SPF로 메일 전송 확인 및 스푸핑 방지하기

위조된 이메일 피해를 방지하고 메일이 스팸으로 표시되지 않도록 합니다.

SPF(Sender Policy Framework)는 도메인의 이메일을 보내도록 승인된 메일 서버를 지정하는 이메일 인증 방법입니다. SPF를 사용하면 스푸핑으로부터 도메인을 보호하고 메일이 올바르게 전송되도록 할 수 있습니다. SPF를 사용하는 메일 서버에서는 특정 도메인에서 전송된 것처럼 보이는 메일이 실제로 해당 도메인에서 전송된 것인지 확인할 수 있습니다.

  • SPF로 스푸핑 예방: 스팸 발송자는 내 도메인이나 조직을 위조하여 내 조직에서 전송된 것처럼 보이는 위조 메일을 보낼 수 있으며 이를 스푸핑이라고 합니다. 스푸핑 메일은 잘못된 정보를 전달하거나, 유해한 소프트웨어를 전송하거나, 사용자를 속여 민감한 정보를 제공하도록 하는 등 악의적인 목적으로 사용됩니다. SPF를 사용하면 내 도메인에서 보낸 메일이 실제로 내 조직에서 발송된 메일이고, 내가 승인한 메일 서버에서 보낸 것인지 확인할 수 있습니다.
  • SPF로 수신자의 받은편지함으로 메일 전송: SPF를 사용하면 내 도메인에서 보낸 메일이 스팸으로 분류되는 것을 방지할 수 있습니다. 도메인에서 SPF를 사용하지 않는 경우 수신 메일 서버는 내 도메인에서 전송된 것처럼 보이는 메일이 실제로 내가 보낸 것인지 확인할 수 없습니다. 수신 서버에서 수신자의 스팸 폴더로 유효한 메일을 보내거나 유효한 메일을 거부할 수도 있습니다.

참고: G Suite에 가입할 때 Google 파트너로부터 도메인을 구매한 경우에는 SPF 레코드를 설정하지 않아도 됩니다. SPF가 도메인 호스트에 의해 관리되는 설정 중 하나인지 확인하세요.

이메일 인증 권장사항

도메인에 항상 다음과 같은 이메일 인증 방법을 설정하는 것이 좋습니다.

  • SPF를 사용하면 특정 도메인에서 전송된 것처럼 보이는 메일이 도메인 소유자가 승인한 서버에서 전송되었는지 확인할 수 있습니다.
  • DKIM을 사용하면 모든 메일에 디지털 서명을 추가할 수 있습니다. 이를 통해 수신 서버에서 메일이 위조되지 않았으며 전송 중에 변경되지 않았음을 확인할 수 있습니다.
  • DMARC를 사용하면 SPF 및 DKIM을 사용하여 메일을 인증하고 의심스러운 수신 메일을 관리할 수 있습니다.
자세한 방법은 스푸핑, 피싱, 스팸 방지하기를 참고하세요.

시작하기 전에

조직에 SPF를 사용 설정하기 전에 이 섹션의 정보를 읽어보세요.

도메인 호스트 찾기

Google 관리 콘솔이 아닌 도메인 공급업체의 관리 콘솔에서 SPF를 사용 설정합니다. 도메인 공급업체를 모르는 경우 다음 단계를 따르세요.

결제 기록을 찾을 수 없는 경우 도메인 호스트를 온라인으로 검색할 수 있습니다. ICANN(Internet Corporation for Assigned Names and Numbers)은 도메인 정보를 수집하는 비영리 조직입니다. ICANN Lookup 도구를 이용해 도메인 호스트를 찾아보세요.

  1. lookup.icann.org로 이동합니다.
  2. 검색 입력란에 도메인 이름을 입력하고 Lookup(조회)을 클릭합니다.
  3. 결과 페이지에서 'Registrar'(등록기관) 'Information'(정보)까지 아래로 스크롤합니다. 일반적으로 등록기관이 도메인 호스트입니다.

도메인 리셀러

일부 도메인은 별도 등록기관을 통해 리셀러가 호스팅하기도 합니다. 표시된 등록기관에 로그인할 수 없거나 등록기관 입력란이 비어 있으면 도메인 호스트가 리셀러일 수 있습니다.

