SPF 레코드란?
SPF(Sender Policy Framework) 레코드는 도메인 대신 이메일을 보낼 수 있는 메일 서버를 지정하는 DNS TXT 레코드입니다. 수신 메일 서버가 도메인에서 오는 이메일이 승인된 서버에서 발송되었는지 확인하여 이메일 스푸핑과 피싱을 방지합니다.
SPF 레코드는 v=spf1로 시작하며, 승인된 메일 서버를 지정하는 메커니즘(include, ip4, ip6, a, mx 등)과 인증 실패 시 처리를 결정하는 한정자(+, -, ~, ?)로 구성됩니다. 예를 들어 v=spf1 include:_spf.google.com ~all은 Google Workspace 서버만 이메일 발송을 허용합니다.
이 무료 SPF 확인 도구는 SPF 레코드를 조회하고, 모든 메커니즘을 파싱하며, DNS 조회 수를 계산하고, include 체인을 재귀적으로 해석하여 12가지 검증 항목의 건강 점수를 제공합니다. DMARC 확인 및 DKIM 확인과 함께 사용하면 완전한 이메일 인증을 확인할 수 있습니다.
SPF 레코드 확인 방법
도메인의 SPF 레코드를 확인하는 다양한 방법이 있습니다. 온라인 도구가 가장 빠르고 포괄적인 방법이지만, 시스템 관리자를 위한 명령줄 대안도 알아두면 유용합니다.
아래 단계에 따라 모든 도메인의 SPF 레코드를 확인하세요. 도구는 SPF 레코드를 조회하고, 메커니즘을 파싱하며, DNS 조회 수를 계산하고, RFC 7208 준수 여부를 확인합니다.
위의 도구에 도메인 이름을 입력하고 'Check SPF'를 클릭하세요. SPF 레코드를 즉시 조회하여 모든 메커니즘 파싱, DNS 조회 수 계산, include 체인 해석, 12가지 검증 항목의 건강 점수를 확인할 수 있습니다 — 설치 필요 없음.
터미널을 열고 nslookup -type=txt example.com을 실행하세요. 결과에서 v=spf1로 시작하는 레코드를 찾으면 됩니다. 특정 DNS 서버를 사용하려면 nslookup -type=txt example.com 8.8.8.8을 실행하세요.
dig example.com TXT +short로 TXT 레코드를 빠르게 확인하세요. SPF 레코드는 v=spf1로 시작합니다. 전체 DNS 레코드 조회에는 전용 도구를 사용하세요.
SPF 레코드 메커니즘 — 완전 가이드
SPF 레코드는 도메인 대신 이메일을 보낼 수 있는 서버를 지정하는 메커니즘으로 구성됩니다. 각 메커니즘은 한정자(+ Pass, - Fail, ~ SoftFail, ? Neutral)와 결합하여 인증 결과를 결정합니다.
아래는 SPF 레코드에서 사용되는 주요 메커니즘입니다. RFC 7208에 따르면 include, a, mx, ptr, exists, redirect 메커니즘은 각각 1회의 DNS 조회로 계산되며, 총 10회를 초과하면 PermError가 발생합니다.
다른 도메인의 SPF 레코드를 참조합니다. 예: include:_spf.google.com은 Google의 SPF 정책을 포함합니다. 중첩된 include는 재귀적으로 해석되며, 각 include는 DNS 조회 1회로 계산됩니다.
도메인의 A 레코드(IPv4)와 AAAA 레코드(IPv6)를 확인합니다. a 또는 a:mail.example.com으로 사용하며, 해당 IP에서 보낸 이메일을 승인합니다. DNS 조회 1회로 계산됩니다.
도메인의 MX 레코드에 지정된 메일 서버의 IP를 확인합니다. mx 또는 mx:example.com으로 사용합니다. MX 조회 도구로 메일 서버를 확인하세요. DNS 조회 1회로 계산됩니다.
특정 IPv4 또는 IPv6 주소(범위)를 직접 승인합니다. 예: ip4:192.168.1.0/24, ip6:2001:db8::/32. DNS 조회 없이 즉시 평가되므로 10회 제한에 영향을 주지 않습니다.
SPF 평가의 마지막 메커니즘으로, 다른 모든 메커니즘에 매치되지 않은 이메일의 처리를 결정합니다. -all(거부), ~all(소프트 실패), +all(모두 허용, 위험), ?all(중립)이 있습니다.
redirect=_spf.example.com은 다른 도메인의 SPF 정책으로 대체합니다. exists:%{i}.spf.example.com은 고급 매크로로 IP별 DNS 조회를 수행합니다. 각각 DNS 조회 1회로 계산됩니다.
