Defaults.Exposed › 보고서
눈감고 게시하기: 대부분의 DMARC 레코드는 보고서를 요청하지 않는다
게시일 2026-07-03 · 업데이트됨 2026-07-03
수치는 2026-06-29 기준 · 방법론 v7. 파싱 가능한 DMARC 레코드를 게시하는 모든 도메인에 걸친 센서스 데이터이며, 도메인별로 중복이 제거되었습니다.
rua=존재 여부는 모든 레코드에 걸쳐 측정되므로, 특정 단일 정책과의 정확한 중첩은 도출할 수 없습니다 — 이 글에서 해당 중첩에 대한 주장을 할 때는 정확한 교차 집계가 아니라 상·하한만을 제시합니다. 모든 수치는 집계값이며 — 개별 기업의 등급은 절대 공개하지 않습니다.
대부분의 DMARC 레코드는 지켜보고 있지 않다
DMARC 레코드를 게시하는 65백만 개 도메인 중, 집계 보고서를 요청하는 rua= 태그를 포함한 것은 오직 23백만 개 — 35.7% — 뿐입니다. 나머지 64.3%는 눈을 감은 채 게시하고 있습니다: 레코드에는 정책이 있지만, 그 정책 아래에서 무슨 일이 벌어지는지 알려달라고 요청한 사람은 아무도 없습니다. 이는 42백만 개 도메인이 아무것도 보여줄 수 없는 DMARC 레코드를 가지고 있다는 뜻입니다.
보고 기능이 없는 DMARC 레코드는 아무도 없는 집의 초인종과 같습니다. 메일 수신자는 성실하게 모든 메시지를 그 레코드에 대조하지만 — 그들이 찾아낸 결과, 즉 당신의 도메인으로 발신하는 모든 이들의 목록은 아무 데로도 가지 않습니다. 메커니즘은 작동하지만, 소유자가 그저 듣고 있지 않을 뿐입니다.
rua=가 실제로 하는 일
DMARC에는 두 개의 절반이 있습니다. 정책 절반(p=none, quarantine 또는 reject)은 인증에 실패한 메일을 어떻게 처리할지 수신자에게 지시합니다. 보고 절반 — 메일함 주소인 rua= 태그 — 은 매일 집계 보고서를 보내달라고 수신자에게 요청합니다: 어떤 서버가 당신의 도메인으로 발신했는지, 얼마나 많은 메일을 보냈는지, 그리고 SPF와 DKIM을 통과했는지를 담은 보고서입니다.
그 두 번째 절반이 바로 피드백 루프 전체입니다. 보고서는 아무도 문서화하지 않은 뉴스레터 플랫폼, 마케팅 부서가 연결한 청구 도구, 다른 지역에 있는 그림자 발신자를 — 시행에 나서서 이들을 망가뜨리기 전에 — 발견하는 방법입니다. rua=가 없으면 그 어떤 정보도 결코 당신에게 도달하지 않습니다. 이를 추가하는 데는 DNS 한 줄 수정이면 충분합니다: 기존 레코드에 rua=mailto:[email protected](또는 모니터링 서비스의 주소)를 덧붙이면 됩니다.
2단계와 3단계 사이의 간극: 게시했지만 눈은 감은
DMARC 성숙도의 여섯 단계에서, 3단계 — 관찰 — 는 DMARC가 게시되고 집계 보고서가 흐르기 시작할 때 시작됩니다. rua=가 없는 레코드는 여기에 해당하지 않습니다. 그것은 2단계와 3단계 사이의 간극 — 게시했지만 눈은 감은 — 에 놓여 있으며, 이는 이 모델이 의도적으로 자체 번호를 부여하지 않은 자리입니다.
이것이 중요한 이유는, 그 이후의 모든 단계가 보고서에 의존하기 때문입니다. 결코 받지 못하는 보고서로는 발신자를 식별할 수 없고(4단계), 발신자를 알지 못하면 안전하게 시행할 수 없습니다(5단계). 눈감은 레코드는 여정의 초기 단계가 아니라 — 여정에서 살짝 벗어난 갓길입니다. 그리고 센서스는 대부분의 레코드 보유자가 그곳이나 그 근처에 주차되어 있음을 시사합니다: 전체 DMARC 레코드의 57.5%는 결코 시행에 도달하지 못합니다.
무용지물보다 나쁜, 진전처럼 느껴지기 때문에
없는 DMARC 레코드는 적어도 있는 그대로 보입니다: 공백입니다. 눈감은 레코드는 체크 표시처럼 보입니다. 누군가 컴플라이언스 체크리스트나 전달률 가이드, 혹은 공급업체의 한 줄짜리 수정법을 실행해 — v=DMARC1; p=none을 게시했고 — 스캐너가 초록불로 바뀌었습니다. 이제 그 조직은 레코드가 아예 없는 조직보다 더 앞서 있다고 느끼지만, 기능적으로는 같은 자리에 있습니다: 가시성도, 시행도, 그 어느 쪽으로 가는 경로도 없습니다.
