Defaults.Exposed › 보고서
SPF만으로는 부족하다: 절대 시행하지 않는 119백만 개의 도메인
게시일 2026-07-03 · 업데이트됨 2026-07-03
2026-06-29 기준 수치 · 방법론 v7. 261백만 개의 등급이 매겨진 도메인에 걸쳐 도메인당 검사 항목을 결합한 인구조사 데이터. “시행 중”이란
quarantine또는reject의 DMARC 정책을 의미하며, “완전 보호”란 SPF와 DKIM이 모두 갖춰지고 시행 중인 DMARC까지 더해진 상태 — 즉 완전한 이메일 인증 삼요소를 뜻합니다. 모든 수치는 집계값이며, 개별 사업체의 등급은 절대 공개하지 않습니다.
집계: 얼마나 많은 도메인이 SPF에만 의존하는가
SPF만으로는 이메일 사칭을 막을 수 없습니다 — 그리고 이제 인구조사는 그럼에도 SPF에 의존하고 있는 도메인이 얼마나 많은지 집계할 수 있습니다: 119,212,005개(119백만 개)가 SPF를 게시하지만 DMARC를 절대 시행하지 않습니다. 이는 굳이 SPF를 설정한 모든 도메인의 85.8%에 해당합니다. 이 글의 자매 편인 DMARC 없는 SPF는 그 메커니즘을 설명합니다 — 왜 SPF가 사람이 실제로 보는 “From” 주소를 방어할 수 없는지 말이죠. 이 글은 그 모집단을 측정합니다 — 그 공백이 얼마나 많은 도메인을 노출된 채로 두는지, 그리고 그 노출의 형태가 어떠한지를요.
짧게 말하면: SPF 설정은 인터넷에서 가장 흔한 이메일 보안 행위이며, 그것을 실행한 압도적 다수의 도메인에게 그것은 또한 마지막 행위이기도 합니다.
세 개의 모집단
139백만 개의 도메인 — 그중 138,911,937개 — 이 SPF 레코드를 게시합니다. 그 뒤에 무엇이 뒷받침하고 있는지에 따라 나누면:
| 모집단 | 도메인 | SPF 게시자 중 비율 |
|---|---|---|
| SPF 게시, DMARC 레코드가 전혀 없음 | 84,638,430 | 60.9% |
| SPF 게시, DMARC는 존재하나 절대 시행되지 않음 (상위 집합, 위 행 포함) | 119,212,005 | 85.8% |
| SPF + DKIM, 시행 중인 DMARC로 뒷받침됨 | 10,092,481 | — |
이 행들은 SPF 총계로 합산되지 않습니다: 나머지는 DMARC가 시행되고는 있지만 DKIM이 완전히 갖춰지지 않은 SPF 게시자들입니다 — 시행 중이지만 맨 아랫줄이 집계하는 완전한 삼요소에는 미치지 못하죠.
가운데 행이 핵심입니다: 대략 119백만 개의 도메인이 정당한 발신자를 선언하는 작업까지 해놓고는, 세상의 받은편지함들에게 그에 따라 조치하라고 결코 말하지 않았습니다. 그리고 맨 아랫줄이 결정타입니다: 등급이 매겨진 261백만 개의 도메인 전체에서, 단 3.87% — 약 10백만 개 — 만이 완전한 이메일 보호를 받습니다. 완전한 보호는 기술적으로 높은 문턱이 아닙니다. 그저 119백만 개의 도메인이 시작했다가 멈춰버린 여정의 완주일 뿐입니다.
왜 집계가 이토록 한쪽으로 치우쳐 있는가
SPF는 모든 설정 가이드가 시작하는 지점이고, 대부분 메일 제공업체의 온보딩이 끝나는 지점이며, 대부분의 규정 준수 체크리스트가 실제로 검사하는 항목입니다. SPF는 눈에 보이는 산출물 — TXT 레코드 — 과 그것을 검사한 도구에서의 초록색 체크 표시를 만들어냅니다. 시행 중인 DMARC는 정반대의 경험을 만들어냅니다: 그것은 진행 과정(게시하고, 관찰하고, 발신자를 식별한 뒤, 시행)을 요구하며, 그 보상은 눈에 보이지 않습니다 — 위조된 메일이 조용히 도착하지 않게 되는 것이죠.
