SPF, DKIM, DMARC를 사용하는 스팸 필터를 통해 비즈니스 이메일을 받은 방법

Gmail 구독 취소 라벨

케리 완/ZDNET

ZDNET을 팔로우하세요: 우리를 선호 소스로 추가하세요 Google에서.


ZDNET 주요 내용

  • 도메인을 보호하고 이메일을 정크 메일로부터 보호하는 세 가지 DNS 레코드가 있습니다.
  • 세 가지를 모두 실행하면 완전한 적용 범위가 제공됩니다.
  • 또한 도메인이 하이재킹되지 않도록 보호합니다.

업무용 이메일을 많이 보내고 계속해서 무음이 발생한다면 이메일이 누군가의 스팸 폴더에 들어갈 가능성이 높습니다.

이메일 내용과 항상 관련이 있는 것은 아니지만 이런 일이 발생할 수 있는 몇 가지 이유가 있습니다. 가장 일반적으로 도메인이 인증되지 않을 수 있으며, 이는 수신 메일 서버가 귀하의 메시지를 스팸 폴더에 조용히 보관해야 하는 모든 이유를 제공합니다.

또한: 버너 이메일이 받은 편지함을 보호하는 방법 – 하나를 설정하는 것은 쉽고 무료입니다.

나는 진정으로 좋은 이메일 콘텐츠를 보유한 팀을 포함하여 예상보다 사람들이 허를 찔리는 경우를 자주 보았습니다. 다행히 SPF, DKIM, DMARC라는 세 가지 DNS 레코드와 관련된 쉬운 수정 방법이 있습니다. 이들은 함께 귀하의 이메일이 합법적이라는 것을 인터넷에 증명합니다. 또한 사이버 범죄자가 이메일에서 귀하를 사칭할 수 있도록 귀하의 도메인을 하이재킹하지 못하도록 보호합니다.

Gmail과 Yahoo는 2024년 2월부터 대량 발신자에 대해 이러한 인증 요구 사항을 시행하기 시작했습니다. 이에 따라 Microsoft는 2025년 5월에 Outlook.com, Hotmail 및 Live.com에 대해 동일한 요구 사항을 추가했습니다. 아직 설정하지 않은 경우 더 이상 선택 사항이 아닙니다.

SPF, DKIM 및 DMARC가 실제로 수행하는 작업

세 가지 프로토콜은 각각 이메일 인증의 서로 다른 약점을 해결합니다. SPF는 귀하의 이메일을 보내는 서버가 그렇게 할 권한이 있는지 확인합니다. DKIM은 보내는 메시지에 암호화 서명을 추가하여 메시지가 전송 중에 변경되지 않았음을 확인합니다.

DMARC는 확인이 실패할 경우 수신 서버에 무엇을 해야 하는지 알려주고 인증 보고서를 사용자에게 다시 라우팅하는 정책을 게시하여 두 가지를 하나로 묶습니다.

진정으로 세 가지가 모두 필요합니다. SPF만으로는 수신자가 받은 편지함에 표시되는 “보낸 사람” 주소를 위조하는 것을 막을 수 없습니다. DKIM만으로는 승인되지 않은 서버에서 전송된 이메일을 포착할 수 없습니다. 세 가지를 모두 실행하는 경우에만 배달 가능성 문제와 도메인 스푸핑에 대한 완전한 보호를 받을 수 있습니다.

1. SPF: 귀하를 대신하여 보내는 서버에 권한을 부여합니다.

스크린샷-도구-20260521185856.png

Ritoban Mukherjee/ZDNET의 스크린샷

SPF(Sender Policy Framework)는 도메인을 대신하여 이메일을 보내도록 승인된 모든 IP 주소와 메일 서버를 나열하는 DNS TXT 레코드입니다. 수신자의 메일 서버가 귀하로부터 온 것으로 주장하는 메시지를 받으면 보내는 서버의 IP와 비교하여 해당 기록을 확인합니다. IP가 목록에 없으면 메시지가 실패합니다.

또한: 받은 편지함을 자동으로 정리하기 위해 제가 가장 좋아하는 이메일 트릭은 다음과 같습니다.

설정이란 도메인 등록 기관(GoDaddy, Cloudflare, Namecheap 등)에 로그인하고 도메인 루트에 TXT 레코드를 추가하는 것을 의미합니다. 작동 방식은 다음과 같습니다.

  1. 먼저 이메일 서비스에서 SPF 값을 얻으세요. Google Workspace, Microsoft 365 및 대부분의 플랫폼은 도메인 인증 페이지에 복사하여 붙여넣는 데 필요한 정확한 레코드 값을 제공합니다. Google Workspace의 경우 v=spf1 include:_spf.google.com ~all과 같습니다.