  1. ICANN Lookup 결과 페이지에서 Raw Registry RDAP Response(원시 레지스트리 RDAP 응답)까지 아래로 스크롤합니다.
  2. Reseller(리셀러) 항목을 검색합니다.
  3. 리셀러의 웹사이트로 이동합니다.
  4. 도메인을 구입(또는 이전)할 때 사용한 사용자 인증 정보로 로그인합니다.
    비밀번호를 잊어버렸다면 리셀러의 지원팀에 문의하세요.

리셀러가 표시되지 않으면 표시된 등록기관의 지원팀에 도움을 요청하세요.

타사 이메일 제공업체 및 SPF

타사 이메일 제공업체에서 전송된 조직의 유효한 메일이 SPF 검사를 통과하지 못할 수 있는데 이는 수신 서버에서 타사 제공업체의 메일을 스팸으로 분류하기 때문일 수 있습니다.

타사 제공업체에서 전송된 메일이 SPF를 통과하도록 하려면 다음 안내를 따르세요.

  • 제공업체의 SPF 레코드를 확인합니다.
  • 제공업체에 내 도메인 또는 네트워크를 통해 메일을 라우팅하도록 요청합니다.

DNS TXT 레코드

도메인에 SPF를 사용 설정하려면 도메인의 SPF DNS TXT 레코드를 업데이트하세요. G Suite 관리 콘솔이 아닌 도메인 공급업체의 관리용 콘솔에서 이 작업을 수행해야 합니다. 

DNS TXT 레코드를 업데이트하려면 도메인 공급업체의 관리용 콘솔에 SPF 레코드를 나타내는 텍스트를 입력하세요. 세부 단계는 도메인에 SPF 사용 설정하기를 참고하세요.

1단계: SPF 레코드 만들기

SPF 레코드는 도메인에서 메일을 전송할 수 있는 메일 서버를 정의합니다. 도메인에는 하나의 SPF 레코드만 있을 수 있습니다. 하지만 하나의 SPF 레코드는 도메인에서 메일을 보낼 수 있는 서버 및 도메인을 여러 개 지정할 수 있습니다.

조직에서 보내는 모든 이메일이 G Suite에서 전송되는 경우 다음 SPF 레코드를 사용하세요.

v=spf1 include:_spf.google.com ~all

G Suite 이외의 서버에서 메일을 보내거나 타사 메일 제공업체를 사용하는 경우 맞춤 SPF 레코드를 만드세요. SPF 레코드의 서버 정보SPF 레코드 형식의 정보를 사용하여 레코드를 만드세요.

SPF 레코드의 서버 정보
도메인의 SPF 레코드를 정의하려면 메일 서버에 대한 정보가 필요합니다.

모든 메일 서버의 IP 주소

조직의 메일을 전송하는 모든 서버의 IP 주소를 수집하세요. 이러한 서버에는 다음이 포함될 수 있습니다.

  • 웹 서버
  • 사내 메일 서버(예: Microsoft Exchange)
  • 서비스 제공업체에서 사용하는 메일 서버
  • 도메인의 이메일을 전송하는 모든 타사 제공업체 또는 서비스

조직의 이메일을 전송하는 도메인

이메일 전송 시 사용하지 않는 도메인을 포함하여 조직에서 관리하는 모든 도메인을 확인하세요. SPF로 발신 도메인이 보호되면 스팸 발송자는 메일 전송에 사용되지 않는 도메인을 스푸핑하려고 시도할 수 있습니다.

SPF 레코드 형식

SPF 레코드는 다수의 태그와 값이 한 줄로 나열된 일반 텍스트 형식이며 여기서 태그를 메커니즘이라고 부릅니다. 선택적으로 사용할 수 있는 한정자라는 다른 일련의 태그는 메커니즘 일치가 있을 때 수행할 작업을 정의합니다.

다음은 일반적인 구성에 대한 SPF 레코드의 몇 가지 예입니다. 이 예시 IP 주소와 도메인을 관리자의 주소와 도메인 이름으로 변경하세요.

