Q1 2026 데이터셋에서 단 두 곳의 벤더가 전체 메일의 절반 이상에 서명하고 있습니다. 벤더로 추적할 수 있었던 이메일 중 30.5%가 Klaviyo의 서명을 달고 있었고, 또 다른 27.9%는 Amazon SES에서 나왔습니다. 두 벤더가 합쳐서 58.4%입니다. SendGrid, Google, Mailchimp, Microsoft, Mailgun, SparkPost, Yotpo, HubSpot, Mailjet, 그리고 자체 서명 도메인을 쓰는 긴 꼬리의 사업자들이 나머지를 나눠 갖습니다. 비즈니스용으로 마케팅 메일이나 트랜잭션 메일을 보내고 있다면, 여러분의 메일도 이 파이프 중 하나를 타고 흐를 가능성이 큽니다. 그리고 그 벤더가 인증을 어떻게 처리하느냐에 따라 진짜 메일이 받은편지함에 도착할지 스팸함에 갇힐지가 갈립니다.
이 글은 DMARCeye Q1 2026 산업 보고서의 벤더 집중도 결과를 풀어서 설명합니다. 12개 차트 뷰와 방법론을 모두 담은 전체 보고서는 아래에 있습니다.
모든 메시지를 누가 처리했는지 기준으로 묶었습니다. 발송되는 모든 이메일에는 그 메일을 보낸 벤더의 디지털 서명이 들어 있습니다. klaviyomail.com으로 서명된 메일은 Klaviyo에서 온 것입니다. mcsv.net으로 서명된 메일은 Mailchimp에서 온 것입니다. 자체 서명 도메인을 쓰는 브랜드, 소규모 지역 벤더, 자사 메일 시스템을 한데 묶은 통합 항목까지 포함한 상위 12개 결과는 다음과 같습니다.
두 가지가 눈에 띕니다. 첫째, 분포가 매우 가파릅니다. 상위 2개 벤더가 58%에 서명하고, 그 다음 9개 벤더를 모두 합쳐도 약 17%에 그칩니다. 둘째, 24.3%를 차지하는 '기타' 항목은 대부분 고객이 직접 관리하는 서명 도메인입니다. 이는 적지 않은 양의 메일이 수신자 입장에서 어떤 브랜드와도 묶이지 않는 도메인으로 서명되고 있다는 뜻입니다. DKIM 서명을 기준으로 묶는 방식은 잘 알려진 대형 벤더에는 잘 통하지만, 각자 자체 도메인 이름으로 서명하는 긴 꼬리에서는 모든 것을 흐리게 만듭니다.
Q1 데이터는 집중도가 어떤지를 보여줄 뿐, 특정 브랜드가 왜 Klaviyo나 Amazon SES를 선택하는지까지는 말해 주지 않습니다. 아래의 패턴은 결론이 아니라, 합리적인 추정으로 받아들여 주세요.
이 수치는 DKIM으로 식별 가능한 도메인을 통해 서명된 Q1 2026 발송량을 반영합니다. 개별 브랜드의 구성은 이 평균과 다르게 보일 수 있습니다.
이 수치 안에는 더 유용한 패턴이 하나 있습니다. 대부분의 벤더는 SPF와 DKIM을 모두 통과시키는 방식이 아니라, SPF가 비틀거릴 때 DKIM에 기대는 방식으로 99% 수준의 DMARC 컴플라이언스에 도달합니다.
가장 깔끔한 사례는 Mailchimp입니다. SPF는 89.2%의 비율로 실패하지만, DMARC 통과율은 여전히 98.9%입니다. DKIM이 그 빈자리를 메우는 거죠. 반대편 끝에는 Mailgun이 있습니다. DKIM이 22.9%의 비율로 실패하면서 전체 컴플라이언스가 77%까지 떨어집니다. DKIM이 휘청거리면, 무엇으로도 보완되지 않습니다.
