Defaults.Exposed

Defaults.Exposed › 보고서

SPF 도입 성숙도 모델(SPFAMM): SPF의 6단계 (2026)

게시일 2026-07-03

2026-06-29 기준 수치 · 방법론 v7. 261백만 개의 등급 평가된 도메인을 대상으로 하는 정기 센서스를 근거로 한 참조 모델입니다. 각 판(edition)마다 동일한 모집단을 다시 측정하므로 수치를 시간에 따라 추적할 수 있습니다. 모든 수치는 집계값입니다 — 개별 기업의 레코드는 절대 공개하지 않습니다.

인터넷은 지금 몇 단계에 있는가?

6단계 중 2.4단계. 261백만 개 도메인을 대상으로 측정한 결과, 평균적인 도메인은 아직 작동하는 SPF 울타리에 도달하지 못했으며 — 인터넷 전체는 SPF 강도에서 100점 만점에 29점을 기록합니다. SPF를 게시하는 것은 이메일 보안에서 가장 흔한 행위이지만(도메인의 53.21%가 그렇게 합니다), 그 레코드들 대부분은 수신자에게 위조 메일이라도 어쨌든 전달하라고 요청하는 설정에서 멈춰 있습니다.

문제는 도입률이 아닙니다 — 문제는 대부분의 성숙도 지침이 마치 레코드 자체가 성취인 것처럼 “우리는 SPF를 게시했다”에서 멈춘다는 것입니다. SPF 레코드는 인터넷 전체를 허가할 수도, 아무 의견도 표현하지 않을 수도, 슬그머니 스스로를 무효화할 수도, 혹은 이를 조이는 일을 아무도 일정에 넣지 않았기 때문에 영원히 softfail에 머물러 있을 수도 있습니다. 유용한 모델은 그 각각의 상태에 이름을 붙입니다. 바로 이 모델이 그렇게 합니다. SPF 도입 성숙도 모델 — SPFAMM, 여섯 단계, 각 단계마다 한 번의 움직임, 그리고 인용할 수 있는 이름. 이는 DMARC 성숙도의 6단계에 대응하는 SPF 짝입니다.

SPF 성숙도의 여섯 단계는 무엇인가?

261백만 개의 등급 평가된 도메인은 모두 정확히 1~5단계 중 하나에 위치하며, 그 다섯 개 모집단은 정확히 센서스 총계로 합산됩니다. 6단계는 5단계 안에서 집계되는 강화(hardened)된 하위 집합입니다. 바로 그 점이 SPFAMM을 포스터가 아닌 측정으로 만들어 줍니다.

단계이름도메인비율
1미보호121,145,60946.4%
2허용적 또는 손상됨7,798,3663.0%
3약한 울타리70,368,60027.0%
4엄격42,514,53216.3%
5정렬됨19,259,1257.4%
6강화됨10,092,4813.87%

(6단계는 5단계의 정렬된 도메인 중 강화된 하위 집합이므로, 1~5단계가 센서스를 분할하고 6단계는 5단계 안에 위치합니다.)

1단계 — 미보호. v=spf1 레코드가 없습니다. 어떤 수신자도 아무것도 검사하지 않으며, SPF 구간에서 도메인을 위조하기가 쉽습니다. 움직임: 실제 발신자들을 나열하고 fail 한정자로 끝나는 v=spf1 레코드를 게시하세요.

2단계 — 허용적 또는 손상됨. 레코드는 존재하지만 아무것도 보호하지 않습니다. 이 단계는 무력한 결말들 — ?all 중립(게시자의 3.0%)과 +all 환영 매트 — 그리고 손상된 레코드들을 함께 모읍니다. 즉, 표준이 전부 무효화하는 복수의 v=spf1 레코드, 그리고 사용 가능한 결말이 없는 단편적 레코드들입니다. 한 가지 예외: 약 2.1백만 개의 레코드가 redirect=로 끝나는데, 이는 유효한 위임입니다 — 그들의 실제 정책은 대상에 존재하며, 우리가 이를 여기서 집계하는 이유는 오직 그들 자신의 레코드가 판정을 담고 있지 않기 때문입니다. 움직임: 하나의 레코드, 하나의 실제 결말 — ~all 또는 -all.

