SHIELD Mail 관련 FAQ
서비스 관련
Q1: SHIELD Mail은 어떤 솔루션인가요?
SHIELD Mail은 기업 이메일에 첨부되는 문서 보안을 관리하는 솔루션입니다. DRM 문서와 Microsoft AIP 문서 간의 변환, 암호화 해제, 문서 접근 제어 등 다양한 보안 기능을 제공합니다.
Q2: SHIELD Mail의 주요 기능은 무엇인가요?
SHIELD Mail의 주요 기능은 다음과 같습니다:
- 첨부 파일 형식 변환 (DRM ↔ AIP)
- 다중 도메인 지원
- 조건부 정책 기반 보안 관리
- 첨부 파일 암호화 해제
- 대시보드를 통한 실시간 모니터링
Q3: SHIELD Mail 로그를 다운로드할 수 있나요?
네, 가능합니다.
- 좌측 메뉴에서 [로그] 메뉴를 선택합니다.
- 상단에서 조회할 기간(1주, 6개월, 1년, 사용자 지정 기간)을 설정합니다.
- 화면 우측 상단의 톱니바퀴 아이콘을 클릭하면, 표시할 로그 컬럼 항목을 선택할 수 있습니다. (예: 이벤트명, 처리 결과, 첨부 파일명 등)
- 검색 창에서는 송신자/수신자 기준으로만 검색할 수 있습니다. (다른 조건은 컬럼 설정을 통해 확인)
- 조건을 설정한 뒤 [다운로드] 버튼을 클릭하면, 선택한 조건에 맞는 로그가 CSV 파일 형식으로 내보내집니다.
CSV 파일은 Excel 등 스프레드시트 프로그램에서 열어 분석할 수 있으며, 보안 감사나 장애 원인 분석 시 유용하게 활용할 수 있습니다.
예시 :
- “2025년 8월 1일에 수신된 메일 목록”을 확인하려는 경우, 조회 기간을 해당 날짜로 지정한 뒤 CSV로 다운로드합니다.
- 이후 Excel에서 수신일자 컬럼을 기준으로 필터링하거나, 이벤트명·처리 결과를 조건으로 설정하여 필요한 로그만 확인할 수 있습니다.
도메인 설정 및 메일 릴레이
Q4: SHIELD Mail에서 말하는 '릴레이'란 무엇인가요?
SHIELD Mail에서 '릴레이'란 고객사의 ��메일 서버에서 SHIELD Mail을 통해 외부로 메일을 발송하는 과정을 의미합니다. 이 과정에서 첨부 파일에 대한 보안 정책이 적용됩니다.
Q5: 릴레이를 설정하기 위한 사전 조건은 무엇인가요?
릴레이 설정을 위해서는 다음 조건이 필요합니다:
- 등록된 고객의 도메인 사용
- SHIELD Mail로 메일을 전달하는 메일 서버를 사전 등록
- 해당 메일 서버의 IP 또는 서버명(helo/ehlo) 지정
Q6: 메일 서버 등록 시 와일드카드 형식을 사용할 수 있나요?
네, 메일 서버 등록 시 와일드카드 형식을 지원합니다. 예를 들어, Microsoft 365 서버를 등록할 경우 *.outbound.protection.outlook.com과 같은 형식으로 지정할 수 있습니다.
Q7: 도메인 정보는 어디에 등록하나요?
도메인 정보는 S365 Built-in 프로필의 domainInfo 설정에 등록합니다. 다음과 같은 JSON 형식으로 설정합니다
[
{
"domain": "domain.com",
"from": [
"*.outbound.protection.outlook.com"
],
"to": [],
"alias": [],
"desc": "도메인에 대한 메일 라우팅 설정"
}
]
Q8: 변환할 메일 발송 서버 "from" 필드에는 무엇을 입력하나요?
"from" 필드에는 SHIELD Mail로 메일을 전달하는 송신 메일 서버의 정보를 입력합니다. IP 주소나 서버명(와일드카드 형식 지원)을 지정할 수 있습니다.
Q9: 변환 후 메일 발송 서버 "to" 필드는 어떤 용도인가요?
"to" 필드는 SHIELD Mail이 처리한 메일을 전달할 수신 메일 서버를 지정합니다. 도메인과 수신 메일 서버는 1:1 매핑이 필수입니다.
