비즈니스 이메일 보안은 커스텀 도메인을 사용하는 기업이라면 반드시 챙겨야 할 기본 과제입니다. 웹사이트와 커스텀 도메인 기반 이메일은 기업을 대표하는 핵심 자산이며, 이메일은 여전히 가장 공식적이고 신뢰도 높은 비즈니스 커뮤니케이션 수단으로 자리하고 있습니다.
그러나 도메인에 적절한 이메일 인증 설정이 되어 있지 않으면, 정상적으로 발송된 이메일도 수신자의 스팸함에 쌓이거나 아예 차단될 수 있습니다.
조호 메일(Zoho Mail)을 포함한 커스텀 도메인 이메일 서비스를 운영하는 경우, SPF와 DKIM 레코드 설정은 이메일 전달 성공률을 결정짓는 핵심 요소입니다. 이 글에서는 각 레코드의 역할, DMARC 정책의 활용 방법, 그리고 조호 메일에서 실제로 설정하는 방법을 단계별로 안내합니다.
2024년부터 이메일 인증이 의무화되었습니다
2024년 2월부터, 구글(Gmail)과 야후(Yahoo Mail)는 대량 메일 발송자를 대상으로 SPF, DKIM, DMARC 인증을 의무화했습니다.
이는 단순한 권고 사항이 아닙니다. 인증 설정이 누락된 도메인에서 발송된 이메일은 Gmail 및 Yahoo Mail 수신자에게 도달하지 못하거나 스팸으로 자동 분류될 수 있습니다.
현재는 대량 발송자(하루 5,000건 이상)에게 우선 적용되고 있으나, 이러한 기준은 일반 비즈니스 이메일 커뮤니케이션 전반으로 확대될 가능성이 높습니다. 지금 설정해 두는 것이 가장 합리적인 선택입니다.
이메일 도달률을 높이는 핵심: SPF와 DKIM 인증
이메일 도달률은 발신 도메인의 인증 상태에 따라 크게 달라집니다. 수신 측 메일 서버는 이메일을 수신할 때마다 스팸 필터링 및 인증 절차를 수행하며, 이 과정에서 가장 먼저 확인하는 항목이 SPF와 DKIM 인증입니다.
발신 도메인에서 전송한 이메일이 수신자의 받은 편지함에 정상적으로 도착하기 위해서는, 해당 도메인에 SPF 및 DKIM 레코드를 정확히 설정하는 것이 필수적입니다. 이를 통해 수신 서버는 해당 이메일이 도메인 소유자에 의해 정당하게 발송되었는지 검증할 수 있으며, 메시지 전달 성공률을 높일 수 있습니다.
SPF(Sender Policy Framework) 레코드란?
SPF(Sender Policy Framework) 레코드는 내 도메인을 대신해 이메일을 발송할 수 있는 서버와 IP 주소를 지정하는 DNS 설정입니다. 이 설정이 없으면, 발신자 주소를 위조한 이메일도 내 도메인에서 발송된 것처럼 보일 수 있어 이메일 스팸 차단과 도메인 신뢰도 유지에 직접적인 영향을 미칩니다.
이러한 인증 설정을 통해 발송된 이메일이 스팸으로 오인되는 것을 방지하고, 수신자의 받은 편지함에 정상적으로 도달할 가능성을 높일 수 있습니다.
또한 SPF 레코드는 도메인 사칭 방지 및 피싱 공격 차단에도 중요한 역할을 합니다. 사칭된 도메인에서 발송된 이메일은 수신 측 서버에서 SPF 검증 과정 중 차단되어, 수신자를 피싱 위협으로부터 보호합니다.
DKIM(DomainKeys Identified Mail) 레코드란?
DKIM(DomainKeys Identified Mail) 레코드는 발송되는 이메일에 디지털 서명을 추가하는 인증 방식입니다. 수신 측 서버는 이 서명을 통해 해당 메일이 도메인 소유자가 승인한 서버에서 전송되었는지, 그리고 전송 과정에서 내용이 변조되지 않았는지를 확인합니다.
이 서명은 도메인별로 생성된 공개 키(Public Key)와 개인 키(Private Key) 쌍을 기반으로 생성 및 검증됩니다. 도메인의 DNS 설정에 DKIM 레코드를 등록하면 수신 서버가 발신 도메인의 신뢰성을 보다 정확히 검증할 수 있어, 커스텀 도메인 이메일이 수신자의 받은 편지함에 정상적으로 도달할 가능성이 높아집니다.
