Defaults.Exposed › 보고서
DMARC를 p=none으로 설정했다면, 여전히 노출된 이유가 여기 있습니다 (2026)
게시일 2026-06-29
2026-06-29 기준 수치 · 방법론 v7. 261백만 개의 등급 평가된 도메인에 걸친 집계 인구조사 데이터. “시행”은
quarantine또는rejectDMARC 정책을 의미합니다. 등급 평가 방법을 참고하세요.
DMARC 레코드가 p=none으로 되어 있다면, 당신의 도메인은 여전히 사칭될 수 있습니다 — 그 레코드는 모니터링할 뿐, 보호하지 않습니다. 이것은 이메일에서 가장 흔한 거짓 보안의 함정입니다. p=none은 DMARC가 “완료된” 것처럼 보이고, 형식적인 규정 준수 검사를 통과하지만, 위조를 막는 데는 아무런 역할도 하지 않습니다. 2026-06-29 기준으로 전체 도메인의 14.29%가 p=none 상태에 있으며 — 이는 사실 시행 정책에 도달한 **10.59%**보다 더 많은 수치입니다.
p=none이 실제로 하는 일
DMARC에는 세 가지 정책이 있으며, 그중 두 가지만이 당신을 보호합니다:
p=none— “모니터링 전용.” 수신 메일 서버에 위조된 메일을 보고하되 그래도 전달하라고 지시합니다. 보호 없음. 도메인의 14.29%.p=quarantine— 실패한 메일을 스팸으로 보냅니다.p=reject— 실패한 메일을 아예 거부합니다.
p=none이 존재하는 데에는 이유가 있습니다. 그것은 안전한 첫 단계로, 시행을 켜기 전에 보고서를 수집하고 정상적인 메일이 통과하는지 확인하는 단계입니다. 함정은 거기서 멈추는 것입니다. 무기한 p=none에 머물러 있는 도메인은 공격자의 관점에서 DMARC가 전혀 없는 도메인과 동일합니다 — 위조된 이메일은 여전히 받은편지함에 도착합니다.
수치는 대부분의 도메인이 너무 일찍 멈춘다는 것을 보여줍니다
| DMARC 상태 | 도메인 비율 | 보호됨? |
|---|---|---|
| DMARC 레코드 없음 | 75.11% | 아니요 |
p=none (모니터링 전용) | 14.29% | 아니요 — 함정 |
시행 (quarantine/reject) | 10.59% | 예 |
종합하면 도메인의 89.41%가 사칭될 수 있습니다 — 그리고 그중 상당수는 DMARC 레코드를 가지고 있지만, 시행 정책은 아닙니다. 그들은 어려운 부분을 해냈지만 보호 직전 한 단계에서 멈췄습니다.
p=none에서 보호 상태로 가는 방법
곧바로 reject로 건너뛰지 마세요. 보고서가 정상적인 메일이 통과함을 보여준 후의 안전한 경로는 다음과 같습니다:
- 정렬을 확인하세요
p=none에서 — DMARC 보고서가 실제 발신자(SPF/DKIM)가 통과하고 있음을 보여주는지 확인합니다. p=quarantine로 이동하세요 — 실패한 메일은 스팸으로 갑니다. 일이 주 동안 지켜보세요.p=reject로 이동하세요 — 실패한 메일은 거부됩니다. 이것이 실제로 사칭을 막는 설정입니다.
이는 일회성 전환이 아니라 의도적인 진행 과정입니다 — 그러나 목적지는 시행입니다. DMARC 수정 방법을 참고하세요.
자주 묻는 질문
p=none은 이메일 스푸핑을 막나요?
아니요. p=none은 모니터링만 합니다 — 수신 서버는 여전히 위조된 메일을 전달합니다. p=quarantine 또는 p=reject만이 사칭을 막습니다. 도메인의 14.29%가 p=none에 갇혀 있습니다.
p=none이 DMARC가 없는 것보다 나은가요? 보고서를 수집하기 위한 임시 단계로서 당신에게만 그렇습니다. 사칭에 대한 보호 측면에서는 아예 없는 것과 동일합니다 — 위조는 여전히 통과합니다.
p=none에 얼마나 오래 머물러야 하나요?
정상적인 메일이 통과하는지 확인할 만큼만 — 일반적으로 몇 주 — 그런 다음 quarantine과 reject로 이동하세요. 무기한 p=none이 바로 그 함정입니다.
내가 시행 중인지 어떻게 알 수 있나요? 도메인을 확인하세요 (아래) — 당신의 실제 정책을 읽어 시행 중인지, 모니터링 전용인지, 부재 상태인지 알려줍니다.
DMARC가 실제로 당신을 보호하는지 확인하세요
p=none은 검문소일 뿐 목적지가 아닙니다. 무료로 비공개로 도메인을 확인하세요 — 실제 정책과 시행으로 가는 경로를 확인하세요.
도메인 확인하기 → · DMARC 수정 → · 누군가 당신의 도메인을 스푸핑할 수 있나요? → · 집계 데이터만 사용. 데이터는 EU에서 저장 및 처리됩니다.