Q10: 여러 개의 도메인을 설정할 수 있나요?
SHIELD Mail은 멀티 도메인을 지원합니다. 도메인별로 독립적인 메일 라우팅과 정책 설정이 가능합니다.
보안 정책 설정
Q11: 특정 수신자에게만 보안 정책을 적용할 수 있나요?
조건부 정책의 '조건' 설정에서 특정 도메인이나 이메일 주소를 지정하여 선택적으로 정책을 적용할 수 있습니다.
Q12: 첨부 파일 유형에 따라 다른 정책을 적용할 수 있나요?
조건부 정책에서 첨부 파일 유형(일반 문서, DRM 암호화 문서, AIP 문서 등)에 따라 서로 다른 집행 정책을 설정할 수 있습니다.
Q13: 외부로 나가는 메일의 첨부 파일을 자동으로 암호화할 수 있나요?
집행 정책의 '문서 변환 후 발신' 옵션을 사용하여 특정 조건(예: 외부 도메인 수신자)에 맞는 메일의 첨부 파일을 자동으로 DRM이나 AIP로 암호화할 수 있습니다.
문제 해결
Q14: 릴레이 설정 후 메일이 전송되지 않습니다. 어떻게 해야 하나요?
다음 사항을 확인해보세요:
- domainInfo에 등록한 도메인 정보가 정확한지 확인합니다.
- from 필드에 지정한 서버 정보가 실제 메일 서버와 일치하는지 확인합니다.
- SHIELD Mail 로그에서 오류 메시지 확인합니다.
- 방화벽이나 네트워크 설정에서 SHIELD Mail로의 연결이 허용되어 있는지 확인합니다.
Q15: 정책이 설정대로 적용되지 않습니다. 어떻게 해야 하나요?
다음 사항을 확인해보세요:
- 정책의 우선순위 설정 확인합니다. (여러 정책이 충돌할 경우 우선순위가 높은 정책이 적용됨)
- 조건 설정이 정확한지 확인합니다.
- 대시보드에서 처리 현황 및 로그 검토합니다.
- 필요시 관리자에게 문의합니다.
Q16: 와일드카드 도메인 설정 시 주의사항이 있나요?
와일드카드 도메인 설정 시에는 다음 사항에 주의하세요:
- 와일드카드(*)는 하나의 레벨만 대체합니다. (예: *.example.com은 sub.example.com은 매치하지만 sub.sub.example.com은 매치하지 않음)
- 너무 광범위한 와일드카드 설정은 보안 위험을 초래할 수 있으므로 필요한 범위로 제한합니다.
- 와일드카드 설��정 후 테스트를 통해 의도한 대로 동작하는지 확인합니다.
Q17: Spamhaus(스팸하우스)에 등록되어 메일 전달이 실패합니다. 어떻게 조치하나요?
아래 순서로 확인 → 예외등록 → 신원정합성 → 인증(SPF/DKIM/DMARC) 을 점검하세요.
1) Spamhaus 등록 여부 확인 및 해제 요청
- 등록 확인: https://check.spamhaus.org/
- 해제 가이드(참고): https://nem0.tistory.com/86
2) 수신 메일 서버의 스팸 예외(Allow) 등록
- Microsoft 365: https://sender.office.com
3) SHIELD Mail 의 EHLO/HELO 관련 설정 확인
-
EHLO/HELO 를 통한 송신하는 메일서버 정보 관리
- 송신하는 메일서버명을 DNS 를 통해 IP 를 조회하여 접속한 IP 와 동일한지 판단하여 송신하는 메일서버의 유효성 검증합니다.
-
SHIELD Mail 에 송신하는 메일서버 정보 등록
- SHIELD Mail config map 설정시
- key 명: SENDER_HOSTNAME
SENDER_HOSTNAME=shieldmail-sender.security365.com
- key 명: SENDER_HOSTNAME
- SHIELD Mail config.yaml 설정시
- sender.hostname
sender:
hostname: shieldmail-sender.security365.com
- sender.hostname
- SHIELD Mail config map 설정시
-
DNS 설정 확인
- SENDER_HOSTNAME 에 등록된 도메인의 DNS 에 외부로 나갈 때 사용되는 SHIELD Mail 서버 IP 등록합니다.
