SPF 레코드 조회·검사

SPF(Sender Policy Framework)는 어떤 메일 서버가 내 도메인 이름으로 메일을 보낼 수 있는지를 DNS의 TXT 레코드로 선언하는 표준입니다. 이 도구는 도메인의 SPF 레코드를 실시간으로 조회해 원문을 보여 주고, include·ip4·ip6·a·mx·redirect·all 같은 메커니즘을 하나씩 분해해 어떤 발신처가 허용되는지, 그리고 마지막 all 정책이 어떻게 설정됐는지를 한눈에 보여 줍니다.

SPF가 없거나 잘못 설정되면 정상 메일이 스팸으로 분류되거나, 반대로 누군가 내 도메인을 사칭(스푸핑)하기 쉬워집니다. 특히 SPF 레코드가 두 개 이상이면 표준 위반으로 검증 자체가 실패할 수 있으므로, 이 도구는 그런 경우를 경고로 표시합니다. 도메인만 입력하면 됩니다(프로토콜·경로 불필요).

SPF 메커니즘 빠른 정리

• ip4 / ip6: 발신을 허용할 IPv4·IPv6 주소 또는 대역(CIDR)
• a / mx: 도메인의 A 레코드 또는 MX 서버를 발신처로 허용
• include: 다른 도메인의 SPF 정책을 포함(예: 메일 발송 SaaS)
• redirect: SPF 평가를 지정한 다른 도메인으로 위임
• all: 위 어디에도 해당하지 않는 나머지 발신처의 처리 정책

all 정책(끝맺음)이 핵심

SPF는 보통 all로 끝나며, 앞에 붙는 한정자(qualifier)가 정책을 결정합니다. -all(하드페일)은 허용되지 않은 발신을 거부하라는 강한 정책이고, ~all(소프트페일)은 의심스럽지만 통과시키되 표시하라는 완화 정책입니다. ?all(중립)과 +all(모두 허용)은 사실상 보호 효과가 없어 권장하지 않습니다. 운영이 안정됐다면 ~all에서 -all로 강화하는 것이 좋습니다.

주의할 점

SPF의 DNS 조회 횟수(include·a·mx·redirect 등)는 합쳐 10회를 넘으면 안 됩니다(permerror). include를 너무 많이 중첩하면 한도를 초과해 SPF가 무효가 될 수 있으니 주의하세요. 현재 조회 수가 몇 회인지는 SPF 조회 수 계산기로 확인할 수 있습니다. 또한 SPF 레코드는 도메인당 정확히 하나여야 하며, 여러 발송 서비스는 별도 레코드가 아니라 하나의 SPF 안에 include로 합쳐야 합니다. SPF는 DKIM(DKIM 레코드 조회)·DMARC(DMARC 레코드 조회·검사)와 함께 갖춰야 위조를 효과적으로 막으며, 세 가지를 한 번에 평가하려면 이메일 도달성 종합 점검를 사용하세요.