192.168.0.1~192.168.255.255 사이에 있는 모든 IP 주소를 허용합니다.

v=spf1 ip4:192.168.0.1/16 -all

메일을 보내지 않는 도메인이 있는 경우 다음 SPF 레코드를 사용하여 해당 도메인이 스푸핑되는 것을 방지합니다.

v=spf1 -all

SPF 레코드 메커니즘

SPF 레코드를 만드는 데 사용되는 태그를 메커니즘이라고 합니다.

중요: SPF 레코드는 최대 10회까지 조회가 가능하며 일반적으로 SPF 레코드의 각 메커니즘에서 조회를 생성합니다. SPF 레코드에 10회 이상의 조회가 있는 경우 도메인의 메일이 수신 서버의 SPF 인증 검사를 통과하지 못하며 해당 메일은 스팸으로 분류될 수 있습니다. 자세한 내용은 SPF 레코드의 DNS 조회 확인하기를 참고하세요.

다음은 SPF 레코드에서 사용할 수 있는 메커니즘 목록입니다. 메커니즘은 SPF 레코드의 순서대로 확인됩니다. 메커니즘 일치가 있고 한정자가 사용되지 않는 경우 기본 작업은 Pass입니다.

참고: 이 표의 값은 예시입니다. 예시 값을 관리자의 메일 서버 및 조직의 IP 주소와 도메인으로 변경해야 합니다.

메커니즘 설명 및 허용되는 값
v SPF 버전. spf1이어야 합니다. 이 태그는 필수 항목이며 레코드의 첫 번째 태그여야 합니다.
ip4 IPv4 주소 또는 주소 범위로 메일 서버를 지정합니다. 값은 표준 형식의 IPv4 주소여야 합니다. 예:
ip4:192.168.0.1
ip6 IPv6 주소 또는 주소 범위로 메일 서버를 지정합니다 값은 표준 형식의 IPv6 주소여야 합니다. 예:
ip6:3FFE:0000:0000:0001:0200:F8FF:FE75:50DF
a 도메인 이름으로 메일 서버를 지정합니다. 예:
a:solarmora.com
mx MX 레코드로 메일 서버를 지정합니다 예:
mx:ASPMX.L.GOOGLE.COM
include 타사 메일 서버를 도메인으로 지정합니다. 자사 도메인이 아닌 다른 도메인입니다. 예:
include:sparkpostmail.com
all 이 메커니즘이 사용된 경우 일반적으로 레코드의 마지막 태그입니다. Soft Fail 한정자와 함께 ~all 메커니즘을 사용하는 것이 좋습니다.

SPF 레코드 한정자

선택적으로 사용할 수 있는 한정자라는 태그는 SPF 레코드에서 메커니즘 일치가 있을 때 수행할 작업을 정의합니다.

메커니즘은 SPF 레코드의 순서대로 확인됩니다. 한정자를 사용하지 않으면 작업은 기본적으로 Pass로 설정됩니다. 메커니즘 일치가 없으면 작업은 기본적으로 Neutral로 설정됩니다.

다음은 SPF 레코드에서 사용할 수 있는 한정자 목록입니다. 한정자는 선택적으로 사용할 수 있는 접두사이며 레코드의 모든 메커니즘에 추가할 수 있습니다. 한정자는 메커니즘 값이 일치할 경우 수행할 작업을 지정합니다.

SPF 레코드에 ~all을 사용하는 것이 좋습니다.

한정자 설명
+ Pass. 일치하는 IP 주소 또는 도메인을 가진 서버가 해당 도메인의 메일을 전송하도록 승인되었습니다. 한정자를 사용하지 않으면 Pass가 기본값으로 설정됩니다.
- Fail. 일치하는 IP 주소 또는 도메인을 가진 서버가 해당 도메인의 메일을 전송하도록 승인되지 않았습니다. SPF 레코드에 발신 서버 IP 주소 또는 도메인이 포함되지 않습니다.
~ Soft Fail. 일치하는 IP 또는 도메인 주소를 가진 서버가 해당 도메인의 메일을 전송하도록 승인되었을 수도 있습니다. 수신 서버에서 일반적으로 메일을 허용하고 의심스러운 메일로 표시합니다.
? Neutral. SPF 레코드에 해당 IP 주소 또는 도메인에서 도메인의 메일을 전송하도록 승인되었다고 명시되어 있지 않습니다. Neutral 결과로 이어지는 SPF 레코드에는 일반적으로 ?all이 포함됩니다.