  2. 여러 서비스를 통해 이메일을 보내는 경우 동일한 레코드에 쌓아야 합니다(예: v=spf1 include:_spf.google.com include:spf.protection.outlook.com ~all).

  3. 도메인의 DNS 레코드를 관리하는 플랫폼에 로그인하세요. GoDaddy, Cloudflare, Namecheap, Route 53 등이 될 수 있습니다. DNS 페이지에서 새 TXT 레코드를 생성하고 호스트를 @(루트 도메인)로 설정한 후 이전 단계의 SPF 값을 붙여넣습니다.

그만큼 쉽습니다! 도메인에는 SPF TXT 레코드가 하나만 있을 수 있으며 DNS 조회는 10회 이하입니다. 첫 번째 SPF 레코드를 편집하는 대신 두 번째 SPF 레코드를 생성하면 둘 다 손상됩니다. 따라서 승인된 발신자 목록을 간결하게 유지하세요.

2. DKIM: 모든 이메일에 변조 방지 서명을 추가하세요.

스크린샷-도구-20260521185419.png

Ritoban Mukherjee/ZDNET의 스크린샷

DKIM(DomainKeys Identified Mail)은 공개 키 암호화를 사용하여 보내는 메시지에 서명합니다. 메일 서버는 보유하고 있는 개인 키를 사용하여 서명을 첨부하므로 수신자는 귀하가 DNS에 게시한 일치하는 공개 키와 대조하여 이를 확인할 수 있습니다. 서버와 수신자의 받은 편지함 사이에서 이메일이 수정된 경우 해당 서명 확인이 실패합니다.

또한: 이 간단한 이메일 트릭을 사용하면 성가신 마케팅 스팸을 피할 수 있습니다(무료입니다).

Google Workspace, Microsoft 365 및 SendGrid와 같은 대부분의 주요 이메일 플랫폼은 DKIM 키 쌍을 생성합니다. 귀하의 임무는 그들이 제공한 공개 키를 복사하여 도메인의 DNS 설정에 새 TXT 레코드로 붙여넣는 것입니다.

정확한 설정 단계는 이메일 제공업체와 도메인 등록 기관에 따라 다르지만 수행해야 할 작업에 대한 일반적인 개요는 다음과 같습니다.

  1. Google Workspace, Microsoft 365, SendGrid, Mailchimp 및 기타 이메일 서비스 제공업체는 도메인 인증 설정 페이지로 이동하면 DKIM 레코드를 생성합니다. 예를 들어 Google Workspace를 사용하는 경우 Google 관리 콘솔의 앱 > Google Workspace > Gmail에 있습니다. 새 레코드를 생성하고 먼저 해당 값을 복사하려면 클릭하세요.

  2. 그런 다음 도메인 등록 기관의 DNS 설정 페이지로 이동하여 이전에 SPIF를 설정할 때와 마찬가지로 새 TXT 레코드를 만듭니다. 일부 제공업체에서는 이를 TXT 레코드 대신 CNAME 레코드로 추가하도록 요구할 수도 있으므로 이메일 제공업체의 설명서를 참조하세요.

  3. 이메일 공급자로부터 받은 호스트 이름과 레코드 값을 새 DNS 레코드에 붙여넣습니다. 도메인 보안에 영향을 미칠 수 있으므로 오타가 없는지 확인하세요.

  4. 이제 이메일 제공업체의 인증 설정으로 돌아갑니다. 여기에서 도메인에 대한 DKIM 서명을 활성화할 수 있습니다. Google Workspace에서는 관리 콘솔의 ‘이메일 인증’ 페이지를 다시 방문하여 ‘인증 시작’을 클릭하면 됩니다. DNS 레코드가 도메인 전체에 전파되는 데 시간이 걸리므로 24~48시간 후에 이 작업을 수행해야 한다는 점을 기억하세요.

DKIM은 전달된 메시지에 특히 유용합니다. 전달하면 IP 주소가 변경되기 때문에 SPF가 손상되는 경우가 많지만 DKIM 서명은 일반적으로 그대로 유지됩니다. 이는 SPF만으로는 실패하더라도 전달된 이메일은 여전히 ​​인증을 통과할 수 있음을 의미합니다.

3. DMARC: 인증 실패 시 발생하는 규칙을 설정합니다.

스크린샷-도구-20260521190257.png

Ritoban Mukherjee/ZDNET의 스크린샷

DMARC(Domain-based Message Authentication, Reporting, and Conformance)는 SPF 및 DKIM을 시행 가능하게 만드는 정책 계층입니다. 이것이 없으면 실패한 검사를 감지한 수신 서버는 다음에 수행할 작업에 대한 지침이 없으며 무엇이 실패했는지, 이유가 무엇인지 알 수 없습니다. 시작하고 실행하는 방법은 다음과 같습니다.

