DKIM 레코드란?
DKIM(DomainKeys Identified Mail) 레코드는 암호학적 공개키를 포함하는 DNS TXT 레코드입니다. 이메일이 발송될 때 발신 서버가 개인키로 메시지에 서명하고, 수신 서버가 DNS에서 공개키를 조회하여 서명을 검증합니다. 이를 통해 이메일이 전송 중 변조되지 않았으며 실제로 해당 도메인에서 발송되었음을 확인합니다.
DKIM 레코드는 selector._domainkey.도메인.com이라는 특수한 하위 도메인에 저장됩니다. 예를 들어 Google Workspace는 google._domainkey.example.com에, Microsoft 365는 selector1._domainkey.example.com에 DKIM 레코드를 게시합니다.
이 무료 DKIM 확인 도구는 65개 이상의 일반 선택자를 자동으로 스캔하고, DKIM 레코드를 조회하며, 모든 태그를 파싱하고, 키 유형과 크기를 확인하여 10가지 검증 항목의 건강 점수를 제공합니다. SPF 확인 및 DMARC 확인과 함께 사용하면 완전한 이메일 인증을 확인할 수 있습니다.
DKIM 레코드 확인 방법
도메인의 DKIM 레코드를 확인하려면 먼저 DKIM 선택자를 알아야 합니다. 선택자는 어떤 DKIM 키를 사용할지 식별하는 문자열입니다. 도구가 일반적인 선택자를 자동으로 스캔하지만, 직접 지정할 수도 있습니다.
아래 단계에 따라 모든 도메인의 DKIM 레코드를 확인하세요. 도구는 선택자를 감지하고, 공개키를 조회하며, 키 유형과 크기를 분석하고, 10가지 검증을 수행합니다.
위의 도구에 도메인 이름을 입력하고 'Check DKIM'을 클릭하세요. 65개 이상의 일반 선택자(google, default, selector1 등)를 자동으로 스캔하여 DKIM 레코드를 조회하고, 모든 태그 파싱, 키 유형 및 크기 확인, 10가지 검증 항목의 건강 점수를 확인할 수 있습니다.
발송된 이메일의 헤더를 확인하여 'DKIM-Signature' 헤더에서 's=selector' 값을 찾으세요. 예를 들어 s=google이면 선택자는 'google'입니다. 이메일 헤더 분석기 도구로 헤더를 자세히 분석할 수 있습니다.
dig selector._domainkey.example.com TXT +short로 DKIM 레코드를 직접 확인하세요. 'selector'를 실제 선택자(예: google, default, selector1)로 교체합니다. 전체 DNS 레코드 조회에는 전용 도구를 사용하세요.
DKIM 레코드 태그 — 완전 참조
DKIM 레코드는 세미콜론으로 구분된 태그로 구성됩니다. 각 태그는 DKIM 키의 특정 속성을 정의합니다. 필수 태그는 v(버전)와 p(공개키)이며, 나머지는 선택 사항입니다.
아래는 DKIM 레코드에서 사용되는 주요 태그입니다. 올바른 키 구성은 이메일 인증의 신뢰성에 직접적인 영향을 미칩니다.
DKIM 레코드의 버전을 지정합니다. 현재 유일한 유효 값은 v=DKIM1입니다. 이 태그는 필수이며 레코드의 시작 부분에 위치해야 합니다. 값이 없거나 다르면 레코드가 무효화됩니다.
암호화 알고리즘을 지정합니다. k=rsa(기본값, 가장 널리 지원)와 k=ed25519(현대적, 더 작은 키로 동등한 보안)를 지원합니다. RSA는 최소 2048비트를 권장하며, Ed25519는 256비트로 3072비트 RSA와 동등합니다.
Base64로 인코딩된 공개키입니다. 수신 서버가 이 키로 이메일의 DKIM 서명을 검증합니다. p=(빈 값)는 키가 폐기되었음을 의미합니다. 키 크기는 1024, 2048, 4096비트가 일반적입니다.
t=y는 테스트 모드를 나타냅니다. 테스트 모드에서는 DKIM 실패를 서명되지 않은 메시지와 동일하게 처리하여 이메일 전달에 영향을 주지 않습니다. 초기 설정 시 유용하며, 확인이 끝나면 제거해야 합니다. t=s는 도메인 정확 매치를 요구합니다.
허용되는 해시 알고리즘을 지정합니다. h=sha256(권장)이 표준이며, h=sha1은 보안이 취약하여 권장되지 않습니다. 지정하지 않으면 모든 알고리즘이 허용됩니다. 대부분의 현대 이메일 서비스는 SHA-256을 사용합니다.