2단계. 도메인에 SPF 사용 설정하기

도메인 공급업체에서 SPF를 사용 설정하세요.

  • 4단계의 입력란 이름은 도메인 공급업체별로 다를 수 있습니다. DNS TXT 레코드 입력란 이름은 도메인 공급업체별로 다를 수 있습니다.
  • 조직 또는 도메인의 모든 이메일이 G Suite에서 전송되는 경우 4단계에 표시된 SPF 레코드 값을 사용하세요. 맞춤 SPF 레코드를 만든 경우 해당 값을 대신 입력하세요.

도메인 공급업체에서 SPF TXT 레코드를 업데이트하려면 다음 단계를 따르세요.

  1. SPF 레코드를 나타내는 텍스트 파일 또는 행을 준비합니다.
  2. 도메인 호스트의 관리용 콘솔에 로그인합니다. 도메인 호스트가 누구인지 모르는 경우 도메인 호스트 찾기의 단계를 따릅니다.
  3.  DNS 레코드를 업데이트하는 페이지를 찾습니다.
  4. G Suite 메일 서버에 아래와 같이 새 DNS 레코드를 추가합니다.
    이름/호스트/별칭 TTL(수명) 레코드 유형 우선순위 값/응답/대상
    @
    (또는 비워두기)
    3600 SPF 1 v=spf1 include:_spf.google.com ~all
  5. 변경사항을 저장합니다. SPF에서 스푸핑으로부터 도메인을 보호하고 확실한 메일 전송을 보장하기까지 최대 48시간이 소요될 수 있습니다.
  6. (선택사항) 조직에서 관리하는 모든 도메인에 대해 이 단계를 반복합니다. 

SPF 레코드에 새 메일 서버 또는 도메인 추가하기

다음 작업을 수행할 때마다 도메인 공급업체에서 SPF 레코드를 업데이트해야 합니다.

  • 조직에 새 메일 서버 추가
  • 새로운 제3자 발신 서비스 제공업체 사용

새로운 서버 또는 발신자 정보로 SPF 레코드를 업데이트하지 않으면 새 서버 또는 발신자가 보낸 메일이 스팸으로 분류될 수 있습니다.

먼저 1단계: SPF 레코드 만들기의 안내에 따라 새 서버 또는 도메인으로 SPF 레코드를 업데이트합니다. 그런 다음 2단계: 도메인에 SPF 사용 설정하기의 안내에 따라 도메인 공급업체에 SPF 레코드를 업데이트합니다.

SPF 레코드 문제 해결하기

SPF 레코드의 DNS 조회 확인하기

SPF 레코드에 대한 조회가 10회로 제한되어 있으므로 다른 도메인에 대한 참조를 10회 이상 포함할 수 없습니다. SPF 레코드에 10회 이상의 조회가 있는 경우 도메인에서 전송된 메일이 수신 서버의 SPF 검사를 통과하지 못하고 스팸으로 분류될 수 있습니다.

SPF 레코드에서 a, mx, include, ptr 태그의 각 인스턴스는 1회의 조회를 생성합니다. 중첩된 조회도 10회 한도에 포함됩니다. 따라서 include 태그에 참조된 도메인에 SPF 레코드의 도메인 참조가 있는 경우 해당 도메인은 한도에 합산됩니다.

메일이 계속 스팸으로 분류되는 경우 G Suite 도구 상자의 Check MX 기능을 사용하여 SPF 레코드의 조회 수를 확인할 수 있습니다.

SPF 레코드에서 조회 수를 줄이려면 다음을 따르세요.

  • 필요한 경우가 아니라면 include 태그를 사용하지 않습니다.
  • 가능하면 include 대신 ip4 또는 ip6 태그를 사용합니다.
  • 중복 태그 또는 동일한 도메인을 참조하는 태그를 삭제합니다

조직의 이메일을 주로 전송하는 도메인만 참조합니다. 도메인의 이메일을 더 이상 전송하지 않는 파트너의 include 구문을 삭제합니다.

Google, G Suite, 관련 마크와 로고는 Google LLC의 상표입니다. 기타 모든 회사명 및 제품명은 해당 업체의 상표입니다.

도움이 되었나요?
어떻게 하면 개선할 수 있을까요?