소규모 도메인의 3분의 1은 인증을 통과하지 못합니다

DMARCeye가 상시 모니터링하는 수천 개 도메인 중에서, 가장 작은 발신자, 즉 한 달에 100건 미만을 보내는 도메인의 평균 DMARC 컴플라이언스는 62.3%입니다. 가장 큰 발신자, 즉 한 달에 1천만 건 이상을 보내는 도메인의 평균은 99.8%입니다. 격차 자체도 인상적이지만, 이 평균 아래에는 더 불편한 사실이 있습니다. 소량 발신 도메인의 35.7%는 인증 성공률이 50%에도 못 미칩니다. DMARC 관점에서 보면, 그중 3분의 1 이상은 사실상 망가져 있는 셈입니다.

이 글은 DMARCeye 2026년 1분기 산업 리포트에서 소량 발신자에 관한 발견을 풀어 설명합니다. 12개 차트와 방법론을 모두 담은 전체 리포트는 아래에 있습니다.

DMARC 컴플라이언스의 규모 역설

DMARCeye 모니터링 플랫폼의 2026년 1분기 데이터는 깔끔한 계단형 패턴을 보여줍니다. 월간 이메일 발송량이 늘어날수록 평균 컴플라이언스도 함께 올라갑니다.

• 월 100건 미만: 62.3%
• 100~1,000건: 85.7%
• 1,000~10,000건: 89.9%
• 10,000~100,000건: 91.7%
• 100,000~100만 건: 93.9%
• 100만~1,000만 건: 97.5%
• 1,000만 건 초과: 99.8%

평균은 분포를 가립니다. 각 구간 안에서, 컴플라이언스가 50% 미만인 '망가진' 구간 도메인의 비중은 발송량이 커질수록 가파르게 줄어듭니다.

• 월 100건 미만: 35.7%가 컴플라이언스 50% 미만.
• 100~1,000건: 11.3%.
• 1,000~10,000건: 5.6%.
• 1,000만 건 초과: 0%. 이 구간에서는 90% 미만으로 떨어지는 도메인이 하나도 없습니다.

그러니 헤드라인은 "소량 발신자가 살짝 뒤처져 있다"가 아닙니다. 헤드라인은, 한 달에 100건 미만을 보내는 소량 발신자 중 대략 3분의 1은 점검해 보면 인증이 대부분의 경우 실패하는 DMARC 자세를 가지고 있다는 사실입니다.

왜 소량 발신자가 어려움을 겪는가

1분기 데이터는 패턴을 보여주지, 원인을 보여주지는 않습니다. 아래 이유들은 데이터셋의 결론이 아니라, 고객사들에서 반복적으로 보이는 패턴입니다. 여러분의 환경과 대조해 볼 출발점으로 받아들이시면 됩니다.

• SPF와 DKIM이 애초에 제대로 설정되지 않았다. 많은 소규모 도메인이 DMARC 레코드는 게시해 두었지만, 그 도메인 명의로 메일을 보내는 어떤 서비스에도 정작 SPF와 DKIM 정렬이 연결되어 있지 않습니다. 정렬되는 게 없으면, DMARC도 인증할 게 없습니다.
• 잊혀진 발신자 하나가 전체 비율을 끌어내린다. 한 달에 정상 메일 80건을 보내는 작은 도메인에 잘못 설정된 회계 도구가 매주 청구서 1건씩 보낸다면, 그것만으로 인증 실패율은 12%가 됩니다. 발송량이 적을수록, 잘못 설정된 발신자 한 곳이 비율을 좌우합니다.
• 아무도 리포트를 읽지 않는다. DMARC 집계 리포트는 문제를 그대로 보여줍니다. 소규모 사업자에게는 이를 들여다볼 사람이 거의 없습니다. 3개월 전에 깨진 그 설정 오류는 오늘도 그대로 깨져 있습니다.
• 후속 조치 없이 DMARC 레코드만 게시되어 있다. 호스팅 업체가 시키거나 가이드 글에서 본 대로, DMARC 레코드만 게시한 도메인이 있습니다. 레코드 자체는 맞지만, 이를 뒷받침할 다른 어떤 것도 설정되어 있지 않습니다.

모니터링의 핵심은, 이 가운데 어떤 것이 여러분의 도메인에 해당하는지 가려내는 것입니다.

