의 경우 정책 파라미터인 `p=quarantine`에 지정된 대로 스팸 폴더로 보냅니다. 다른 옵션에는 `p=none`을 사용하여 아무 작업도 수행하지 않거나 `p=reject`를 사용하여 메시지를 완전히 거부하는 것이 포함됩니다.
+ 다음 섹션에서는 이러한 3가지 정책 설정을 사용하는 방법과 시기에 대해 설명합니다. *잘못된 시간에 잘못된 설정을 사용하면 이메일이 전달되지 않을 수 있습니다.* [DMARC 구현에 대한 모범 사례](#send-email-authentication-dmarc-implement) 섹션을 참조하세요.
+ 보고 파라미터 `rua=mailto:my_dmarc_report@example.com`(*rua*는 Reporting URI for Aggregate report의 약자)에서 지정한 대로 다이제스트(즉, 각 이벤트에 대한 개별 보고서를 보내지 않고 특정 기간 동안 데이터를 집계한 보고서)에서 인증에 실패한 모든 이메일에 대한 보고서를 보냅니다. 이메일 공급자는 일반적으로 하루에 한 번씩 이러한 집계 보고서를 전송하지만 이러한 정책은 공급자마다 다릅니다.
도메인에 대한 DMARC를 구성하는 방법에 대해 자세히 알아보려면 DMARC 웹 사이트의 [개요](https://dmarc.org/overview/)를 참조하세요.
DMARC 시스템의 전체 사양은 [Internet Engineering Task Force (IETF) DMARC Draft](https://datatracker.ietf.org/doc/draft-ietf-dmarc-dmarcbis/)를 참조하세요.
## DMARC 구현에 대한 모범 사례
메일 흐름의 나머지 부분을 방해하지 않도록 점진적이고 단계적인 접근 방식으로 DMARC 정책 적용을 구현하는 것이 가장 좋습니다. 다음 단계를 따르는 롤아웃 계획을 생성하고 구현합니다. 다음 단계로 넘어가기 전에 먼저 각 하위 도메인과 조직의 최상위 도메인을 사용하여 이러한 각 단계를 수행합니다.
1. DMARC 구현의 영향을 모니터링합니다(p=none).
+ 메일 수신 조직이 해당 도메인을 사용하여 표시되는 메시지에 대한 통계를 보내도록 요청하는 하위 도메인 또는 도메인의 간단한 모니터링 모드 레코드부터 시작합니다. 모니터링 모드 레코드는 정책이 없음 `p=none`으로 설정된 DMARC TXT 레코드입니다.
+ DMARC를 통해 생성된 보고서는 이러한 검사를 통과하는 메시지의 수와 소스를 그렇지 않은 항목과 비교합니다. 합법적인 트래픽 중 얼마나 많은 트래픽이 포함되는지 또는 포함되지 않는지 쉽게 확인할 수 있습니다. 콘텐츠가 수정되면 전달된 메시지가 SPF 및 DKIM에 실패하므로, 전달 징후를 알 수 있습니다. 또한, 전송되는 사기성 메시지 수와 전송 위치를 확인할 수 있습니다.
+ 이 단계의 목표는 다음 두 단계 중 하나를 구현할 때 어떤 이메일이 영향을 받는지 파악하고, 타사 또는 승인된 발신자가 SPF 또는 DKIM 정책을 정렬하도록 하는 것입니다.
+ 기존 도메인에 가장 적합합니다.
1. 외부 메일 시스템에서 DMARC(p=quarantine)에 실패한 메일을 격리하도록 요청합니다.
+ 합법적인 트래픽의 전부 또는 대부분이 SPF 또는 DKIM과 도메인 정렬된 상태로 전송 중이라고 생각하고 DMARC 구현의 영향을 이해한 경우 격리 정책을 구현할 수 있습니다. 격리 정책은 정책이 격리 `p=quarantine`으로 설정된 DMARC TXT 레코드입니다. 이렇게 하면 DMARC 수신자가 DMARC에 실패한 도메인의 메시지를 고객의 받은 편지함 대신 스팸 폴더의 로컬 편지함에 넣도록 요청하게 됩니다.
+ 1단계에서 DMARC 보고서를 해석한 도메인을 전환하는 데 가장 적합합니다.
1. 외부 메일 시스템이 DMARC(p=reject)에 실패한 메시지를 수락하지 않도록 요청합니다.
+ 일반적으로 거부 정책을 구현하는 것이 마지막 단계입니다. 거부 정책은 정책을 거부 `p=reject`로 설정한 DMARC TXT 레코드입니다. 이렇게 하면 DMARC 수신자가 DMARC 검사에 실패한 메시지를 수락하지 않도록 요청하게 됩니다. 즉, 스팸 또는 정크 폴더에 격리되지는 않지만, 바로 거부됩니다.