3단계 — 약한 울타리. 레코드가 ~all(softfail)로 끝나지만 그 뒤에 아무것도 집행하지 않습니다 — 70.4백만 개 도메인으로, 게시된 SPF 단계 중 가장 큰 모집단입니다. Softfail은 잠기지 않은 문이 달린 진짜 울타리입니다. 수신자에게 “다른 곳에서 온 메일은 아마도 위조된 것”이라고 말하면서도, 어쨌든 전달해 달라고 요청합니다. 움직임: 벽을 넘으세요 — 모든 발신자를 파악한 뒤, 위로 올라가는 두 경로(아래 참조) 중 하나를 택하세요.

4단계 — 엄격. 레코드가 -all로 끝납니다: 42.5백만 개 도메인이 “다른 모든 이를 거부”라는 노골적인 선언을 게시하지만, 아직 그 뒤에 DMARC 집행이 없습니다. 우리 자신의 측정이 이제 정량화하는 한 가지 솔직한 유의점: 10회 조회 한계를 초과하는 -all 레코드는 아무리 엄격해 보여도 무효입니다 — 인터넷의 -all 레코드 중 최소 112,215개가 그 상태에 있습니다. 움직임: 레코드 뒤에 집행하는 DMARC 정책을 두어, 실패가 어디서든 조치되도록 하세요.

5단계 — 정렬됨. SPF — 약하든 엄격하든 — 가 DMARC p=quarantine 또는 p=reject 뒤에 위치합니다. 이 단계는 여러분의 정확한 도메인을 스푸핑하는 행위가 모든 주요 메일함 제공업체에서 실제로 멈추는 단계입니다: 19.3백만 개 도메인이며, 그중 7.1백만 개가 ~all을 집행과 짝지었고(구글의 발신자 지침이 권장하는 패턴), 12.1백만 개가 -all을 그것과 짝지었습니다. 움직임: DKIM을 추가하고 계속 주시하세요 — 레코드는 부패합니다.

6단계 — 강화됨. SPF 더하기 DKIM 더하기 집행하는 DMARC — 완전히 보호된 집합으로, 10,092,481개 도메인, 인터넷의 3.87% — 여기에 드리프트를 감시하는 규율이 더해집니다: include: 체인이 바뀌고, 제공업체가 IP를 옮기고, 누군가가 여러분 명의로 발송하는 새 도구를 연결합니다. 움직임: 여기에 머무르세요. 그것은 배지가 아니라 실천입니다.

무발송 레인. 메일을 전혀 보내지 않는 도메인은 단 한 번의 편집으로 정상에 도달할 수 있습니다: SPF -all 더하기 DMARC p=reject. 보호할 정당한 것이 없다는 것은 넘을 벽이 없다는 뜻이며 — 이는 가장 흔한 사칭 벡터 중 하나를 닫아 버립니다.

왜 인터넷은 3단계에서 멈추는가?

거의 모든 다른 움직임은 작은 DNS 편집인 반면, 3단계에서 벗어나는 움직임은 이기 때문입니다: 여러분 명의로 정당하게 발송하는 모든 시스템을 열거하는 것 — 메일함 제공업체, 뉴스레터 플랫폼, CRM, 청구 도구, 지난 봄 마케팅이 가입한 그것 — 그리고 10회 조회 예산을 초과하지 않으면서 이들을 하나의 레코드에 담는 것입니다. 그것이 바로 벽입니다. ~all은 그 일을 하지 않고도 도달할 수 있는 마지막 발판이며, 그래서 70.4백만 개 도메인이 거기에 머물러 있습니다.

