Defaults.Exposed

Defaults.Exposed › 보고서

이메일 스푸핑 가능성 지수: 누구나 위조할 수 있는 도메인은 몇 개인가? (2026)

게시일 2026-07-03

2026-06-29 기준 수치 · 방법론 v7. 261백만 개의 등급이 매겨진 도메인 — 우리가 측정하는 인터넷 — 전반에 걸친 집계 센서스로, 도메인별로 결합했습니다. 모든 수치는 집계값이며, 특정 개별 사업체의 등급이 아닙니다. 우리가 등급을 매기는 방법을 참조하세요.

스푸핑될 수 있는 도메인은 몇 개인가?

10개 중 9개입니다. 인터넷의 89.4% — 233,445,245개 도메인 — 이 인증에 실패한 메일을 거부하거나 정크 처리하라고 수신자에게 지시하는 정책을 게시하지 않습니다. 이것이 우리가 스푸핑 가능한 것으로 집계하는 대상이며, 센서스를 공격자의 시각에서 본 것입니다: “누가 이메일 보안을 시작했는가”가 아니라 “누가 여전히 사칭될 수 있는가”입니다. 대부분의 도메인은 시작했습니다 — 그들은 SPF를 게시합니다. 완료한 곳은 훨씬 적으며, 이 두 동사 사이의 간극이 바로 이 지수입니다.

여기서 “스푸핑 가능”이란 무엇을 의미하는가?

이 수치가 인용되기 때문에 정확히 정의합니다: 도메인은 p=quarantine 또는 p=reject의 DMARC 정책을 게시하지 않을 때 스푸핑 가능합니다 — 이는 모든 주요 수신자가 실패한 메시지를 거부하거나 정크 처리하도록 만드는 유일한 표준화된 지시입니다. 일부 수신자는 엄격한 SPF -all 자체만으로도 조치를 취하지만, 그러한 동작은 재량에 달려 있고 전 세계 수신함마다 일관되지 않습니다. DMARC 시행은 그들 모두가 준수하는 지시입니다. 따라서 스푸핑 가능한 도메인이 반드시 어디서나 무방비 상태인 것은 아닙니다 — 정책상으로 무방비 상태이며, 각 수신자의 선의에 의존하는 것입니다.

이것이 또한 SPF만 게시한다고 해서 도메인이 이 지수에서 벗어나지 못하는 이유입니다: SPF는 당신의 진짜 메일을 식별하지만, 시행 없이는 그 어떤 것도 수신자에게 위조 메일에 대해 조치하라고 지시하지 않습니다.

어떤 도메인 확장자가 가장 스푸핑되기 쉬운가?

등급이 매겨진 도메인 중 시행 DMARC가 없는 비율을 확장자별로 나타냈습니다:

TLD스푸핑 가능 비율
.xyz94.9%
.de78.6%
.com90.5%
.org90.0%
.uk86.6%
.nl70.6%

인터넷의 어떤 영역도 안전하지 않습니다 — 확장자 간의 차이는 노출의 정도이지, 노출의 유무를 가르는 범주가 아닙니다. 국가 수준의 극단값은 그 자체로 별개의 이야기입니다: 이 지수가 요약하는 국가별 순위는 가장 스푸핑되기 쉬운 국가들을 참조하세요.

메일 서버 단면: 살아있는 수신함, 보호 없음

이 지수에서 가장 날카로운 단면: 등급이 매겨진 전체 도메인의 42.7%가 인증을 전혀 게시하지 않은 채 살아있는 메일 서버를 운영합니다 — 실제 메일을 수신하면서 동시에 위조범에게 무방비 상태의 이름을 제공하는 111,369,509개 도메인입니다. 이들은 방치된 껍데기가 아니라, 소유자가 잠금장치를 결코 설치하지 않은, 운영 중인 메일 도메인입니다.

왜 이것이 중요한 수치인가

채택 통계는 인터넷을 실제보다 좋게 포장합니다. 스푸핑 가능성은 공격자가 여전히 할 수 있는 일을 측정합니다. 해결책은 모든 단계에서 무료입니다 — SPF, DKIM, 그다음 p=reject의 DMARC 정책 — 그리고 이를 완료하는 각 도메인은 10개 중 9개의 무리에서 보호받는 소수로 이동합니다. 이 두 기사는 같은 데이터셋을 정반대 끝에서 읽은 것입니다: 이 기사는 열린 문을 세고, 저 기사는 잠긴 문을 셉니다.

자주 묻는 질문

무엇이 도메인을 스푸핑 가능하게 만드는가? 시행 DMARC 정책(p=quarantine 또는 p=reject)의 부재입니다. 그것이 없으면 SPF/DKIM 검사에 실패한 메일을 거부하거나 정크 처리하라고 수신자에게 지시하는 표준화된 지시가 없습니다. 2026-06-29 기준으로 도메인의 89.4% — 10개 중 9개 — 가 이 상태에 있습니다.

나는 SPF를 게시합니다 — 그래도 내 도메인이 스푸핑될 수 있나요? 그 무엇도 시행하지 않는다면, 그렇습니다. SPF는 어떤 메일이 진짜인지를 증명하지만, 나머지를 거부하라고 수신자에게 지시하지는 않습니다. 그 메커니즘과 해결책은 DMARC 없는 SPF에서 다룹니다.

DMARC p=quarantine이 내 도메인을 안전하게 만드나요? 그것은 당신을 이 지수에서 벗어나게 합니다: 실패한 메일이 수신함에 배달되는 대신 정크 처리됩니다. p=reject은 한 걸음 더 나아가 그것을 아예 거부합니다 — 가장 강력한 설정이자 권장되는 목적지입니다.

내 도메인을 위조 불가능하게 만들려면 어떻게 하나요? 세 가지 잠금장치를 모두 설치하세요 — SPF, DKIM, 그리고 p=reject의 DMARC — 각각 무료 DNS 변경입니다. DMARC 정책 고치기가 당신을 이 지수에서 벗어나게 하는 시행 단계입니다.

당신의 도메인이 그 9개 중 하나인지 확인하세요

당신의 도메인은 이 지수에 있거나 없거나 둘 중 하나이며, 그 답을 얻는 것도 바꾸는 것도 무료입니다.

당신의 도메인 확인하기 → · DMARC 고치기 → · SPF 고치기 → · 가장 스푸핑되기 쉬운 국가들 → · 보호받는 소수 → · 집계 데이터만 사용. 데이터는 EU에서 저장 및 처리됩니다.