SPF vs DKIM vs DMARC
SPF, DKIM, DMARC는 이메일 인증의 세 가지 핵심 프로토콜입니다. 각각 다른 방식으로 이메일의 진위를 확인하며, 함께 작동하여 이메일 스푸핑과 피싱을 종합적으로 방지합니다.
DKIM은 이메일 내용의 무결성을 보장하는 유일한 프로토콜입니다. SPF는 발신 IP만 확인하고, DMARC는 정책만 적용하지만, DKIM의 암호학적 서명은 이메일이 전송 중에 한 글자도 변조되지 않았음을 증명합니다. SMTP 테스트 도구로 실제 이메일 전송 과정을 확인하세요.
도메인 대신 이메일을 보낼 수 있는 서버의 IP를 DNS TXT 레코드로 지정합니다. 수신 서버가 발신 IP를 확인하여 승인 여부를 검증합니다. SPF 확인 도구로 검증하세요.
발신 서버가 개인키로 이메일에 디지털 서명을 추가하고, 수신 서버가 DNS의 공개키로 서명을 검증합니다. 이메일이 전송 중 변조되지 않았음을 보장하는 유일한 프로토콜입니다.
SPF와 DKIM의 결과를 통합하고 인증 실패 시 처리 정책(none, quarantine, reject)을 지정합니다. 보고를 통해 인증 결과를 모니터링할 수 있습니다. DMARC 확인 도구로 검증하세요.
DKIM 모범 사례
DKIM을 올바르게 구성하면 이메일 무결성을 보장하고 전달률을 개선할 수 있습니다. 다음 모범 사례를 따라 DKIM 구성을 최적화하세요.
정기적으로 DKIM 확인 도구로 키 상태를 모니터링하고, 도메인 검증 도구와 함께 사용하여 전체 DNS 구성이 올바른지 확인하세요.
2048비트 이상의 RSA 키 사용 — 1024비트 키는 보안이 취약하여 일부 메일 제공업체에서 거부될 수 있습니다. 2048비트가 표준입니다
6-12개월마다 키 로테이션 — 새 선택자로 새 키를 게시하고, 메일 서버를 업데이트하고, 전환 기간 후 이전 키를 폐기(p= 비움)하세요
테스트 모드(t=y) 제거 — 초기 설정이 확인되면 t=y 플래그를 제거하세요. 테스트 모드에서는 DKIM 실패가 무시됩니다
Ed25519 키 고려 — 현대적인 대안으로 256비트로 3072비트 RSA와 동등한 보안을 제공합니다. 단, 모든 메일 서버가 지원하지는 않습니다
SHA-256 해시 사용 — SHA-1은 보안이 취약합니다. h=sha256을 명시적으로 지정하는 것이 권장됩니다
선택자 이름 관리 — 각 이메일 서비스에 별도의 선택자를 사용하세요. Google은 'google', Microsoft는 'selector1'/'selector2' 등
[SPF 확인](/spf-checker)과 [DMARC 확인](/dmarc-checker)을 함께 구성 — DKIM만으로는 불완전합니다. 세 가지 모두 설정하여 완전한 이메일 보안을 달성하세요
이메일 포워딩 환경 고려 — SPF는 이메일 포워딩 시 실패할 수 있지만, DKIM 서명은 유지됩니다. 이것이 DKIM이 특히 중요한 이유입니다
관련 이메일 및 DNS 도구
DNS Robot은 DKIM 확인을 보완하는 이메일 인증 및 DNS 분석을 위한 다양한 도구를 제공합니다. 종합적인 이메일 보안 진단을 위해 함께 사용하세요.
SPF 레코드를 검증하고, DNS 조회 수를 분석하며, include 체인을 해석하고 12가지 검증을 수행합니다.
DMARC 정책, 정렬 모드, 보고 URI를 검증하고 11가지 검증 항목의 건강 점수를 확인합니다.
DMARC 레코드를 간편하게 생성합니다. 정책, 보고 URI, 정렬 모드를 설정할 수 있습니다.
메일 서버에 직접 SMTP 연결을 수행하여 이메일 전송 가능 여부와 TLS 암호화를 확인합니다.
BIMI(Brand Indicators for Message Identification) 레코드와 브랜드 로고 인증을 검증합니다.
이메일 헤더를 파싱하여 발신 경로, 인증 결과, 지연 시간을 분석합니다.