메일의 절반을 책임지는 두 벤더: Q1 2026 데이터

Q1 2026 데이터셋에서 단 두 곳의 벤더가 전체 메일의 절반 이상에 서명하고 있습니다. 벤더로 추적할 수 있었던 이메일 중 30.5%가 Klaviyo의 서명을 달고 있었고, 또 다른 27.9%는 Amazon SES에서 나왔습니다. 두 벤더가 합쳐서 58.4%입니다. SendGrid, Google, Mailchimp, Microsoft, Mailgun, SparkPost, Yotpo, HubSpot, Mailjet, 그리고 자체 서명 도메인을 쓰는 긴 꼬리의 사업자들이 나머지를 나눠 갖습니다. 비즈니스용으로 마케팅 메일이나 트랜잭션 메일을 보내고 있다면, 여러분의 메일도 이 파이프 중 하나를 타고 흐를 가능성이 큽니다. 그리고 그 벤더가 인증을 어떻게 처리하느냐에 따라 진짜 메일이 받은편지함에 도착할지 스팸함에 갇힐지가 갈립니다.

이 글은 DMARCeye Q1 2026 산업 보고서의 벤더 집중도 결과를 풀어서 설명합니다. 12개 차트 뷰와 방법론을 모두 담은 전체 보고서는 아래에 있습니다.

Q1 2026, 발송량은 어디에 몰려 있나

모든 메시지를 누가 처리했는지 기준으로 묶었습니다. 발송되는 모든 이메일에는 그 메일을 보낸 벤더의 디지털 서명이 들어 있습니다. klaviyomail.com으로 서명된 메일은 Klaviyo에서 온 것입니다. mcsv.net으로 서명된 메일은 Mailchimp에서 온 것입니다. 자체 서명 도메인을 쓰는 브랜드, 소규모 지역 벤더, 자사 메일 시스템을 한데 묶은 통합 항목까지 포함한 상위 12개 결과는 다음과 같습니다.

• Klaviyo: 30.5%
• Amazon SES: 27.9%
• SendGrid: 5.2%
• Google: 4.6%
• Mailchimp: 2.6%
• Microsoft: 1.3%
• Mailgun: 0.9%
• SparkPost: 0.9%
• Yotpo: 0.7%
• HubSpot: 0.6%
• Mailjet: 0.4%
• 기타 / 미귀속: 24.3%

두 가지가 눈에 띕니다. 첫째, 분포가 매우 가파릅니다. 상위 2개 벤더가 58%에 서명하고, 그 다음 9개 벤더를 모두 합쳐도 약 17%에 그칩니다. 둘째, 24.3%를 차지하는 '기타' 항목은 대부분 고객이 직접 관리하는 서명 도메인입니다. 이는 적지 않은 양의 메일이 수신자 입장에서 어떤 브랜드와도 묶이지 않는 도메인으로 서명되고 있다는 뜻입니다. DKIM 서명을 기준으로 묶는 방식은 잘 알려진 대형 벤더에는 잘 통하지만, 각자 자체 도메인 이름으로 서명하는 긴 꼬리에서는 모든 것을 흐리게 만듭니다.

두 벤더가 이렇게 많은 메일에 서명하는 이유

Q1 데이터는 집중도가 어떤지를 보여줄 뿐, 특정 브랜드가 왜 Klaviyo나 Amazon SES를 선택하는지까지는 말해 주지 않습니다. 아래의 패턴은 결론이 아니라, 합리적인 추정으로 받아들여 주세요.

• Klaviyo는 이커머스를 장악하고 있습니다. Shopify를 비롯한 비슷한 스토어프론트는 마케팅 이메일의 기본값으로 Klaviyo를 씁니다. 한 브랜드가 주문 확인, 장바구니 이탈 플로우, 구매 후 시퀀스를 Klaviyo로 보내기 시작하면 발송량이 빠르게 불어납니다.
• Amazon SES는 모든 것의 뒤에 있는 파이프입니다. SES 발송량 중 상당수는 직접 고객이 아닙니다. 다른 ESP와 SaaS 제품들이 대규모로 안정적으로 보내기에 가장 저렴하다는 이유로 자신들의 발신 메일을 SES로 라우팅하기 때문입니다. 누군가 "도구 X로 메일을 보낸다"고 말할 때, 도구 X가 내부적으로 SES를 쓰고 있을 가능성이 꽤 높고, 결국 서명에 대한 공은 SES가 가져갑니다.
• 이름이 거론된 긴 꼬리는 대부분 트랜잭션 발송입니다. SendGrid, Mailgun, SparkPost, Mailjet은 트랜잭션 메일과 개발자 주도 발송에 더 가깝습니다. 고객당 발송량이 적기 때문에 발송량 점유율은 고객 수 점유율보다 작습니다.

이 수치는 DKIM으로 식별 가능한 도메인을 통해 서명된 Q1 2026 발송량을 반영합니다. 개별 브랜드의 구성은 이 평균과 다르게 보일 수 있습니다.

실제 일을 도맡는 건 DKIM

이 수치 안에는 더 유용한 패턴이 하나 있습니다. 대부분의 벤더는 SPF와 DKIM을 모두 통과시키는 방식이 아니라, SPF가 비틀거릴 때 DKIM에 기대는 방식으로 99% 수준의 DMARC 컴플라이언스에 도달합니다.

가장 깔끔한 사례는 Mailchimp입니다. SPF는 89.2%의 비율로 실패하지만, DMARC 통과율은 여전히 98.9%입니다. DKIM이 그 빈자리를 메우는 거죠. 반대편 끝에는 Mailgun이 있습니다. DKIM이 22.9%의 비율로 실패하면서 전체 컴플라이언스가 77%까지 떨어집니다. DKIM이 휘청거리면, 무엇으로도 보완되지 않습니다.

