이메일 보안: 기본 프레임워크가 WordPress 사이트 소유자를 돕는 방법
게시 됨: 2018-12-20국가와 산업 전반에 걸쳐 하나의 기술이 20년 넘게 수많은 비밀을 공유해 왔습니다. 예, 소셜 미디어, 메시징 앱 및 프로젝트 관리 도구의 등장에도 불구하고 이메일은 사실상 최고의 온라인 커뮤니케이션 채널로 남아 있지만 보안과 관련하여 많은 우려의 대상이기도 합니다.
기술의 시대와 해커가 사기를 시도하도록 하는 유인을 고려할 때 기업과 개인 모두를 계속 괴롭히는 이유를 쉽게 알 수 있습니다. 다중 요소 인증, 클라우드 스토리지, 디지털 에코시스템 및 소셜 로그인의 출현으로 많은 사람들이 하루를 버티기 위해 이메일 주소의 안전에 의존하게 되었기 때문에 실제로 그 어느 때보다 더 우려됩니다.
슬프게도 이메일은 스푸핑, 위조 및 모든 종류의 사람들을 조작하는 데 사용되는 다른 방법으로 공격받을 수 있기 때문에 복잡한 비밀번호를 갖고 보호하는 것만으로는 충분하지 않습니다. 여기서 이메일 보안 프레임워크가 매우 중요해집니다. 이를 통해 이메일의 합법성에 대한 확신을 훨씬 쉽게 얻을 수 있습니다.
그런데 왜 사기가 그러한 위협을 가합니까? 이러한 프레임워크는 무엇이며 웹사이트 소유자가 안전하게 진행하는 데 어떻게 도움이 됩니까? 당신을 보호하기 위해 정말로 그들에게 의지할 수 있습니까? 한 번 보자.
이메일 사기가 그렇게 골치 아픈 문제인 이유
우리는 점점 더 광범위하고 심도 있는 디지털 커뮤니케이션(종종 민감한 주제에 대해)을 필요로 하는 무현금 지불, 온라인 뱅킹 및 원격 근무로 이동하고 있습니다. 우리가 이메일을 더 많이 신뢰할수록 해커는 이메일을 더 많이 유인하게 됩니다. 이메일이 속임을 당할 때를 알 수 있을 만큼 기술에 대해 충분히 알지 못하는 사람들이 관련된 경우에는 더욱 그렇습니다.
이메일 사용법만 알지만 이메일 스푸핑이 가능하다는 사실조차 모르는 사람이 사기 이메일을 받은 경우 의심할 여지가 없습니다. 그리고 사기꾼의 수익은 전화 사기를 통해 달성할 수 있었던 것보다 훨씬 더 전망이 큽니다. 사기 이메일을 자동화하고 커버 스토리의 허점을 노출시킬 수 있는 긴 전화 대화를 피할 수 있기 때문입니다.
합법적인 도메인의 경우 이메일 사기는 보기에 좋지 않기 때문에 큰 걱정거리입니다. 사람들이 결국 당신에게 책임이 없다는 사실을 알게 되더라도 여전히 당신의 브랜드를 사기와 어느 정도 연관시킬 것입니다. 따라서 도메인을 신뢰하고 사람들이 귀하의 이름으로 도메인을 악용하려는 시도로부터 안전하도록 하려면 이메일을 보호해야 합니다. 방법은 다음과 같습니다.
가장 일반적인 이메일 보안 프레임워크 소개
가장 자주 사용되는 두 가지 이메일 프레임워크는 SPF(Sender Policy Framework) 및 DKIM(DomainKeys Identified Mail)이며 기능은 비슷하지만 약간 다릅니다. SPF에는 지원되는 호스트 이름 또는 IP 주소가 필요하고 DKIM에는 올바르게 암호화된 헤더 메시지. 좀 더 자세한 설명을 보자:
SPF 작동 방식
웹사이트 도메인에서 SPF를 활성화하면 해당 도메인의 합법적인 이메일 소스로 간주되는 호스트 이름 및 IP 주소 목록, 사이트의 DNS 레코드에 추가되는 목록(귀하의 URL을 귀하의 IP 주소).