소규모 사업자에게 이게 무슨 의미인가

여러분이 자기 도메인에서 한 달에 메일 수십 통(주문 확인, 청구서, 가끔 보내는 뉴스레터, 비밀번호 재설정, 고객 문의 회신)을 보내고 DMARC 레코드는 게시해 둔 상태라면, 지금 이 순간 인증이 망가져 있을 확률이 대략 3분의 1입니다. 그 결과는 다음과 같습니다.

정상 메일이 필요 이상으로 자주 스팸함에 들어갑니다. Gmail, Yahoo, 그리고 지역 사업자 같은 수신 서버는 여러분의 도메인에 대한 인증 실패 패턴을 누적해서 추적합니다. 인증 설정이 망가져 있으면 발신자 평판이 깎이고, 이는 다시 도달 결정에 반영됩니다. 몇 분 안에 도착해야 할 주문 확인과 청구서가 스팸함에 들어가거나, 한참 늦게 도착하기 시작합니다.

사칭하는 쪽은 비용 한 푼 들이지 않고 여러분 행세를 할 수 있습니다. 인증이 망가진 상태의 p=none DMARC 레코드는 사칭을 막지 못합니다. 실제 사칭 시도가 인증에 실패하는 모습은, 망가진 정상 메일이 인증에 실패하는 모습과 똑같이 보입니다. 수신 서버는 둘을 구분할 방법이 없습니다.

고치는 일은 보통 작습니다. 잘못 설정된 발신자 하나, 빠진 SPF include 하나, DNS에 게시되지 않은 DKIM 키 하나. 작은 도메인은 표면적도 작습니다. 그래서 조사도 그만큼 짧게 끝납니다.

해결 방법

여러분의 도메인이 월 100건 미만 구간에 있고, 35.7%의 망가진 그룹에 속하는지 확인하고 싶다면, 그 길은 짧습니다.

1단계: DMARCeye DNS 체커로 무료 DNS 점검을 돌리세요. 아래에 도메인을 입력하세요. DMARC 레코드가 아예 없다면 그 자체가 별도의 문제입니다(그리고 흔한 경우입니다. 대부분의 소규모 도메인이 그렇습니다). DMARC 레코드는 있는데 SPF나 DKIM이 명확하지 않다면, 이미 문제를 찾은 셈입니다.

2단계: 2~4주 동안 DMARC 리포트를 읽으세요. 리포트가 들어오게 만드세요. DMARCeye 무료 플랜은 도메인 1개를 지원합니다. 리포트에는 여러분의 도메인 명의로 메일을 보내는 모든 서비스가 나타납니다. 소규모 사업자라면 보통 그 목록이 짧습니다. 사용 중인 ESP, 호스팅 업체의 메일 릴레이, 청구서 도구, 그리고 어쩌면 문의 폼 정도. 각 항목이 정상적인지 확인하고, 인증되어 있는지 점검하세요.

3단계: 인증되지 않은 항목을 인증시키세요. 대부분의 ESP와 이메일 도구는 단계별 DKIM 설정 가이드를 제공합니다. 인증을 지원하지 않는 서비스라면, 지원하는 서비스로 교체하세요.

4단계: p=none에서 p=quarantine으로, 그리고 p=reject로 옮겨가세요. 리포트가 두어 주 동안 깨끗하게 유지되면, 정책을 강화하세요. 인증 실패 메시지를 먼저 스팸함으로 보내고(p=quarantine), 이후 아예 거부합니다(p=reject).

전체 과정은 대부분의 소규모 사업자에게 조사하는 데 한나절, 확인하는 데 두어 주가 걸립니다.

실무에서 챙길 점

소량 발신자가 DMARC 컴플라이언스의 망가진 구간에 과대대표되는 이유는, 발송량이 적을수록 설정 오류 하나가 비율을 크게 흔들기 때문입니다. 좋은 소식은, 소량 발신자는 그만큼 표면적도 작다는 점입니다. 빠진 레코드 하나, 정렬되지 않은 도구 하나, 잊혀진 서비스 하나. 찾고, 고치면, 깨끗하게 운영되는 소규모 도메인 그룹에 합류할 가능성이 충분합니다. 1분기 스냅샷에서, 소량 발신자의 41.8%는 이미 컴플라이언스 99% 이상을 기록하고 있었습니다.