Defaults.Exposed

Defaults.Exposed › 보고서

도메인에 SPF 레코드를 두 개 둘 수 있을까? 아니오 — 방금 백만 개의 도메인이 스스로 무효화했습니다 (2026)

게시일 2026-07-03

2026-06-29 기준 수치 · 방법론 v7. 261백만 개의 등급 평가 도메인에 걸친 집계 센서스입니다. 모든 수치는 집계값이며 — 결코 특정 기업의 개별 레코드가 아닙니다. 등급 평가 방식을 참고하세요.

아니오 — 도메인은 정확히 하나의 SPF 레코드만 게시할 수 있으며, 이를 잘못하면 SPF가 완전히 꺼집니다: 현재 1,013,416개의 도메인이 두 개 이상을 게시하고 있는데, RFC 7208에 따라 이는 해당 도메인의 모든 SPF 레코드를 무효로 만듭니다. 가장 최신 것도, 가장 오래된 것도 아니라 — 전부입니다. 여러 개의 v=spf1 레코드를 발견한 수신자는 반드시 영구적 오류를 반환해야 하며, 이는 SPF 보호가 전혀 없다는 뜻입니다. 소유자에게는 보호가 두 배로 되어 있는 것처럼 보이는 도메인에서 말이죠.

왜 SPF 레코드 두 개가 0이 될까?

표준은 단호합니다: 도메인의 SPF 정책은 v=spf1로 시작하는 단일 TXT 레코드여야 합니다(RFC 7208 §3.2; 오류 결과는 §4.5에 규정되어 있습니다). 조회에서 두 개 이상이 발견되면 수신자는 어느 것이 권위 있는 것인지 알 수 없으므로 — 표준은 추측을 금지합니다. 표준을 준수하는 수신자는 반드시 PermError를 반환해야 합니다: 평가가 영구적으로 실패합니다.

그리고 PermError는 중립적이지 않습니다. DMARC는 이를 SPF 부문의 실패로 처리하므로 — 레코드를 중복시킨 도메인은 자신의 보호를 무효화한 데다 동시에 자신의 정당한 메일 인증까지 스스로 발목 잡은 셈입니다. 보호를 추가하는 것이 오히려 보호를 제거해버리는, 극히 드문 DNS 실수 중 하나입니다(DMARC 레코드를 두 개 게시하면 DMARC에도 동일한 일이 벌어집니다).

SPF를 시도하는 도메인 138개 중 약 1개가 스스로 이렇게 만들었습니다.

어쩌다 이런 일이 생길까? 온보딩 복사-붙여넣기

거의 아무도 일부러 두 번째 SPF 레코드를 작성하지 않습니다. 이메일 도구를 추가하는 바로 그날 발생합니다:

  1. 도메인에는 이미 메일박스 제공업체로부터 받은 v=spf1 include:spf.protection.outlook.com -all이 있습니다.
  2. 뉴스레터 플랫폼, CRM 또는 청구 도구에 가입합니다.
  3. 해당 설정 가이드는 이렇게 말합니다: “이 TXT 레코드를 DNS에 추가하세요: v=spf1 include:newtool.example.com ~all.”
  4. 당신은 말 그대로 시키는 대로 합니다 — 기존 레코드 옆에 그것을 추가합니다.

이제 두 개의 레코드가 존재하고, 둘 다 무효입니다. 가이드는 “추가하라”고 했지만, 추가야말로 표준이 허용하지 않는 단 하나의 행동입니다. 올바른 조치 — 새로운 include:를 기존 레코드에 병합하는 것 — 는 거의 어떤 온보딩 절차에서도 언급되지 않습니다.

이 실패는 DNS 패널에서는 보이지 않습니다: 두 레코드 모두 개별적으로는 형식이 올바르게 보이고, 수신자가 다른 신호로 대체 처리하기 때문에 메일은 대체로 여전히 도착합니다. 스푸핑이 도착하거나 도달률이 떨어질 때까지 아무것도 당신에게 경고하지 않습니다.

확인하고 고치는 법 — 2분, 무료

  1. 도메인의 TXT 레코드를 조회합니다(dig TXT yourdomain.com, 또는 무료 점검 사용).
  2. v=spf1로 시작하는 레코드의 개수를 세어봅니다. 안전한 개수는 오직 1개뿐입니다.
  3. 두 개 이상이라면: 이들을 병합하세요 — 모든 include:ip4:/ip6: 메커니즘을 하나의 종단 한정자를 가진 단일 레코드로(~all vs -all 참고) — 그리고 나머지는 삭제합니다.
Before:  v=spf1 include:spf.protection.outlook.com -all
         v=spf1 include:servers.mcsv.net ~all

After:   v=spf1 include:spf.protection.outlook.com include:servers.mcsv.net -all

병합하는 동안 10회 조회 한도를 주시하세요 — include: 메커니즘이 너무 많으면 다른 방식으로 SPF가 깨집니다.

자주 묻는 질문

여러 개의 SPF 레코드가 허용되나요? 아니요. RFC 7208은 도메인당 정확히 하나의 v=spf1 레코드만 허용합니다. 두 개 이상은 영구적 오류를 일으켜 SPF를 완전히 무효로 만듭니다. 2026-06-29 기준 1,013,416개의 도메인이 이 상태에 있습니다.

두 번째 SPF 레코드가 첫 번째를 덮어쓰나요? 어느 쪽도 이기지 못합니다. 여러 레코드를 발견한 수신자는 하나를 선택하기보다는 반드시 평가를 실패시켜야 하므로 — 모두 한꺼번에 작동을 멈춥니다.

두 개의 SPF 레코드를 하나로 합치려면 어떻게 하나요? v=spf1로 시작하고, 모든 레코드의 모든 include:와 IP 메커니즘을 포함하며, 단일 -all 또는 ~all로 끝나는 하나의 레코드로 만듭니다. 나머지는 삭제한 다음, 병합 후에도 조회 횟수가 유지되었는지 확인하세요.

SPF 레코드가 두 개인데도 왜 제 이메일은 여전히 작동하나요? 오류에 부딪힌 수신자는 대개 SPF 없이 진행하므로, 당신의 메일은 평판과 DKIM에 의존해 전달됩니다. 당신이 잃은 것은 보호입니다 — 위조자를 거부하는 것이 아무것도 없으며 — 당신의 DMARC 평가는 SPF 부문을 잃습니다. 작동하는 메일과 작동하는 SPF는 서로 다른 것입니다.

당신의 도메인이 백만 개 중 하나인지 확인하세요

30초짜리 확인이 당신에게 이상 없음을 알려주거나, 아니면 2분짜리 병합 작업을 안겨줍니다.

내 도메인 확인하기 → · SPF 수정하기 → · SPF PermError 리포트 → · SPF 성숙도 모델 → · 집계 데이터만 사용합니다. 데이터는 EU에서 저장 및 처리됩니다.