SPF vs DKIM vs DMARC
SPF, DKIM, DMARC는 이메일 인증의 세 가지 핵심 프로토콜입니다. 각각 다른 역할을 수행하지만, 함께 작동하여 이메일 스푸핑과 피싱을 종합적으로 방지합니다.
SPF는 발신 서버의 IP를 확인하고, DKIM은 이메일 내용의 무결성을 암호학적으로 검증하며, DMARC는 SPF와 DKIM의 결과를 기반으로 정책을 적용합니다. 세 가지 모두 구성해야 완전한 이메일 보안을 달성할 수 있습니다. SMTP 테스트 도구로 실제 이메일 전송 과정을 확인하세요.
DNS TXT 레코드로 도메인 대신 이메일을 보낼 수 있는 서버의 IP를 지정합니다. 수신 서버가 발신 IP를 SPF 레코드와 대조하여 승인 여부를 확인합니다. 10회 DNS 조회 제한이 있습니다.
발신 서버가 개인키로 이메일에 디지털 서명을 추가합니다. 수신 서버가 DNS의 공개키로 서명을 검증하여 이메일이 전송 중 변조되지 않았음을 확인합니다. DKIM 확인으로 검증하세요.
SPF와 DKIM의 결과를 기반으로 인증 실패 시 처리 정책(none, quarantine, reject)을 지정합니다. 또한 보고(rua/ruf)를 통해 인증 결과를 모니터링할 수 있습니다. DMARC 확인으로 검증하세요.
SPF 모범 사례
SPF 레코드를 올바르게 구성하면 이메일 전달률을 높이고 스푸핑을 방지할 수 있습니다. 다음 모범 사례를 따르면 SPF 관련 문제를 최소화할 수 있습니다.
SPF 확인 도구로 정기적으로 모니터링하면 타사 include 변경이나 DNS 조회 수 초과 같은 문제를 사전에 감지할 수 있습니다. 도메인 검증 도구와 함께 사용하여 전체 DNS 구성이 올바른지 확인하세요.
하나의 SPF 레코드만 유지 — RFC 7208은 도메인당 SPF 레코드가 정확히 1개여야 합니다. 여러 개가 있으면 PermError가 발생합니다
10회 DNS 조회 제한 준수 — include, a, mx, ptr, exists, redirect 메커니즘의 총 DNS 조회가 10회를 초과하면 안 됩니다
-all 사용 권장 — SPF 구성이 완료되면 ~all(소프트 실패) 대신 -all(하드 실패)을 사용하여 최대 보호를 제공하세요
PTR 메커니즘 사용 금지 — RFC 7208에서 PTR은 느리고 신뢰할 수 없어 사용이 권장되지 않습니다. ip4, ip6, include를 대신 사용하세요
SPF 플래트닝 고려 — DNS 조회 제한에 근접하면 include를 실제 ip4/ip6 주소로 대체하여 조회 수를 줄이세요
정기적으로 확인 — 새 이메일 서비스 추가 시, 분기별, 이메일 전달 문제 발생 시 SPF 레코드를 확인하세요
Void 조회 주의 — RFC 7208은 Void 조회(NXDOMAIN 또는 SERVFAIL)를 2회로 제한합니다. 오래된 include 참조를 정리하세요
[DMARC](/dmarc-checker) 및 [DKIM](/dkim-checker)과 함께 구성 — SPF만으로는 불완전합니다. 세 가지 모두 설정하여 완전한 이메일 보안을 달성하세요
관련 이메일 및 DNS 도구
DNS Robot은 SPF 확인을 보완하는 이메일 인증 및 DNS 분석을 위한 다양한 도구를 제공합니다. 종합적인 이메일 보안 진단을 위해 함께 사용하세요.
DMARC 정책, 정렬 모드, 보고 URI를 검증하고 11가지 검증 항목의 건강 점수를 확인합니다.
DKIM 선택자를 자동 감지하고, 공개키 유형과 크기를 검증하며, 10가지 검증을 수행합니다.
메일 서버에 직접 SMTP 연결을 수행하여 이메일 전송 가능 여부와 TLS 암호화를 확인합니다.
BIMI(Brand Indicators for Message Identification) 레코드와 브랜드 로고 인증을 검증합니다.
23개 이상의 글로벌 서버에서 12가지 DNS 레코드 유형을 확인합니다.
MX 레코드와 도메인의 메일 서버를 확인하고 우선순위를 분석합니다.