MX/SPF/DMARC 기본 점검

Problem

메일이 수신되지 않거나, 발신 메일이 스팸으로 분류되거나, 인증 결과가 불완전한 상황입니다. 이 문제는 단일 레코드 누락보다 MX, SPF, DMARC, DKIM이 서로 연결된 상태에서 발생하는 경우가 많습니다.

Symptoms

• 메일 수신이 지연되거나 반송됩니다.
• 발신 메일이 받은편지함 대신 스팸함으로 이동합니다.
• Email Check에서 SPF, DMARC, DKIM 항목 중 일부가 누락으로 표시됩니다.
• 메일 서버 호스트는 있는데 외부에서 25/587 포트 연결이 불안정합니다.

Top 3 Causes

1. 수신 경로 누락 - MX 레코드 또는 MX 대상 호스트의 A 레코드가 잘못되어 수신 경로가 완성되지 않습니다.
2. 발신 인증 누락 - SPF, DKIM, DMARC 중 하나 이상이 없거나 잘못되어 수신 서버가 메일을 신뢰하지 않습니다.
3. 운영 경로 문제 - 메일 서버 포트 차단, 잘못된 벤더 include, 오래된 정책 값 때문에 실제 발송이 실패합니다.

Diagnose with DechoNet

• Email Check로 MX, SPF, DMARC, DKIM, reverse DNS 상태를 한 번에 점검합니다.
• DNS Lookup으로 MX 대상 호스트와 TXT 레코드가 실제로 어떻게 응답하는지 교차 확인합니다.
• Port Check로 메일 서버 포트가 외부에서 열려 있는지 확인합니다.

Resolution Checklist

• MX 레코드가 존재하는지, 우선순위와 대상 호스트가 맞는지 확인합니다.
• MX 대상 호스트에 유효한 A 또는 AAAA 레코드가 있는지 확인합니다.
• SPF TXT 레코드가 하나만 존재하고, include 체인이 과도하지 않은지 검토합니다.
• DMARC 정책을 none으로 시작했다면 보고서 수집 후 quarantine 또는 reject로 단계적으로 강화합니다.
• DKIM selector가 현재 메일 서비스 설정과 일치하는지 확인합니다.
• 변경 후 Email Check를 다시 실행해 누락 항목이 해소됐는지 검증합니다.

When to Escalate

• Google Workspace, Microsoft 365, SES 같은 managed mail 서비스를 쓰면 벤더 콘솔 설정까지 함께 확인해야 합니다.
• SPF include 구조를 직접 제어할 수 없으면 메일 서비스 공급자 지원 문서를 우선 확인해야 합니다.
• 메일 서버 포트 차단이 의심되는데 네트워크 정책을 바꿀 수 없으면 호스팅사 또는 보안 담당자에게 요청해야 합니다.