> nslookup shieldmail-sender.security365.com
서버: xxx.xxx.xxx.xxx
Address: yyy.yyy.yyy.yyy
권한 없는 응답:
이름: shieldmail-sender.security365.com
Address: 52.141.61.195 -
SMTP 프로토콜을 통한 확인 (디버그 모드일때만 표시)
- SHIELD Mail SMTP 서비스 로그를 통한 EHLO 정보 확인합니다.
connected to mx=MX-SERVER:25
220 OSA0EPF000000CA.mail.protection.outlook.com Microsoft ESMTP MAIL Service ready at Tue, 26 Aug 2025
EHLO shieldmail-sender.security365.com
...
4) 고객사의 SPF(Sender Policy Framework) 에 SHIELD Mail 서버 등록
-
SPF란?
- SPF(Sender Policy Framework) 는 스팸/피싱 메일을 방지하기 위해 발송 도메인에서 허용된 메일 서버(IP 또는 호스트)만을 인증하는 기술입니다.
- 수신 서버는 발신자의 DNS 레코드에 등록된 SPF 정책을 확인하여, 해당 메일이 허용된 서버에서 보낸 것인지 판별합니다.
-
등록 절차
-
DNS 관리 콘솔 접속
- 고객사에서 사용 중인 도메인의 DNS 관리 페이지(예: 도메인 등록업체, 클라우드 DNS 등)에 접속합니다.
-
SPF 레코드 확인
- 이미
TXT타입의 SPF 레코드가 등록되어 있는지 확인합니다. v=spf1로 시작하는 레코드가 있다면 기존 레코드에 추가해야 합니다.- 없다면 새로 등록해야 합니다.
- 이미
-
-
SPF 레코드 추가 / 수정
-
주요 요소 설명:
v=spf1: SPF 버전 표시include:: 허용할 메일 발송 서버 도메인ip4:또는ip6:: 직접 서버 IP를 등록할 때 사용~all: 그 외 서버에서 보낸 메일은 "SoftFail"(거부 가능) 처리
-
작성 예시:
-
Google Workspace와 자사 메일 서버를 동시에 사용하는 경우:
v=spf1 include:_spf.google.com include:mail.softcamp.co.kr ~all -
특정 IP만 허용하는 경우:
v=spf1 ip4:203.0.113.10 ip4:203.0.113.11 ~all
-
-
-
적용 확인
-
DNS 전파 시간(보통 수분~수시간 후) 이후, 다음과 같은 툴로 SPF 적용 여부를 확인합니다.
- MXToolbox SPF 검사
nslookup -type=txt yourdomain.com명령어
-
-
주의사항
- SPF 레코드는 도메인당 1개만 등록 가능합니다.
- 중복 등록 시 인증 오류가 발생하므로, 반드시 하나의 레코드에 모두 통합해야 합니다.
- SPF 레코드 문자열 길이는 최대 255자이므로, 너무 길어지면 관리가 어려워집니다.
-all(하드 페일) 대신~all(소프트 페일)을 권장합니다. 너무 엄격하게 설정하면 정상 메일도 차단될 수 있습니다.
- SPF 레코드는 도메인당 1개만 등록 가능합니다.
Q18: 메일 전송 시 "NDR"이 발생했습니다. NDR은 무엇인가요?
NDR(Non-Delivery Report, 배달 못함 보고서)란, 발송한 이메일이 수신자에게 정상적으로 전달되지 못했을 때 발신자에게 회신되는 오류 메시지를 의미합니다.
보통 다음과 같은 경우에 NDR이 생성됩니다:
- 수신자 주소 오류 – 존재하지 않는 이메일 주소일 때
- 메일 서버 문제 – 상대 서버가 다운되었거나 접근이 제한된 경우
- 스팸/보안 정책 차단 – SPF, DKIM, DMARC 정책 위반, 또는 수신 서버의 보안 정책 때문에 거부된 경우
- 메일함 용량 초과 – 수신자의 메일박스가 가득 찼을 때
대응 방법
- NDR 메시지의 오류 코드를 확인하여 원인을 파악합니다.
- 주소 오류라면 수신자 이메일 주소를 다시 확인합니다.
- 정책 차단이라면 SPF/DKIM/DMARC 설정 및 수신 서버 보안 정책을 점검합니다.
- 서버 장애라면 재발송하거나 관리자에게 문의합니다.