이 벤더들 중 어느 곳을 통해 발송하더라도, 실제 일을 도맡는 건 DKIM입니다. 발신 메일의 적지 않은 부분에서 SPF 레코드가 실제 발신 IP와 정렬되어 있지 않을 가능성이 높고, DKIM이 메시지를 살려 주기 때문에 그 사실을 모르고 지내 왔을 수 있습니다.

DKIM 설정을 점검하기

실제 메일이 인증을 통과하기 위해 DKIM에 기대고 있다면, 자연스럽게 따라오는 질문은 도메인의 DKIM이 제대로 설정돼 있는지입니다. 아래에 도메인을 입력하면 게시된 DKIM 레코드를 조회해 결과를 보여 줍니다.

Klaviyo나 Amazon SES로 발송한다면

마케팅 메일을 Klaviyo로, 트랜잭션 메일을 SES로(또는 둘 다) 보내고 있고, 그 서비스들에 대해 도메인 인증을 명시적으로 설정한 적이 없다면 다음 항목을 기본적으로 점검해 보세요.

• SPF: 두 곳 모두 포함했나요? 각 벤더는 도메인의 SPF 레코드에 자신만의 줄을 추가해야 합니다. Klaviyo와 Amazon SES 모두 그대로 복사해 붙여 넣을 수 있는 줄을 공식적으로 안내합니다. 하나만 추가돼 있으면 다른 벤더에서 발송된 메일은 SPF에 실패하고, 인증이 전적으로 DKIM에만 의지하게 됩니다. (DNS 레코드를 직접 편집하지 않는다면 IT 담당자나 호스팅 업체가 5분이면 처리해 줍니다.)
• DKIM: 둘 다 여러분의 도메인으로 서명되고 있나요? 기본 설정에서 Klaviyo는 klaviyomail.com으로 서명하고, Amazon SES는 자체 도메인으로 서명합니다. 둘 다 여러분의 도메인으로 대신 서명하도록 설정할 수 있고, 이렇게 해야 DMARC가 통과합니다. 서명이 벤더의 도메인에 그대로 머물러 있으면 그 발송자에서 보낸 메일은 DMARC에 실패합니다.
• 둘 다 실패하면 도메인이 스푸핑에 더 쉽게 노출됩니다. 자신의 메일은 여전히 잘 도달하더라도(Gmail은 너그럽습니다), DMARC 보고서에는 실제 벤더에서 발생한 인증 실패가 표시됩니다. 이는 스푸핑 시도와 똑같이 보이고, 시간이 갈수록 발신자 평판을 갉아먹습니다.

수정 자체는 작은 일입니다. 벤더 문서가 SPF와 DKIM 설정 단계를 안내하고, 대부분 복사해 붙여 넣을 수 있는 가이드까지 제공합니다. 더 어려운 문제는 애초에 어떤 서비스가 여러분 이름으로 메일을 보내고 있는지 파악하는 일입니다. DMARCeye 무료 플랜은 도메인 1개를 다루며, 집계 보고서를 통해 여러분으로 서명하고 있는 모든 서비스를 주 단위로 보여 줍니다. 보통 2~4주치 데이터면 잊고 지냈던 발송자를 발견하기에 충분합니다.

상위 2개 벤더를 쓰지 않는다면

'기타' 24% 항목에 속해 있다면, 자체 DKIM 서명을 직접 설정했거나 더 작은 지역 이메일 벤더를 사용하고 있을 가능성이 높습니다. 상위 벤더 집중도 이야기는 곧장 해당되지 않지만, 그 밑바탕에 깔린 교훈은 동일합니다. DMARC 집계 보고서는 누군가가 여러분 이름으로 실제로 무엇을 보내고 있는지를 확인할 수 있는 유일한 방법입니다. 이미 잘 안다고 생각했던 도메인의 진짜 보고서를 처음 읽어 보면, 잊고 있던 발송자가 적어도 하나는 보이고, 잘못 설정된 발송자도 적어도 하나는 보이리라 예상하면 됩니다.

당사의 완전한 DMARC 구현 가이드는 '레코드 없음'에서 시행 정책까지 전체 과정을 다룹니다. Google과 Yahoo의 2024년 2월 발신자 규정은 일일 5,000건 이상을 발송하는 사업자에게 추가 맥락을 제공합니다. 같은 Q1 2026 데이터에서 시행 정책까지 도달한 도메인이 얼마나 적은지 보고 싶다면 DMARC 시행 격차 분석도 함께 보면 좋습니다.

실용적 정리

Q1 2026 데이터셋에서는 두 벤더가 메일의 대부분을 나르고 있습니다. 마케팅이나 트랜잭션 이메일을 보낸다면, 메시지가 그중 하나를 통해 흐를 가능성이 큽니다. 그리고 어떤 벤더를 쓰든, 인증은 SPF가 비틀거리는 동안 DKIM에 기대고 있을 가능성이 높습니다. 이게 치명적인 문제는 아닙니다. SPF가 대부분의 시간 동안 실패해도 DMARC 컴플라이언스는 높을 수 있는데, 이는 SPF가 못 살리는 자리를 DKIM이 살려 주기 때문입니다. 다만 '높은 컴플라이언스'는 '내 도메인이 무엇을 하고 있는지 전혀 모른다'는 사실을 가립니다. 빠져나오는 길은 늘 같습니다. 보고서를 읽고, 발송자를 문서로 정리하고, 인증되지 않은 발송자를 바로잡는 것입니다.