이 벤더들 중 어느 곳을 통해 발송하더라도, 실제 일을 도맡는 건 DKIM입니다. 발신 메일의 적지 않은 부분에서 SPF 레코드가 실제 발신 IP와 정렬되어 있지 않을 가능성이 높고, DKIM이 메시지를 살려 주기 때문에 그 사실을 모르고 지내 왔을 수 있습니다.
실제 메일이 인증을 통과하기 위해 DKIM에 기대고 있다면, 자연스럽게 따라오는 질문은 도메인의 DKIM이 제대로 설정돼 있는지입니다. 아래에 도메인을 입력하면 게시된 DKIM 레코드를 조회해 결과를 보여 줍니다.
마케팅 메일을 Klaviyo로, 트랜잭션 메일을 SES로(또는 둘 다) 보내고 있고, 그 서비스들에 대해 도메인 인증을 명시적으로 설정한 적이 없다면 다음 항목을 기본적으로 점검해 보세요.
klaviyomail.com으로 서명하고, Amazon SES는 자체 도메인으로 서명합니다. 둘 다 여러분의 도메인으로 대신 서명하도록 설정할 수 있고, 이렇게 해야 DMARC가 통과합니다. 서명이 벤더의 도메인에 그대로 머물러 있으면 그 발송자에서 보낸 메일은 DMARC에 실패합니다.수정 자체는 작은 일입니다. 벤더 문서가 SPF와 DKIM 설정 단계를 안내하고, 대부분 복사해 붙여 넣을 수 있는 가이드까지 제공합니다. 더 어려운 문제는 애초에 어떤 서비스가 여러분 이름으로 메일을 보내고 있는지 파악하는 일입니다. DMARCeye 무료 플랜은 도메인 1개를 다루며, 집계 보고서를 통해 여러분으로 서명하고 있는 모든 서비스를 주 단위로 보여 줍니다. 보통 2~4주치 데이터면 잊고 지냈던 발송자를 발견하기에 충분합니다.
'기타' 24% 항목에 속해 있다면, 자체 DKIM 서명을 직접 설정했거나 더 작은 지역 이메일 벤더를 사용하고 있을 가능성이 높습니다. 상위 벤더 집중도 이야기는 곧장 해당되지 않지만, 그 밑바탕에 깔린 교훈은 동일합니다. DMARC 집계 보고서는 누군가가 여러분 이름으로 실제로 무엇을 보내고 있는지를 확인할 수 있는 유일한 방법입니다. 이미 잘 안다고 생각했던 도메인의 진짜 보고서를 처음 읽어 보면, 잊고 있던 발송자가 적어도 하나는 보이고, 잘못 설정된 발송자도 적어도 하나는 보이리라 예상하면 됩니다.
당사의 완전한 DMARC 구현 가이드는 '레코드 없음'에서 시행 정책까지 전체 과정을 다룹니다. Google과 Yahoo의 2024년 2월 발신자 규정은 일일 5,000건 이상을 발송하는 사업자에게 추가 맥락을 제공합니다. 같은 Q1 2026 데이터에서 시행 정책까지 도달한 도메인이 얼마나 적은지 보고 싶다면 DMARC 시행 격차 분석도 함께 보면 좋습니다.
Q1 2026 데이터셋에서는 두 벤더가 메일의 대부분을 나르고 있습니다. 마케팅이나 트랜잭션 이메일을 보낸다면, 메시지가 그중 하나를 통해 흐를 가능성이 큽니다. 그리고 어떤 벤더를 쓰든, 인증은 SPF가 비틀거리는 동안 DKIM에 기대고 있을 가능성이 높습니다. 이게 치명적인 문제는 아닙니다. SPF가 대부분의 시간 동안 실패해도 DMARC 컴플라이언스는 높을 수 있는데, 이는 SPF가 못 살리는 자리를 DKIM이 살려 주기 때문입니다. 다만 '높은 컴플라이언스'는 '내 도메인이 무엇을 하고 있는지 전혀 모른다'는 사실을 가립니다. 빠져나오는 길은 늘 같습니다. 보고서를 읽고, 발송자를 문서로 정리하고, 인증되지 않은 발송자를 바로잡는 것입니다.