해당 도메인의 주소에서 이메일을 수신하는 것으로 보이는 모든 이메일 시스템은 이메일을 보내는 데 사용된 IP 주소를 사용하여 DNS 레코드의 목록과 비교합니다. 일치하는 경우 이메일은 합법적인 것으로 간주됩니다. 일치하지 않으면 시스템은 이메일이 사기성(또는 어떻게든 끔찍하게 잘못되었습니다)임을 알게 됩니다.
DKIM 작동 방식
DKIM을 활성화하면 확인을 위해 암호화를 사용하는 고유한 접근 방식을 취합니다. 도메인에는 비밀로 유지되고 각 이메일의 헤더에 숨겨진 메시지를 암호화하는 데 사용되는 개인 키와 DNS 레코드에 추가되는 공개 암호 해독 키가 있습니다.
해당 도메인에서 온 것으로 알려진 이메일을 수신하는 모든 이메일 시스템은 DNS 레코드에서 공개 키를 가져와 숨겨진 메시지의 암호를 해독하려고 시도합니다. 성공하면 이메일이 올바른 위치에서 온 것임을 알 수 있습니다. 실패하면 보낸 사람이 스푸핑되었음을 알 수 있습니다.
DMARC가 포함하는 것
"Domain-based Message Authentication, Reporting and Conformance"를 의미하는 DMARC는 SPF와 DKIM을 포괄하는 동시에 몇 가지 옵션을 구체화하고, 정책을 설정하고, 필요에 따라 보고하는 시스템입니다.
DMARC를 설정할 때 기본적으로 앞서 언급한 방법 중 도메인의 이메일에 사용되는 방법(둘 다 가능)과 선택한 표준에 맞지 않는 이메일이 감지될 때 수행해야 하는 작업을 지정하게 됩니다. 이메일 주소를 사칭하려는 시도에 대해 알 수 있도록 트리거하도록 알림을 설정할 수도 있습니다(WordPress 사이트 변경에 대한 알림을 받을 수 있는 것과 같은 방식으로).
이메일을 안전하게 유지하기 위한 조치 방법
이메일을 신뢰할 수 있고 수신자가 이메일에 안전하게 액세스할 수 있도록 하려면 사기로부터 보호하기 위해 최선을 다해야 합니다. 최소한 다음 세 단계를 수행하십시오.
- 이메일 목록을 조심스럽게 보호하십시오. 도메인에서 보낸다고 주장하는 모든 이메일을 확인하더라도 사기꾼이 주소 목록을 도용하는 것은 여전히 위험합니다. 내용은 분명히 그들이 인식하는 것과 유사합니다. 사람들이 청중을 타겟팅할 이유가 없도록 이메일 목록을 보호하십시오(어쨌든 GDPR 이후에 이 작업을 수행해야 함).
- 보안 프레임워크를 구성합니다. SPF, DKIM 또는 DMARC를 사용할 수 있지만 무엇을 하든 사용 중인 시스템에 대한 모범 사례를 따르고 작동하는지 확인하십시오. 마케팅에 이메일 자동화 소프트웨어를 사용하는 경우 배포하는 이메일이 배달 시 불법으로 거부되지 않도록 신뢰할 수 있는 소스로 설정해야 합니다.
- 구독자에게 조심하라고 경고하세요. 자신의 입장에서 할 수 있는 모든 일을 한 후에도 청중에게 (특히 기술에 정통하지 않은 경우) 사기 가능성에 대해 경고하는 것은 여전히 가치가 있습니다. 보낼 메시지 유형과 절대 보내지 않을 메시지 유형을 알리고 내가 보낸 메시지에 대해 확신이 서지 않는 경우 직접 연락하도록 초대하십시오.
이 모든 작업을 수행하면 전자 메일이 안전하고 청중이 전자 메일 사기의 거대한 위협으로부터 보호된다는 확신을 갖고 훨씬 더 확실하게 진행할 수 있습니다.