DMARC 정책으로 도메인을 체계적으로 관리하세요
DMARC(Domain-based Message Authentication, Reporting & Conformance) 정책은 SPF와 DKIM 인증을 통과하지 못한 이메일에 대해 수신 서버가 어떻게 처리해야 하는지를 지정하는 DNS 레코드입니다. SPF와 DKIM이 인증의 실행 계층이라면, DMARC는 인증 실패 시의 처리 규칙과 도메인 평판 모니터링 계층입니다.
도메인 기반 이메일이 어떻게 사용되고 있는지 자세히 파악하기 위해 DMARC 정책을 설정하면, 도메인을 사용해 이메일을 발송하는 서버 및 IP 주소에 대한 정보를 모니터링하고 관리할 수 있습니다.
수집된 정보는 SPF 및 DKIM 레코드를 업데이트하는 데 활용되며, 이를 통해 특정 서버나 IP 주소가 해당 도메인을 대신해 이메일을 발송하도록 공식적으로 허용할 수 있습니다. 그 결과, 기존에 인증 실패로 인해 스팸 처리되던 정상 메일의 전달 성공률을 개선할 수 있습니다.
DMARC 처리 정책: 세 가지 옵션
DMARC 정책은 인증 실패 이메일에 대해 세 가지 처리 방식 중 하나를 지정합니다.
none(모니터링): 이메일을 차단하지 않고 보고서만 수신합니다. 초기 설정 단계에서 도메인 사용 현황을 파악할 때 적합합니다.
quarantine(격리): 인증 실패 이메일을 수신자의 스팸함으로 이동시킵니다.
reject(거부): 인증 실패 이메일을 완전히 차단하여 수신자에게 도달하지 못하게 합니다.
또한 DMARC 정책을 통해 도메인 사칭이나 부정 사용으로 인증에 실패한 이메일에 대해 수신 서버가 취해야 할 조치를 명확히 지정할 수 있어, 도메인 보호 수준을 한층 강화할 수 있습니다.
조호 메일(Zoho Mail)에서 SPF와 DKIM을 설정하는 방법
조호 메일(Zoho Mail)에서 SPF와 DKIM 레코드를 설정하려면 도메인 DNS 관리 권한이 필요합니다. 설정은 조호 메일 관리자 콘솔(Mail Admin Console)에서 진행합니다.
SPF 레코드 설정 방법
조호 메일 관리자 콘솔에 로그인합니다.
[도메인] 메뉴에서 설정할 도메인을 선택합니다.
도메인 등록 업체(예: 가비아, 후이즈, GoDaddy)의 DNS 관리 페이지에서 TXT 레코드로 추가합니다.
DKIM 레코드 설정 방법
조호 메일 관리자 콘솔에서 [도메인] → [이메일 인증] 항목으로 이동합니다.
DKIM 설정을 활성화하면 공개 키(Public Key)가 생성됩니다.
생성된 DKIM 레코드 값을 도메인 DNS의 TXT 레코드로 추가합니다.
조호 메일에서 [확인(Verify)] 버튼을 눌러 설정을 완료합니다.
설정이 완료되면 조호 메일에서 인증 상태를 확인할 수 있습니다. DNS 전파에는 최대 24–48시간이 소요될 수 있습니다.
더 자세한 설정 안내는 조호 메일 공식 헬프 문서를 참고해 주세요.
이메일 전달률을 높이기 위한 추가 실천 지침
SPF, DKIM, DMARC 설정 외에도, 이메일 발송률을 안정적으로 유지하기 위해 다음 사항을 함께 실천하시기 바랍니다.
수신 동의가 없는 콜드 메일 발송 자제: 수신자와 관련이 없거나 사전 동의를 받지 않은 콜드 메일을 발송할 경우, 해당 도메인이 스팸으로 신고될 가능성이 높습니다. 도메인의 스팸 신고율이 높아질수록 수신 측 서버에서 해당 도메인의 이메일을 스팸으로 처리할 확률도 함께 증가합니다.
대량 메일 발송 주의: 적절한 이메일 인증 설정이나 전용 발송 인프라 없이 도메인을 통해 대량 메일, 뉴스레터, 프로모션 메일을 발송할 경우 도메인 평판에 부정적인 영향을 미칠 수 있습니다. 대량 발송 시에는 전문 발송 서비스 및 인증 체계를 함께 갖추는 것이 권장됩니다.