+ 거부 정책을 사용하면 거부로 인해 SMTP 반송이 발생하므로, DMARC 정책을 준수하지 않는 메시지가 정확히 무엇인지 알 수 있습니다. 격리를 통해 집계 데이터는 SPF, DKIM 및 DMARC 검사를 통과하거나 통과하지 못하는 이메일의 비율에 대한 정보를 제공합니다.
+ 이전 두 단계를 거친 새 도메인 또는 기존 도메인에 가장 적합합니다.
## SPF를 통해 DMARC 준수
이메일이 SPF를 기반으로 DMARC를 준수하도록 하려면 다음 두 조건을 충족해야 합니다.
+ 메시지는 사용자 지정 MAIL FROM 도메인의 DNS 구성에 게시한 유효한 SPF(유형 TXT) 레코드를 기반으로 SPF 검사를 통과해야 합니다.
+ 이메일 헤더의 From 주소에 있는 도메인은 MAIL FROM 주소에 지정된 도메인 또는 하위 도메인과 정렬(일치)되어야 합니다. SES와 SPF를 정렬하려면 도메인의 DMARC 정책에서 엄격한 SPF 정책(aspf=s)을 지정해서는 안 됩니다.
이러한 요구 사항을 준수하려면 다음 단계를 완료합니다.
+ [사용자 지정 MAIL FROM 도메인 사용](mail-from.md)의 절차를 완료하여 사용자 지정 MAIL FROM 도메인을 설정합니다.
+ 보내는 도메인이 SPF에 대해 relaxed 정책을 사용하는지 확인합니다. 도메인의 정책 정렬을 변경하지 않았다면 SES와 마찬가지로 기본적으로 완화된 정책이 사용됩니다.
**참고**
`example.com`을 해당 도메인으로 바꾸고 명령줄에 다음 명령을 입력하여 SPF에 대한 도메인의 DMARC 일치를 확인할 수 있습니다.
```
dig TXT _dmarc.example.com
```
이 명령의 출력에 있는 **Non-authoritative answer** 아래에서 `v=DMARC1`로 시작하는 레코드를 찾습니다. 이 레코드에 문자열 `aspf=r`이 포함되었거나 `aspf` 문자열이 없는 경우, 도메인이 SPF에 대해 relaxed alignment를 사용하는 것입니다. 레코드에 문자열 `aspf=s`가 포함된 경우, 도메인이 SPF에 대해 strict alignment를 사용하는 것입니다. 시스템 관리자는 도메인의 DNS 구성에 있는 DMARC TXT 레코드에서 이 태그를 제거해야 합니다.
또한 dmarcian 웹 사이트의 [DMARC Inspector](https://dmarcian.com/dmarc-inspector/) 또는 MxToolBox 웹 사이트의 [DMARC Check Tool](https://mxtoolbox.com/dmarc.aspx) 도구와 같은 웹 기반 DMARC 조회 도구를 사용하여 도메인의 SPF 정책 정렬을 확인할 수 있습니다.
## DKIM을 통해 DMARC 준수
이메일이 DKIM을 기반으로 DMARC를 준수하도록 하려면 다음 두 조건을 충족해야 합니다.
+ 메시지에 유효한 DKIM 서명이 있어야 하며 DKIM 검사를 통과해야 합니다.
+ DKIM 서명에 지정된 도메인은 From 주소의 도메인과 정렬(일치)되어야 합니다. 도메인의 DMARC 정책이 DKIM에 대해 엄격한 정렬을 지정한 경우 이러한 도메인이 정확히 일치해야 합니다(SES는 기본적으로 엄격한 DKIM 정책 사용).
이러한 요구 사항을 준수하려면 다음 단계를 완료합니다.
+ [Amazon SES에서 Easy DKIM](send-email-authentication-dkim-easy.md)의 절차를 완료하여 Easy DKIM을 설정합니다. Easy DKIM을 사용하면 Amazon SES가 이메일에 자동으로 서명합니다.
**참고**
Easy DKIM을 사용하는 대신에 [메시지에 수동으로 서명](send-email-authentication-dkim-manual.md)할 수도 있습니다. 그러나 이 경우 사용자가 작성한 DKIM 서명을 Amazon SES가 확인하지 않으므로 주의해야 합니다. 이러한 이유로 Easy DKIM을 사용하는 것이 좋습니다.
+ DKIM 서명에 지정된 도메인이 From 주소의 도메인과 정렬되는지 확인합니다. 아니면 From 주소의 도메인 하위 도메인에서 보내는 경우 DMARC 정책이 완화된 정렬로 설정되어 있는지 확인합니다.
