Defaults.Exposed › 보고서
"quarentine", "ninguno", "non": 인터넷에서 가장 흔한 DMARC 오타 (2026)
게시일 2026-06-29
수치는 2026-06-29 기준 · 방법론 v7. 집계 인구조사 데이터: 261백만 개의 등급이 매겨진 도메인에서 게시된 모든
_dmarc레코드의p=정책 토큰을 도메인별로 중복 제거한 것입니다. 등급 방법을 참조하세요.
DMARC 설정은 까다롭고, 데이터가 이를 보여줍니다: 48,648개의 도메인이 정책이 잘못 표기되었거나, 잘못된 언어로 작성되었거나, 완전히 누락된 DMARC 레코드를 게시했습니다 — 그래서 아무 역할도 하지 못합니다. 그들은 어려운 부분(레코드 게시)을 해냈지만 마지막 단어에서 넘어졌습니다. DMARC 정책은 정확히 p=quarantine 또는 p=reject라고 읽힐 때만 보호를 제공합니다. 그 외의 것은 수신 메일 서버가 무시하며 도메인은 여전히 사칭될 수 있습니다.
DMARC 오타는 어떻게 생겼는가
DMARC에는 정확히 세 가지 유효한 정책이 있습니다: none(모니터링만), quarantine, reject. 마지막 두 가지가 실제로 이메일 사칭을 막습니다. 하지만 정책은 사람이 DNS 레코드에 입력하는 텍스트일 뿐입니다 — 그리고 65백만 개의 DMARC 레코드 전반에서, 사람들이 유효한 정책 대신 가장 흔하게 입력한 것들은 다음과 같습니다:
| 유효한 정책 대신 게시된 것 | 도메인 |
|---|---|
| (no-p-token) | 31,553 |
| quarentine | 4,806 |
| policy | 4,134 |
| quarantaine | 1,321 |
| ninguno | 380 |
| non | 351 |
두 가지 종류의 실수가 나타납니다. 구조적 실수 — p= 토큰이 전혀 없는 레코드, 또는 문자 그대로의 단어 policy나 단독 p — 는 구문이 잘못되었음을 의미합니다. 언어적 실수는 더 인간적입니다: quarentine과 quarantaine은 “quarantine”의 단순한 철자 오류이고, ninguno(스페인어로 “none”)와 non(프랑스어)은 소유자가 자신의 언어로 정책 단어를 쓴 것입니다. 그 모두가 유효하지 않으며, 그 모두가 같은 것을 의미합니다: DMARC 레코드가 존재함에도 불구하고 보호 없음.
이것이 보이는 것보다 더 중요한 이유
잘못 표기된 정책은 DMARC가 전혀 없는 것보다 틀림없이 더 나쁩니다. 왜냐하면 완료된 것처럼 보이기 때문입니다. 레코드는 존재합니다. 슬쩍 보거나 기본적인 규정 준수 체크박스는 “DMARC: 있음”이라고 말합니다. 하지만 수신 서버는 유효한 정책 키워드가 아닌 것은 무엇이든 거부하므로, 도메인은 완전히 스푸핑 가능한 상태로 남습니다. 소유자는 자신이 보호받고 있다고 믿지만, 공격자는 그렇지 않다는 것을 압니다.
참고로, 전체 도메인 중 단 **10.59%**만이 유효한 강제 정책에 도달합니다(27,639,358개 도메인). 정책이 깨진 48,648개는 존재하는 DMARC 레코드 중 작은 부분입니다 — 하지만 이메일 보안에서 가장 피할 수 있는 실패입니다: 비즈니스와 작동하는 방어 사이에 잘못 입력된 단어 하나.
자주 묻는 질문
유효한 DMARC 정책은 무엇인가요?
정확히 세 가지입니다: p=none(모니터링만, 보호 없음), p=quarantine, p=reject. 마지막 두 가지만 사칭을 막습니다. 그 외의 것 — 철자 오류, 다른 언어, 또는 누락된 p= — 은 유효하지 않으며 무시됩니다.
왜 “quarentine”이나 “ninguno”가 DMARC 레코드에 나타날까요?
인간의 실수입니다. quarentine/quarantaine은 “quarantine”의 철자 오류이고, ninguno(스페인어)와 non(프랑스어)은 소유자가 자신의 언어로 단어를 쓴 것입니다. DMARC는 정확한 영어 키워드만 허용하므로, 이 모두가 조용히 실패합니다.
잘못 표기된 DMARC 정책이 없는 것보다 더 나쁜가요? 사실상 그렇습니다 — 동일한 무보호를 제공하지만 설정된 통제처럼 보이므로, 문제가 눈치채이지 않은 채로 남습니다.
내 DMARC 정책이 유효한지 어떻게 알 수 있나요? 도메인을 확인하세요(아래) — 실제 게시된 정책을 읽어 강제 적용 중인지, 모니터링 전용인지, 유효하지 않은지 알려줍니다.
DMARC 정책이 실제로 유효한지 확인하세요
작동하는 레코드는 잘못 입력된 단어 하나 차이로 깨진 레코드가 됩니다. 비공개로 무료로 확인하세요 — 정확한 정책과 수정 방법을 보게 됩니다.
도메인 확인하기 → · DMARC 수정 → · 누군가 당신의 도메인을 스푸핑할 수 있나요? → · 집계 데이터만. 데이터는 EU에서 저장 및 처리됩니다.