조호 메일(Zoho Mail)은 이용 정책 준수를 통해 서비스의 오남용을 방지하고 있습니다. 이를 통해 조호 메일 기반의 커스텀 도메인 이메일이 수신 서버에서 스팸으로 차단될 위험을 효과적으로 낮출 수 있습니다.
자주 묻는 질문 (FAQ)
SPF와 DKIM, 두 가지 모두 설정해야 하나요?
네, 두 가지 모두 설정하는 것을 권장합니다. SPF는 이메일을 발송할 수 있는 서버를 지정하고, DKIM은 이메일 내용이 전송 중에 변조되지 않았음을 서명으로 보증합니다. 두 인증 방식은 서로 다른 보안 역할을 수행하며, 함께 설정했을 때 이메일 전달 성공률이 가장 높아집니다. 특히 구글과 야후의 2024년 이메일 인증 의무화 기준도 SPF와 DKIM 모두를 요구합니다.
SPF와 DKIM의 차이점은 무엇인가요?
SPF는 '누가 보냈는가'를, DKIM은 '내용이 변조되지 않았는가'를 검증합니다. SPF는 발송 서버의 IP 주소를 기준으로 도메인 소유자가 허가한 서버인지 확인합니다. DKIM은 이메일에 디지털 서명을 추가하여, 전송 과정에서 내용이 수정되지 않았는지를 수신 서버가 검증할 수 있게 합니다. 두 방식을 함께 사용하면 도메인 사칭과 이메일 위변조를 모두 방어할 수 있습니다.
DMARC를 설정하지 않으면 어떻게 되나요?
DMARC가 없어도 이메일은 발송되지만, 도메인이 사칭 공격에 더 취약해집니다. DMARC가 없으면 SPF 또는 DKIM 인증에 실패한 이메일에 대해 수신 서버가 어떻게 처리해야 하는지 알 수 없습니다. 또한 누군가 내 도메인을 사칭해 이메일을 발송하더라도 이를 감지하거나 차단할 수단이 없습니다. DMARC 정책은 처음에는 none(모니터링) 모드로 시작하여 도메인 사용 현황을 파악한 후 단계적으로 강화할 수 있습니다.
이메일 인증 설정 후에도 이메일이 스팸으로 분류될 수 있나요?
네, 가능합니다. SPF, DKIM, DMARC는 이메일 인증의 기술적 기반이지만, 스팸 분류 여부는 이 외에도 발송 내용, 수신자 반응, 도메인 평판 등 다양한 요소의 영향을 받습니다. 수신 동의 없는 대량 발송이나 스팸 신고율 상승은 인증 설정과 무관하게 도메인 평판을 낮출 수 있습니다. 인증 설정은 필요조건이지 충분조건이 아닙니다.
조호 메일(Zoho Mail)에서 이메일 인증 설정이 어렵지 않나요?
조호 메일은 관리자 콘솔 내에서 SPF와 DKIM 설정을 직접 안내합니다. DNS에 대한 기술적 지식이 없어도 조호 메일 관리자 패널의 안내를 따라 단계별로 설정할 수 있습니다. 도메인 등록 업체(가비아, 후이즈 등)의 DNS 관리 페이지에 접근할 수 있으면 설정이 가능합니다. 자세한 절차는 위의 '조호 메일에서 SPF와 DKIM을 설정하는 방법' 섹션을 참고해 주세요.
마무리: 지금 바로 이메일 인증 설정을 확인하세요
SPF와 DKIM 레코드는 비즈니스 이메일이 수신자에게 안정적으로 도달하기 위한 최소 요건입니다.
SPF 및 DKIM 레코드를 적절히 설정하면 이메일 전달 성공률을 높일 수 있으며, DMARC 정책을 통해 도메인 기반 이메일의 사용 현황을 체계적으로 모니터링하고 보다 안전하게 관리할 수 있습니다.
특히 구글과 야후가 2024년 2월부터 대량 메일 발송자를 대상으로 이메일 인증을 의무화함에 따라, 도메인 내 SPF 및 DKIM 레코드 설정은 선택이 아닌 필수가 되었습니다.
조호 메일(Zoho Mail)을 사용 중이시라면, 지금 바로 관리자 콘솔에서 SPF와 DKIM 설정 상태를 확인해 보세요. 아직 조호 메일을 도입하지 않으셨다면, [조호 메일 무료 체험]을 통해 비즈니스 이메일 보안을 갖춘 커스텀 도메인 이메일을 시작해 보실 수 있습니다.
Comments