벽 꼭대기에서는 위로 올라가는 두 경로가 있으며, 둘 다 5단계에 도달합니다:

센서스는 두 경로 모두 얼마나 드물게 완결되는지를 보여 줍니다: 77.5백만 개의 softfail 레코드 중 오직 7.1백만 개 — 약 11개 중 1개 — 만이 그 뒤에 집행을 두고 있습니다.

SPF 강도 점수는 어떻게 계산되는가?

간단하게, 그리고 점수가 월별로 비교 가능하도록 가중치를 일정하게 유지합니다: 무언가가 집행하는 도메인(56단계)에는 만점, 아무도 조치하지 않는 진짜 울타리(34단계)에는 절반 점수, 부재하거나 허용적이거나 손상된 레코드에는 0점. 그 척도에서 인터넷은 2026-06-29 기준 29/100을 기록합니다. 모집단의 거의 절반이 애초에 아무것도 게시하지 않기 때문에 0점을 기여합니다.

내 도메인의 단계는 어떻게 찾는가?

1~4단계는 여러분의 DNS 레코드에서 곧바로 읽어 낼 수 있고, 5단계는 여러분의 DMARC 정책을 더하며, 6단계는 DKIM을 더합니다. 한눈에 알 수 없는 단 하나는 엄격한 레코드가 몰래 조회 한계를 초과했는지 여부입니다 — 이는 체인을 해석해야 알 수 있으며, 우리 검사기가 여러분을 대신해 해 줍니다.

자주 묻는 질문

SPFAMM이란 무엇인가요? SPF 도입 성숙도 모델 — 이 페이지의 6단계 모델입니다: 미보호, 허용적/손상됨, 약한 울타리, 엄격, 정렬됨, 강화됨. 모든 도메인의 단계는 그 DNS로부터 계산 가능합니다: 1~5단계가 261백만 도메인 센서스를 정확히 분할하며, 6단계는 5단계 안의 강화된 하위 집합입니다.

대부분의 도메인은 몇 단계에 있나요? 1단계 — 도메인의 46.4%가 SPF를 전혀 게시하지 않습니다. 게시하는 도메인 중에서는 3단계(집행 없는 softfail)가 가장 흔한 정착지로, 70.4백만 개 도메인이 여기에 있습니다. 모집단 가중 평균은 2.4단계입니다.

~all softfail로 충분한가요? 그 뒤에 집행하는 DMARC 정책이 있을 때만 그렇습니다 — 그 짝지음이 5단계이며 구글의 발신자 지침이 권장하는 패턴입니다. 그 자체만으로는 3단계입니다: 진짜 울타리, 잠기지 않은 문. 전체 비교는 ~all-all에 있습니다.

안전하려면 반드시 -all에 도달해야 하나요? 아닙니다. 4단계는 두 경로 중 하나일 뿐 필수 요건이 아닙니다 — ~all을 유지하고 DMARC p=reject로 집행하면 DMARC를 평가하는 수신자에서 동일한 보호에 도달합니다. 필수인 것은 벽입니다: 무언가가 집행하기 전에 모든 발신자를 아는 것.

여섯 단계를 모두 완주하는 도메인은 얼마나 되나요? 10,092,481개 — 인터넷의 3.87% — 가 SPF, DKIM, 그리고 집행하는 DMARC 정책을 함께 보유합니다. 모든 단계 전환은 무료이며, 자세한 내용은 보호받는 소수에 있습니다.

여러분의 도메인이 어디에 서 있는지 확인하세요

여러분의 도메인은 이 여섯 단계 중 정확히 하나에 있으며, 다음 움직임은 30초 안에 알 수 있습니다 — 무료이고, 사다리를 따라가는 모든 수정은 구매가 아니라 DNS 변경입니다.

내 도메인 확인하기 → · SPF 수정하기 → · ~all-all · SPF PermError 보고서 → · DMARC 성숙도의 6단계 → · 집계 데이터만 사용합니다. 데이터는 EU에서 저장·처리됩니다.