**참고**
`example.com`을 해당 도메인으로 바꾸고 명령줄에 다음 명령을 입력하여 DKIM에 대한 도메인의 DMARC 일치를 확인할 수 있습니다.
```
dig TXT _dmarc.example.com
```
이 명령의 출력에 있는 **Non-authoritative answer** 아래에서 `v=DMARC1`로 시작하는 레코드를 찾습니다. 이 레코드에 문자열 `adkim=r`이 포함되었거나 `adkim` 문자열이 없는 경우, 도메인이 DKIM에 대해 relaxed alignment를 사용하는 것입니다. 레코드에 문자열 `adkim=s`가 포함된 경우, 도메인이 DKIM에 대해 strict alignment를 사용하는 것입니다. 시스템 관리자는 도메인의 DNS 구성에 있는 DMARC TXT 레코드에서 이 태그를 제거해야 합니다.
또한 dmarcian 웹 사이트의 [DMARC Inspector](https://dmarcian.com/dmarc-inspector/) 또는 MxToolBox 웹 사이트의 [DMARC Check Tool](https://mxtoolbox.com/dmarc.aspx) 도구와 같은 웹 기반 DMARC 조회 도구를 사용하여 도메인의 DKIM 정책 정렬을 확인할 수 있습니다.
# Amazon SES에서 BIMI 사용하기
메시지 식별을 위한 브랜드 지표(BIMI)는 이메일 수신함을 지원하는 이메일 클라이언트 내에서 브랜드의 인증된 이메일 메시지 옆에 브랜드 로고를 표시할 수 있는 이메일 사양입니다.
BIMI는 인증에 직접 연결되는 이메일 사양이지만 모든 이메일이 [DMARC](send-email-authentication-dmarc.md) 인증을 준수해야 하므로 독립형 이메일 인증 프로토콜은 아닙니다.
BIMI에는 DMARC가 필요하지만 DMARC에서는 정렬을 위해 도메인에 SPF 또는 DKIM 레코드를 요구하며 보안을 강화하기 위해 SPF와 DKIM 레코드를 모두 포함하는 것이 가장 좋습니다. 또한 일부 이메일 서비스 공급자(ESP)에서는 BIMI를 사용할 때 둘 다 필요하기 때문입니다. 다음 섹션에서는 Amazon SES에서 BIMI를 구현하는 단계를 설명합니다.
## SES에서 BIMI 설정하기
소유한 이메일 도메인(SES의 *사용자 지정* MAIL FROM 도메인)에 대해 BIMI를 구성할 수 있습니다. 구성이 완료되면 해당 도메인에서 보내는 모든 메시지가 [BIMI를 지원하는 이메일 클라이언트](https://bimigroup.org/bimi-infographic/)에 BIMI 로고를 표시합니다.
이메일에 BIMI 로고를 표시하려면 SES 내에서 몇 가지 전제 조건을 마련해야 합니다. 다음 절차에서는 이러한 사전 요구 사항이 일반화되며 이러한 주제를 자세히 다루는 전용 섹션을 참조할 것입니다. BIMI와 관련된 단계와 SES에서 BIMI를 구성하는 데 필요한 사항은 여기에 자세히 설명되어 있습니다.
**사용자 지정 MAIL FROM 도메인에서 BIMI를 설정하려면**
1. 해당 도메인에 대해 게시된 SPF(TXT 유형) 및 MX 레코드가 모두 포함된 사용자 지정 MAIL FROM 도메인이 SES에 구성되어 있어야 합니다. 사용자 지정 MAIL FROM 도메인이 없거나 BIMI 로고에 대한 새 사용자 지정 MAIL FROM 도메인을 만들려는 경우 [사용자 지정 MAIL FROM 도메인 사용](mail-from.md) 단원을 참조하세요.
1. Easy DKIM으로 도메인을 구성하세요. [Amazon SES에서 Easy DKIM](send-email-authentication-dkim-easy.md)을(를) 참조하세요.
1. 2가지 예 중 하나와 유사하게 BIMI에 필요한 다음과 같은 구체적인 적용 정책과 함께 DNS 공급자에 TXT 레코드를 게시하여 DMARC로 도메인을 구성하세요.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/ses/latest/dg/send-email-authentication-bimi.html)
BIMI에 필요한 이전 DMARC 정책 예에서는 다음과 같습니다.
+ `example.com`은 도메인 또는 하위 도메인 이름으로 대체해야 합니다.
+ 이때 `p=` 값은 다음 중 하나가 가능합니다.
+ 다음과 같이 *pct* 값을 *100*으로 설정하여 *검역소에 보관*하거나
+ 다음과 같이 *거부*합니다.