  1. 먼저 [email protected]과 같은 DMARC 보고서 전용 받은편지함을 만드는 것부터 시작하세요.

  2. 대부분의 이메일 제공업체는 대시보드에 DMARC 생성기를 제공하지만 MXToolbox 또는 DMARCLY와 같은 타사 서비스를 사용할 수도 있습니다.

  3. 새 TXT 레코드를 추가합니다. 호스트 이름은 _dmarc여야 합니다. DMARC 생성기에서 직접 레코드 값을 붙여넣습니다.

  4. 2~4주 동안 전용 받은 편지함에서 오류 보고서를 확인하세요. 그러면 더 나은 배달 가능성을 위해 해결해야 하는 사서함 관련 문제가 모두 드러납니다.

또한: 실제 피싱 이메일로 NordVPN의 무료 사기 검사기를 테스트했습니다. 결과는 다음과 같습니다.

다른 두 개와 마찬가지로 DMARC는 TXT 레코드이며 이번에는 _dmarc.yourdomain.com에 추가되었습니다. 간단한 시작 레코드는 다음과 같습니다: v=DMARC1; p=없음; rua=mailto:[email protected]. p=none 설정은 수신 서버가 실패한 메시지에 대해 어떠한 조치도 취하지 않고 사용자가 지정한 주소로 집계 보고서를 보낸다는 의미입니다. 이러한 보고서에는 귀하를 대신하여 전송하는 서비스와 해당 서비스가 인증을 통과하는지 여부가 표시됩니다.

몇 주간의 보고서를 검토하고 합법적인 메일이 정상적으로 통과되고 있음을 확인한 후에는 정책을 강화할 수 있습니다. 실패한 메시지를 스팸으로 라우팅하려면 p=quarantine으로 이동한 다음, 완전히 차단하려면 p=reject로 이동하세요.

보고서를 검토하기 전에 바로 p=reject로 이동하는 것은 아마도 제가 본 가장 일반적인 구현 실수일 것이며, 이는 결국 귀하의 마케팅 또는 거래 이메일을 차단하게 됩니다.

왜 하나만 고를 수 없는가

각 프로토콜에는 다른 프로토콜이 채워주는 공백이 있습니다. SPF는 보내는 서버를 확인하지만 수신자가 실제로 보는 “보낸 사람” 주소는 확인하지 않으므로 공격자는 도메인을 가장하면서 SPF를 통과할 수 있습니다. DKIM은 메시지 무결성을 확인하지만 서명 도메인이 표시되는 발신자와 일치하는지 여부는 확인하지 않습니다.

DMARC는 이러한 모든 요소 간의 정렬을 시행하고 정렬이 잘못된 경우 선택한 정책을 적용합니다.

결합된 전달 가능성의 상승 여력은 측정 가능합니다. Validity의 2025년 이메일 벤치마크 보고서에 따르면 적절하게 인증된 도메인의 받은 편지함 배치 비율은 인증되지 않은 도메인보다 약 60% 포인트 더 높습니다. 콜드 아웃리치 캠페인이나 대량 뉴스레터를 운영하는 사람에게 이러한 격차는 결과를 생성하는 캠페인과 완전히 사라지는 캠페인의 차이입니다.

기록이 작동하는지 확인하는 방법

DNS 변경 사항이 전 세계에 적용되는 데 일반적으로 15분에서 48시간이 소요됩니다. 해당 기간이 지나면 무료 도구를 통해 모든 것이 올바르게 구성되었는지 즉시 알 수 있습니다. MX Toolbox에는 SPF, DKIM 및 DMARC에 대한 별도의 검사기가 있습니다. 또한 [email protected]으로 테스트 이메일을 보내면 도메인에 대한 전체 인증 보고서가 포함된 응답을 받을 수 있습니다.

또한: 2026년 최고의 이메일 호스팅 서비스: 전문가 테스트 및 검토

귀하의 DMARC 집계 보고서는 가장 가치 있고 지속적인 신호입니다. DMARC 기록을 게시한 후 하루나 이틀 이내에 귀하가 지정한 주소로 보고서가 도착하기 시작합니다. 여기에는 귀하의 도메인에서 이메일을 보내는 모든 서버와 각 서버의 인증 통과 여부가 표시됩니다. 정기적으로 읽는 것은 잘못된 구성이 전달 가능성에 영향을 미치거나 피싱 캠페인에서 도메인이 남용되기 전에 조기에 발견하는 가장 좋은 방법입니다.

자세한 정보 확인

자세한 정보 확인

관련 기사

댓글 남기기