그 결과는 조용하고 누적됩니다. 눈감은 레코드는 요란하게 실패하지 않습니다; 그저 다음 단계를 정당화할 증거를 결코 만들어내지 않을 뿐입니다. 몇 년이 지나도 레코드는 여전히 p=none이라고 되어 있고, 어떤 발신자가 정당한지 아무도 말할 수 없으며, 시행은 그 어느 때보다 위험하게 느껴집니다 — 바로 아무런 보고서도 수집된 적이 없기 때문입니다.
센서스가 말할 수 있는 것과 없는 것
rua= 존재 여부는 정책별로 교차 집계된 것이 아니라 전체 65백만 개 레코드에 걸쳐 측정되므로, 눈까지 감은 p=none 레코드의 정확한 수는 이 주변값들로부터 도출할 수 없습니다. 그럼에도 상·하한은 여전히 뚜렷합니다. 37백만 개 레코드(레코드 보유자의 57.4%)가 p=none에 놓여 있으며; 센서스 전체에서 보고서를 요청하는 레코드는 오직 23백만 개뿐입니다. 따라서 그 p=none 레코드 중 보고서를 받을 수 있는 것은 많아야 23백만 개이며 — 적어도 14백만 개는, 설령 센서스의 모든 보고 주소가 p=none 도메인의 것이라 하더라도, 분명히 받지 못하고 있습니다. 실제 중첩이 어디에 떨어지든, 수백만 개의 도메인이 모니터의 플러그가 뽑힌 채 “모니터링 모드”에 앉아 있습니다.
한 줄만 수정하면 되는 해결책
당신의 DMARC 레코드에 rua= 태그가 없다면, 해결책은 단 한 번의 DNS 변경이며 어떤 정책 수준에서도 안전합니다:
- 보고 대상 지정 — 당신이 실제로 처리할 메일함, 또는 XML을 읽을 수 있는 무언가로 바꿔주는 무료/유료 DMARC 모니터링 서비스를 선택하세요.
- 레코드에 덧붙이기:
v=DMARC1; p=none; rua=mailto:[email protected]. 대상이 다른 도메인이라면, 그 도메인이 당신의 보고서 수신을 승인해야 합니다(그쪽에 작은 추가 DNS 레코드 하나). - 며칠 기다린 뒤 읽어보기. 보고서는 주요 수신자로부터 매일 도착합니다. 그것이 보여주는 것 — 당신의 도메인으로 발신하는 모든 소스 — 은 나머지 여정을 위한 지도입니다.
그러면 레코드는 가구이기를 멈추고 계기가 되기 시작합니다. (DMARC 수정하기 →.)
자주 묻는 질문
DMARC rua 보고서란 무엇인가요? 참여하는 메일 수신자가 (일반적으로 매일) 당신 레코드의 rua= 태그에 있는 주소로 보내는 집계 XML 보고서로, 어떤 소스가 당신의 도메인으로 메일을 발신했는지 그리고 그것이 SPF와 DKIM 정렬을 통과했는지를 요약합니다. 여기에는 메시지 내용이 담기지 않습니다 — 발신자 인프라와 통과/실패 횟수만 담깁니다.
rua가 없는 DMARC는 쓸모없나요? 쓸모없지는 않습니다 — 시행 정책은 이것이 없어도 여전히 스푸핑을 차단합니다. 하지만 p=none에서는 rua=가 없는 레코드가 아무것도 차단하지 않고 아무것도 보여주지 않습니다 — 그 유일하게 남은 역할은 메일함 제공업체의 최소 요구 사항 상자에 체크 표시를 하는 것입니다. 그리고 보고 기능이 없는 시행 도메인조차, 새로운 발신자가 나타날 때 시행을 안전하게 유지해주는 표류 탐지 기능을 잃습니다. 어느 쪽이든 p=none은 보호가 아니며 — 보고서가 없으면 준비조차 되지 못합니다.
rua=는 아무 메일함이나 가리켜도 되나요? 네, 다른 도메인에 있는 메일함도 포함해서요 — 대부분의 모니터링 서비스가 정확히 그런 방식으로 작동합니다. 수신 도메인은 당신의 보고서를 승인하는 작은 검증 레코드를 게시합니다. 중요한 것은 무언가가 실제로 그 XML을 처리한다는 점입니다; 아무도 읽지 않는 메일함은 단계만 늘어난 눈감기일 뿐입니다.
집계 보고서가 개인 데이터를 노출하나요? 아니요. rua 집계 보고서는 발신 소스와 인증 통계를 담을 뿐, 메시지 본문이나 수신자 목록은 담지 않습니다. (별도의 ruf= 실패 보고서는 메시지 조각을 포함할 수 있는데, 그래서 많은 수신자가 더 이상 이를 보내지 않습니다 — 중요한 것은 rua입니다.)
당신의 레코드가 지켜보고 있는지 확인하세요
보고서를 요청하지 않는 DMARC 레코드는 여정 전체에서 가장 고치기 쉬운 발견 사항 중 하나입니다 — DNS 한 줄 수정으로 눈감기가 관찰로 바뀝니다. 비공개로 무료로 확인할 수 있으며, 34개 점검 항목 중 어떤 것을 통과했고 통과하지 못한 것을 어떻게 고칠지 볼 수 있습니다.
내 도메인 확인하기 → · DMARC 성숙도의 6단계 → · DMARC 기둥 → · 집계 데이터만 사용. 데이터는 EU에서 저장 및 처리됩니다.