내 도메인에 여러 개의 DKIM 레코드가 있을 수 있습니까?

단일 도메인에 여러 DKIM 레코드를 보유할 수 있습니까? 대답은 '예'입니다. DNS 공급자가 허용하는 만큼 도메인에 DKIM 레코드를 많이 보유할 수 있습니다.

DKIM이란?

DKIM은 DomainKeys Identified Mail의 약자입니다. 이메일에서 위조된 헤더 필드 및 콘텐츠를 탐지하도록 설계된 이메일 인증 방법입니다. DKIM을 사용하면 수신 이메일 서버에서 이메일 헤더와 콘텐츠가 전송 중에 변조되었는지 확인할 수 있습니다.

DKIM은 송신 서버에만 알려진 개인 키와 DNS에 게시되고 수신 서버에 액세스할 수 있는 공개 키의 쌍을 사용하는 비대칭 암호화를 기반으로 합니다.

발신 이메일 서버를 떠나기 전에 이메일 메시지는 서버에 저장된 개인 키로 서명됩니다. 수신 서버에 도착하면 DNS에 게시된 공개 키를 사용하여 서버에서 전자 메일 메시지를 확인합니다.

DKIM 레코드란 무엇입니까?

DKIM 레코드는 DNS에 게시된 TXT 레코드입니다. 태그 목록으로 구성되며 그 중 하나는 공개 DKIM 키를 포함하는 "p="태그입니다.

다음은 DKIM 레코드의 예입니다.

k=rsa; t=s; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCnVgd0NyrRE261IIiPqi+0H1baNyKcdj8Kea/VlSP4exzvKx8pJ01EWMwd094FV/6OCBIf7KGKgowMnWl3tW3Z5G++uZHkdgF+6xg7b9PynmX/NTo2kx92hlGgegwyulF5B7d2FM0doaCeoO4rD05jZzwi3cXx/156Gg9Xwd/Z/QIDAQAB

위의 DKIM 레코드는 레코드의 매개변수를 정의하는 태그 목록으로 구성됩니다. 레코드의 p 태그는 수신 서버에서 DKIM 서명의 유효성을 검사하는 데 사용하는 base64로 인코딩된 공개 키를 지정합니다.

DKIM 레코드는 CNAME 레코드일 수도 있으며, 이 경우 CNAME 레코드를 TXT 유형의 DKIM 레코드에 매핑합니다.

예를 들어 SendGrid에서 DKIM을 설정하면 다음과 같은 CNAME 유형의 DKIM 레코드가 생성됩니다.

s1.domainkey.uXXX.wlXXX.sendgrid.net

이 레코드는 TXT 유형의 DKIM 레코드에 매핑됩니다.

k=rsa; t=s; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCnVgd0NyrRE261IIiPqi+0H1baNyKcdj8Kea/VlSP4exzvKx8pJ01EWMwd094FV/6OCBIf7KGKgowMnWl3tW3Z5G++uZHkdgF+6xg7b9PynmX/NTo2kx92hlGgegwyulF5B7d2FM0doaCeoO4rD05jZzwi3cXx/156Gg9Xwd/Z/QIDAQAB

example.com 도메인의 모든 DKIM 레코드는 xxx._domainkey.example.com에 존재하며 xxx는 레코드 유형에 관계없이 DKIM 선택기입니다.

DKIM 선택기란 무엇입니까?

DKIM 선택기는 도메인에서 DKIM 공개 키의 위치를 ​​지정하는 데 사용되는 문자열입니다. DKIM 선택기의 주요 목적은 동일한 조직의 도메인 이름에서 여러 DKIM 키 쌍을 허용하는 것입니다.

예를 들어 선택기 "may10"을 선택하고 도메인 "example.com"의 해당 선택기에서 DKIM 공개 키를 생성할 수 있습니다.
may10._domainkey.example.com.

다른 선택기 "july29"를 선택하고 도메인 "example.com"의 해당 선택기에서 DKIM 공개 키를 생성할 수도 있습니다.
july29._domainkey.example.com.

DKIM 선택기에 대한 자세한 내용은 What is a DKIM selector을 참조하십시오.

단일 도메인에 여러 DKIM 레코드를 보유할 수 있습니까?

이전 섹션에서 언급한 바와 같이 단일 도메인에서 여러 DKIM 레코드는 해당 도메인에 여러 DKIM 선택기를 생성하여 가능해지며 각 선택기는 DKIM 레코드를 가리킵니다.

단일 도메인에 여러 DKIM 레코드가 있을 가능성은 다음 시나리오에서 중요합니다.

조직은 여러 이메일 배달 서비스를 사용하여 단일 도메인을 대신하여 이메일을 보냅니다. 이 경우 여러 DKIM 선택기와 개인/공용 키 쌍을 사용하여 이러한 서비스를 분리해야 합니다.

예를 들어 도메인을 대신하여 이메일을 보내도록 SendGrid와 Mailgun 모두에 권한을 부여한 경우 SendGrid용 DKIM 레코드와 Mailgun용 DKIM 레코드가 각각 하나씩 있어야 합니다. 이렇게 하면 두 서비스의 서명/확인 서버가 각각의 키 쌍을 올바르게 찾을 수 있습니다.

하나의 이메일 배달 서비스만 사용하는 경우 "DKIM 키 순환"이라는 DKIM 보안 메커니즘에 여러 선택기/키 쌍이 있어야 합니다. 이는 기본적으로 키 쌍이 손상될 위험을 낮추기 위해 키 쌍이 주기적으로 업데이트되는 프로세스입니다.

What is a DKIM selector에서 이 프로세스에 대해 자세히 알아보십시오.

SPF 및 DMARC와 달리 단일 도메인에 여러 DKIM 레코드를 보유하는 것은 가능할 뿐만 아니라 필요한 경우가 많습니다.

관련 게시물:

Can I Have Multiple DMARC Records on My Domain?

Can I Have Multiple SPF Records on My Domain?

원본 게시물: Can I Have Multiple DKIM Records on My Domain?