Defaults.Exposed

Defaults.Exposed › 보고서

SPF 오설정 보고서: 대부분의 SPF 레코드는 너무 약하게 설정되어 있다 (2026)

게시일 2026-06-29

2026-06-29 기준 수치 · 방법론 v7. SPF 레코드를 게시한 138,927,207개 도메인 전반의 집계 인구조사 데이터로, 등급이 매겨진 261백만 개 도메인 중에서 추출했습니다. 등급을 매긴 방법을 확인하세요.

SPF를 갖추는 것과 올바르게 설정하는 것은 같지 않습니다 — 그리고 SPF를 게시한 대부분의 도메인은 거의 효과가 없을 만큼 너무 약하게 설정되어 있습니다. SPF 레코드를 가진 139백만 개 도메인 중 **55.8%**가 ~all(소프트페일)로 끝나는데, 이는 수신자에게 “위조일 수도 있지만 어쨌든 배달하라”고 알리는 허용적인 설정입니다. 엄격한 -all을 사용하는 곳은 **39.3%**에 불과합니다. SPF는 널리 채택되었지만, 대개의 경우 발톱이 뽑혀 있습니다.

”all” 메커니즘: SPF의 성패가 갈리는 곳

모든 SPF 레코드는 목록에 없는 서버에서 온 메일을 어떻게 처리할지 알려주는 “all” 메커니즘으로 끝납니다. 이것이 SPF의 핵심이며 — 가장 흔하게 약화되는 지점입니다:

종결자의미SPF를 가진 도메인
-all(하드페일)목록에 없는 발신자 거부 — 엄격하고 의도된 설정39.3%
~all(소프트페일)“아마 위조겠지만 그래도 수락하라”55.8%
?all(중립)의견 없음 — 사실상 보호 없음3.0%
+all인터넷 전체가 당신을 사칭해 발송하도록 허가36,014개 도메인
기타 / 없음redirect/include 전용 또는 종결 all 없음1.8%

핵심은 소프트페일(~all)이 55.8%로 가장 흔한 설정이라는 것입니다 — 하드페일보다 많습니다. 단독으로는 소프트페일이 약한 보호만 제공합니다: 수신자에게 목록에 없는 메일을 신뢰하지 말라고 요청하지만, 거부하라고는 하지 않습니다.

위험한 극단 사례

소프트페일이 실제로 문제일까?

DMARC가 뒷받침된다면 아닙니다. 현대의 모범 사례는 ~all 에 더해 quarantine 또는 reject DMARC 정책입니다 — 이 조합은 전달된 메일을 깨뜨리지 않으면서 엄격한 시행을 제공합니다. 문제는 시행 DMARC가 뒤에 없는~all을 쓰는 도메인의 큰 비중입니다 — 전체 도메인 중 DMARC를 시행하는 곳은 10.59%에 불과하여 소프트페일이 거의 아무 일도 하지 않게 만듭니다. ~all로 설정된 SPF는 목적을 위한 수단입니다. DMARC가 없으면 그저 제안일 뿐입니다.

자주 묻는 질문

SPF에서 ~all과 -all의 차이는 무엇인가요? -all(하드페일)은 수신자에게 목록에 없는 서버에서 온 메일을 거부하라고 알립니다. ~all(소프트페일)은 어쨌든 수락하되 의심스러운 것으로 표시하라고 알립니다. SPF를 가진 도메인의 55.8%가 ~all을, 39.3%가 -all을 사용합니다.

~all(소프트페일)을 사용해도 안전한가요? 예 — 하지만 시행 DMARC 정책(quarantine 또는 reject)과 함께 쓰일 때만 그렇습니다. 단독으로는 소프트페일이 약한 보호만 제공합니다.

+all은 무엇을 하나요? +all은 인터넷의 모든 서버가 당신의 도메인 이름으로 이메일을 보내도록 허가합니다 — SPF가 없는 것보다 나쁩니다. 36,014개 도메인이 이를 가지고 있으며, 거의 항상 실수입니다.

SPF “너무 많은 조회” 오류란 무엇인가요? SPF는 중첩 DNS 조회를 최대 10회까지 허용합니다. 그 이상이면 레코드가 “permerror”로 실패하고 무시됩니다. 이는 7,958개 도메인에 영향을 미칩니다.

SPF가 올바르게 설정되었는지 확인하세요

SPF 게시는 일의 절반입니다. 엄격하게 설정하고 DMARC로 뒷받침하는 것이 나머지 절반입니다. 당신의 도메인을 비공개로 무료로 확인하세요.

도메인 확인하기 → · SPF 수정하기 → · DMARC 수정하기 → · 이메일이 스팸으로 가는 이유 → · 집계 데이터만 사용. 데이터는 EU에서 저장 및 처리됩니다.