그래서 인터넷은 체크 표시에 최적화되었습니다. 인구조사는 그것이 대규모로 어떤 모습인지를 보여줍니다: 85백만 개의 도메인(84,638,430)이 SPF를 갖추고 있으면서 어떤 종류의 DMARC 레코드도 없습니다 — p=none 자리표시자조차 없습니다. 이 소유자들이 게으른 것은 아닙니다. 그들은 주어진 지침을 따랐을 뿐이고, 그 지침이 일찍 끝나버린 것입니다.
여기서 “보호됨”이 실제로 의미하는 것
두려움이 아니라 결과입니다: SPF가 있고 시행 중인 DMARC가 없는 도메인은, 사람이 바라보는 바로 그 곳 — 눈에 보이는 “From” 줄 — 에서 여전히 사칭될 수 있습니다. SPF는 수신 서버가 봉투(envelope) 도메인을 대신해 어떤 기계가 발신할 수 있는지를 검증하게 해주지만, DMARC가 없으면 눈에 보이는 발신자가 SPF가 검사한 무언가와 일치해야 한다는 요구도 없고, 실패한 메일을 거부하라는 지시도 없습니다. 위조된 청구서, 가짜 비밀번호 재설정, 공급업체 결제 리디렉션 — 이 모두가 SPF 레코드에도 불구하고 당신의 이름으로 당신의 고객과 공급업체에게 여전히 전달될 수 있습니다.
DMARC 성숙도의 여섯 단계에서, 이 119백만 개의 도메인은 1~3단계에 갇혀 있습니다 — 바닥은 지어졌거나 일부 지어졌지만, 문은 결코 달리지 않았습니다. 거기서 보호된 상태까지의 거리는 잘 알려져 있고 대체로 절차적인 일입니다. 이 인구조사가 더해주는 것은, 거의 아무도 그 길을 걷지 않는다는 사실에 대한 앎입니다.
당신의 도메인이 119백만 개 중 하나라면
- SPF를 유지하세요 — 그것은 전제 조건이지 실수가 아닙니다. (SPF 고치기 →.)
- DKIM을 추가하세요 — 당신의 메일이 출처뿐 아니라 서명까지 갖추도록 말이죠. (DKIM 고치기 →.)
- 보고 기능과 함께 DMARC를 게시한 뒤, 시행하세요 — 먼저
rua=가 있는p=none으로 시작해 모든 정당한 발신자를 식별한 뒤,quarantine과reject로 옮겨가세요. 이것이 “설정됨”을 “보호됨”으로 바꾸는 단계입니다. (DMARC 고치기 →.)
자주 묻는 질문
SPF만으로 도메인을 스푸핑으로부터 보호하기에 충분한가요? 아닙니다. SPF는 봉투 도메인에 대해 발신 서버를 검증합니다. 눈에 보이는 “From” 주소를 확인하지도 않고, 실패를 거부하라고 수신자에게 지시하지도 않습니다. 오직 시행 중인 DMARC 정책만이 두 가지를 모두 수행합니다 — 그리고 119,212,005개의 도메인이 그것 없이 SPF를 게시합니다.
SPF는 있지만 DMARC가 전혀 없는 도메인은 얼마나 되나요? 84,638,430개 — 전체 SPF 게시자의 60.9%가 어떤 종류의 DMARC 레코드도, 심지어 모니터링 모드조차 갖추지 않고 있습니다.
완전히 보호되는 도메인은 얼마나 되나요?
10,092,481개 — 등급이 매겨진 261백만 개의 도메인 중 3.87%가 SPF와 DKIM을 quarantine 또는 reject의 DMARC 정책과 결합하고 있습니다.
적어도 SPF가 있으면 도움이 되나요? 네 — 그것은 DMARC가 평가의 기준으로 삼는 토대이며, 당신의 정당한 메일의 전달성을 향상시킵니다. 다만 그것만으로는 무언가를 보호하지는 않습니다. 그것은 셋 중 첫 번째 단계이며, 인구조사는 인터넷 대부분이 그것을 계단 전체로 취급했음을 보여줍니다.
당신의 도메인이 어느 모집단에 속하는지 확인하세요
“우리는 SPF를 설정했다”는 139백만 개의 도메인을 묘사하고, “우리는 보호받고 있다”는 10백만 개를 묘사합니다. 당신이 어느 쪽인지 알아내는 데는 비공개로, 무료로, 1분이면 됩니다 — 34개의 검사 항목 중 어느 것을 통과하는지, 그리고 통과하지 못하는 것을 어떻게 고칠지 확인하세요.
당신의 도메인을 확인하세요 → · DMARC 성숙도의 여섯 단계 → · DMARC 기둥 → · 집계 데이터만 사용합니다. 데이터는 EU에서 저장 및 처리됩니다.