쇼핑몰이나 커뮤니티를 운영하다 보면 단체 메일 보낼 일이 많습니다.
주문 확인, 가입 안내, 뉴스레터, 이벤트 알림까지요.
그런데 어느 순간부터 “메일을 못 받았다”는 문의가 부쩍 늘었다면, 한 번쯤 의심해 볼 게 있습니다.
내 메일이 스팸함으로 간 게 아니라, 아예 도착조차 못 하고 있는 상황입니다.
예전에는 인증이 안 된 메일도 일단 받아주되 스팸함으로 분류하는 방식이었습니다.
그런데 2024년부터 분위기가 완전히 바뀌었습니다.
지금은 인증을 통과하지 못한 메일을 받는 서버가 아예 문 앞에서 돌려보냅니다.
받는 사람의 스팸함에조차 들어가지 못하는 거죠.
스팸함에 들어간 메일은 그래도 뒤져서 찾아볼 수 있습니다.
하지만 거부당한 메일은 애초에 그 사람에게 닿지 않았습니다.
“필터 우선”에서 “거부 우선”으로 — 무엇이 바뀌었나
2024년 2월, 구글(Gmail)과 야후가 먼저 칼을 빼들었습니다.
하루 약 5,000건 이상을 보내는 도메인이라면 SPF·DKIM·DMARC라는 세 가지 인증을 모두 갖추라고 요구하기 시작한 겁니다.
2025년 5월에는 마이크로소프트(Outlook·Hotmail·Live)도 같은 대열에 합류해, 조건을 못 갖춘 대량 발송 메일을 거부하기 시작했습니다.
이제 인증 없이 대량 메일을 받아주는 주요 메일 서비스는 사실상 없습니다.
처음에는 “일단 스팸함으로 보내고, 점차 거부로 강화하는” 단계적 방식이었습니다.
하지만 2025년 말을 지나며 구글과 마이크로소프트는 조건 미달 메일에 대해 SMTP 단계에서의 영구 거부(550 에러) 를 적용하기 시작했습니다.
메일이 받은편지함은 물론 스팸함에도 도달하지 못하고, 발송 서버에서 그대로 반송되는 겁니다.
운영자는 발송 로그를 들여다보지 않으면 거부됐다는 사실조차 모르고 지나가기 쉽습니다.
여기서 한 가지 짚고 넘어가겠습니다.
위 의무는 “하루 5,000건 이상”을 보내는 대량 발송자에게 적용됩니다.
그래서 “우리 쇼핑몰은 그 정도는 아니니 괜찮다”고 생각하기 쉬운데, 안심하긴 이릅니다.
첫째, 받는 사람 대부분이 Gmail을 쓴다면 Gmail의 기준이 곧 내 기준입니다.
한국 이용자도 Gmail을 많이 쓰죠.
둘째, 메일 서비스들은 인증 상태를 받은편지함 도착 여부를 판단하는 신호 로 점점 더 활용하고 있습니다.
5,000건이 안 되는 소규모 발송자도 인증이 없으면 스팸 분류나 거부를 당할 수 있다는 뜻입니다.
SPF·DKIM·DMARC, 5분 만에 이해하기
이름은 낯설지만 역할은 단순합니다.
세 가지가 한 팀이 되어 “이 메일은 진짜 이 도메인이 보낸 게 맞다”를 증명합니다.
- SPF — “이 서버들이 우리 도메인을 대신해 메일을 보낼 수 있다”는 허가 명단 입니다. 받는 서버는 메일을 보낸 서버가 이 명단에 있는지 확인합니다.
- DKIM — 메일에 찍는 봉인 도장 입니다. 보낼 때 암호화 서명을 붙이면, 받는 쪽이 그 서명을 검증해 “내용이 중간에 변조되지 않았고, 진짜 그 도메인이 보냈다”를 확인합니다.
- DMARC — 앞의 둘을 묶어주는 지휘자 입니다. 보낸사람(From) 주소의 도메인이 SPF·DKIM의 도메인과 일치하는지(정렬, alignment) 확인하고, 인증에 실패한 메일을 어떻게 처리할지 받는 서버에 지시합니다.
이 DMARC에 함정이 하나 있습니다.
DMARC 정책에는 세 단계가 있습니다.
그냥 지켜보기만 하는 p=none, 스팸함으로 보내는 p=quarantine, 아예 차단하는 p=reject.
이 중 p=none은 경보기를 달아놓고 ‘테스트 모드’로 꺼둔 것 과 같습니다.
기록은 있지만, 정작 도메인을 사칭한 메일을 막는 효과는 없습니다.
실제로 2026년 전 세계 상위 도메인의 DMARC 도입률은 52%를 넘어섰지만,
기록을 갖춘 도메인의 절반 이상이 여전히 p=none 상태 입니다.
“DMARC를 설정했다”와 “DMARC로 보호받고 있다”는 전혀 다른 이야기인 셈입니다.
내 도메인 인증 상태, 이렇게 진단하세요
거창한 도구 없이 지금 바로 확인할 수 있습니다.
순서대로 따라가 보세요.
- 내 Gmail로 테스트 메일을 보내보세요.
받은 메일을 열고 오른쪽 메뉴에서 “원본 보기”를 누르면, 맨 위에 SPF·DKIM·DMARC 결과가 표시됩니다.
세 가지가 모두 PASS 로 나오는지 확인합니다.
하나라도 FAIL이면 그 부분 설정이 비어 있거나 잘못된 것입니다. - DNS 레코드를 점검하세요.
인증 설정은 메일 프로그램이 아니라 도메인의 DNS(도메인 등록업체나 호스팅의 DNS 관리 화면)에 등록합니다.v=spf1로 시작하는 SPF,선택자._domainkey형태의 DKIM,_dmarc에 등록된 DMARC 레코드가 있는지 봅니다. - DMARC의 p= 값을 확인하세요.
p=none이라면 아직 ‘감시 모드’입니다.
무료 DMARC·SPF 조회 도구로 현재 정책을 확인할 수 있습니다. - 바로 p=reject로 올리지 마세요.
정렬이 맞지 않는 정상 메일(메일 자동 전달, 외부 발송 서비스 등)까지 한꺼번에 막혀버릴 수 있습니다.
안전한 순서는 p=none으로 리포트(RUA)를 받아 발송 출처를 전부 파악 → p=quarantine → p=reject 로 한 단계씩 올리는 것입니다.
마무리 — 오늘 할 수 있는 한 가지
이메일 인증은 더 이상 “해두면 좋은 것”이 아니라, “안 하면 메일이 안 가는 것”이 됐습니다.
다행히 첫걸음은 어렵지 않습니다.
오늘 당장 내 Gmail로 테스트 메일 한 통을 보내고, “원본 보기”로 SPF·DKIM·DMARC 결과만 확인해 보세요.
세 글자가 모두 PASS로 떠 있다면 일단 한숨 돌려도 좋고, 하나라도 비어 있다면 지금이 바로 손볼 때입니다.
“보냈는데 왜 안 왔지?”라는 말을 더는 듣지 않으려면, 내 메일이 받는 사람 문 앞에서 조용히 돌려보내지고 있지는 않은지부터 확인하는 게 먼저입니다.
메일 서비스별 정확한 요건은 구글의 공식 발송자 가이드라인처럼 제공사가 직접 안내하는 문서에서 최신 내용을 확인하실 수 있습니다.
WizardOfCode는 사이트 운영자가 더 적게 일하고, 더 늦지 않게 알도록 돕는 자동화 도구를 만듭니다.

