Defaults.Exposed

Defaults.Exposed › 보고서

SPF 게시만으로는 충분하지 않다: 이메일 보안의 잘못된 안전감 (2026)

게시일 2026-06-29

2026-06-29 기준 수치 · 방법론 v7. 261백만 개의 등급이 매겨진 도메인에 걸쳐 도메인별 점검을 결합한 집계 인구조사 데이터입니다. “시행 중”은 quarantine 또는 reject DMARC 정책을 의미합니다. 등급을 매기는 방법을 참조하세요.

이메일 보안에서 가장 위험한 상태는 보호받고 있다고 느끼는 것입니다. 32.4%의 도메인이 SPF를 게시하지만 DMARC는 전혀 없으며 — 45.7%는 시행으로 뒷받침되지 않는 SPF를 가지고 있습니다. 이 소유자들은 무언가를 했고, “SPF: 구성됨”을 본 뒤 멈췄습니다. 하지만 SPF만으로는 누군가가 보이는 “From” 주소를 위조하는 것을 막지 못합니다 — 시행되는 DMARC만이 그렇게 합니다. 2026-06-29 기준으로, 단 3.87%의 도메인만이 완전히 이메일 보호를 받고 있습니다.

”구성됨”과 “보호됨” 사이의 간극

SPF는 어떤 서버가 귀하를 대신해 발송할 수 있는지를 확인합니다. SPF는 사람이 실제로 보는 “From” 주소를 관장하지 않으며, 실패 시 수신자가 무엇을 해야 하는지 알려주지도 않습니다. 그것은 DMARC의 역할입니다. 따라서 시행되는 DMARC 정책이 없는 SPF는 뒤에 문이 없는 자물쇠입니다:

상태도메인 비율실제로 보호됨?
SPF 게시됨, DMARC 레코드 전혀 없음32.4%아니요
SPF 게시됨, DMARC 시행 안 됨45.7%아니요
완전한 이메일 보호 (SPF + 시행되는 DMARC)3.87%

가운데 행을 다시 읽어보세요: 모든 도메인의 45.7%가 SPF는 있지만 시행은 없습니다 — 인터넷의 거의 과반수가 거짓 보안 영역에 머물러 있습니다. 공격자의 목적에서 볼 때 그것들은 위조 가능하며 — 전체 도메인의 89.4%가 그렇습니다.

최악의 형태: 메일은 들어오는데 문에 경비가 없음

실제로 이메일을 수신하는 도메인의 경우 더욱 심각해집니다. 42.7%의 도메인이 메일을 수신하지만(MX 레코드가 있음) 작동하는 이메일 인증이 전혀 없습니다 — SPF 시행도, DMARC도 없습니다. 이것들은 소유자가 매일 발송하고 수신하는, 살아 있고 사용 중인 도메인이며 완전히 사칭 가능합니다. 바로 그 활동성이 송장 사기와 공급업체 사기의 매력적인 표적이 되게 만듭니다.

”우리는 SPF가 있다”가 함정이 된 이유

SPF는 더 오래되었고 더 단순하며 대부분의 설정 가이드가 가장 먼저 언급하는 것입니다 — 그래서 체크되는 항목이 됩니다. DMARC는 나중에 나왔고 더 고급스럽게 들리며 시행으로 가는 의도적인 진행을 필요로 합니다. 그 결과, 1단계를 채택하고 2단계를 결코 밟지 않은 채 일이 끝났다고 계속 믿는 거대한 집단이 생깁니다. 이 인구조사는 그 오해의 규모를 처음으로 가시화합니다: SPF는 있지만 DMARC는 전혀 없는 32.4%.

실제로 보호받는 방법

  1. SPF를 유지하되, 그것에만 의존하지 마세요. (SPF 수정하기.)
  2. DKIM을 추가하여 메일이 서명되도록 하세요. (DKIM 수정하기.)
  3. DMARC를 게시하고 시행으로 옮기세요 (p=nonequarantinereject). 이것이 “구성됨”을 “보호됨”으로 바꾸는 단계입니다. (DMARC 수정하기.)

자주 묻는 질문

SPF만으로 이메일 위조를 막기에 충분한가요? 아니요. SPF는 보이는 “From” 주소를 보호하지 않으며 수신자에게 위조를 거부하라고 알려주지도 않습니다 — 시행되는 DMARC 정책만이 그렇게 합니다. 45.7%의 도메인이 그 시행 없이 SPF를 가지고 있습니다.

SPF 레코드가 있습니다 — 저는 보호받고 있나요? 그것만으로는 아닙니다. SPF(그리고 이상적으로는 DKIM)가 quarantine 또는 reject로 설정된 DMARC로 뒷받침될 때만 보호받습니다. 단 3.87%의 도메인만이 거기에 도달합니다.

여전히 사칭될 수 있는 도메인의 비율은 얼마인가요? 89.4% — SPF를 게시하든 안 하든 관계없이 시행되는 DMARC가 없기 때문입니다.

인증 없이 메일(MX)을 가지고 있는 것이 특히 위험한 이유는? 42.7%의 도메인이 활발히 이메일을 발송하고 수신하지만 작동하는 인증이 전혀 없습니다 — 누구나 위조할 수 있는, 살아 있고 신뢰받는 도메인이며, 바로 그것이 사기꾼들이 찾는 것입니다.

실제로 보호받고 있는지 확인하세요

“우리는 SPF가 있다”는 것은 보호됨과 같지 않습니다. 무료로 비공개로 도메인을 점검하세요 — 귀하의 이메일이 여전히 위조될 수 있는지 확인하세요.

도메인 점검하기 → · DMARC 수정하기 → · 도메인 노출 점수 → · p=none은 보호가 아닙니다 → · 집계 데이터만 사용. 데이터는 EU에서 저장 및 처리됩니다.