+ 하위 도메인에서 전송하는 경우 BIMI에서는 상위 도메인에도 이 적용 정책이 있어야 합니다. 하위 도메인은 상위 도메인의 정책에 속합니다. 하지만 상위 도메인에 게시된 내용 외에 하위 도메인에 대한 DMARC 레코드를 추가하는 경우 해당 하위 도메인에도 동일한 집행 정책이 있어야 BIMI를 받을 수 있습니다.
+ 도메인에 대해 DMARC 정책을 설정한 적이 없다면 표시된 대로 BIMI와 관련된 DMARC 정책 값만 사용하는지 [Amazon SES의 DMARC 인증 프로토콜 준수](send-email-authentication-dmarc.md)을 참조하세요.
1. BIMI 로고를 확장 가능한 벡터 그래픽(SVG) `.svg` 파일로 제작하세요. BIMI에 필요한 특정 SVG 프로필은 SVG 휴대용/보안(SVG P/S)으로 정의됩니다. 이메일 클라이언트에 로고를 표시하려면 로고가 이러한 사양을 정확히 준수해야 합니다. [SVG 로고 파일 생성](https://bimigroup.org/creating-bimi-svg-logo-files/) 및 [권장 SVG 변환 도구](https://bimigroup.org/svg-conversion-tools-released/)를 만드는 방법은 [BIMI Group](https://bimigroup.org/)의 지침을 참조하세요.
1. (선택 사항) 검증된 마크 인증서(VMC)를 받으세요. Gmail 및 Apple과 같은 일부 ESP에서는 VMC에서 BIMI 로고의 상표 및 콘텐츠를 소유하고 있다는 증거를 제공해야 합니다. 도메인에 BIMI를 구현하기 위한 필수 사항은 아니지만 메일을 보내는 ESP에서 VMC 규정 준수를 시행하는 경우 BIMI 로고가 이메일 클라이언트에 표시되지 않습니다. 로고에 사용할 VMC를 받으려면 BIMI Group의 [참여 인증 기관](https://bimigroup.org/verified-mark-certificates-vmc-and-bimi/) 레퍼런스를 참조하세요.
1. 액세스 권한이 있는 서버에 BIMI 로고의 SVG 파일을 호스팅하여 HTTPS를 통해 공개적으로 액세스할 수 있도록 하세요. 예를 들어 [Amazon S3 버킷](https://docs.aws.amazon.com/AmazonS3/latest/userguide/creating-buckets-s3.html)에 업로드할 수 있습니다.
1. 로고 URL이 포함된 BIMI DNS 레코드를 만들고 게시하세요. [BIMI를 지원하는 ESP](https://bimigroup.org/bimi-infographic/)가 DMARC 레코드를 검사하면 로고 `.svg` 파일의 URL 및 구성된 경우 VMC `.pem` 파일의 URL이 포함된 BIMI 레코드도 찾습니다. 기록이 일치하면 BIMI 로고가 표시됩니다.
다음과 같이 DNS 공급자와 함께 다음 값을 사용하여 TXT 레코드를 게시하여 BIMI로 도메인을 구성합니다. 도메인에서 보내는 것은 첫 번째 예에 표시되고 하위 도메인에서 보내는 것은 두 번째 예에 표시됩니다.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/ses/latest/dg/send-email-authentication-bimi.html)
이전 BIMI 레코드 예시에서는
+ 이름 값은 문자 그대로 `example.com` 또는 `marketing.example.com`의 하위 도메인인 `default._bimi.`로 지정되어야 하며, 이는 사용자의 도메인 또는 하위 도메인명으로 교체되어야 합니다.
+ `v=` 값은 BIMI 레코드의 *버전*입니다.
+ `l=` 값은 이미지 `.svg` 파일을 가리키는 URL을 나타내는 *로고*입니다.
+ `a=` 값은 인증서 `.pem` 파일을 가리키는 URL을 나타내는 *권한*입니다.
BIMI 그룹의 [BIMI 인스펙터](https://bimigroup.org/bimi-generator/)와 같은 도구를 사용하여 BIMI 레코드를 검증할 수 있습니다.
이 프로세스의 마지막 단계는 BIMI 로고 배치를 지원하는 ESP에 정기적인 전송 패턴을 적용하는 것입니다. 도메인은 정기적으로 전송되는 주기가 있어야 하며 전송 대상 ESP에서 좋은 평판을 얻어야 합니다. 명성이나 발송 주기가 정해지지 않은 ESP에 BIMI 로고를 배치하는 데 시간이 걸릴 수 있습니다.
[BIMI 그룹](https://bimigroup.org/) 조직을 통해 BIMI와 관련된 추가 정보 및 리소스를 찾을 수 있습니다.