2024 콜드메일 제재(2): SPF, DKIM, DMARC, ARC 살펴보기

2024년 2월부터 구글은 스팸성 콜드메일 대량발송에 대해 Gmail 차원에서 규제를 강화하겠다고 공지하였습니다. 콜드메일을 이용하여 서비스를 소개하고 잠재고객을 전환하기 위한 목적으로 콜드메일을 운용하던 입장에서는 큰 제한이 아닐 수 없습니다.

구글은 대량메일 발신자에 대해 발신 이메일을 인증하고, 스팸 메일을 전송하지 않으며, 수신자가 수신거부를 할 수 있도록 해야 한다는 새로운 이메일 발신자 가이드라인을 적용합니다. (이때 수신자란 @gmail.com 또는 @googlemail.com으로 끝나는 개인 Gmail 계정을 이용하는 개인 Gmail 계정 사용자를 말합니다.)

대량메일 발신자란:

대량메일 발신자는 24시간 내에 개인 Gmail 계정으로 5,000개 이상의 메일을 보내는 이메일 발신자를 말합니다. 구글은 메일 전송 한도(5,000개)를 계산할 때 동일한 기본 도메인에서 전송된 모든 메일 수를 집계합니다.

예를 들어, 매일 inblog.ai에서 2,500개의 메일을 보내고, blog.inblog.ai에서 개인 Gmail 계정으로 2,500개의 메일을 보내는 경우, 5,000개의 메일이 모두 동일한 기본 도메인(inblog.ai)에서 전송되었으므로 대량메일 발신자로 간주됩니다.

위의 기준을 한 번 이상 충족한 발신자는 영구적으로 대량메일 발신자로 간주됩니다.

구글/야후의 콜드메일 제재 조치

구글/야후의 콜드메일과 관련한 대표적인 규제 내용을 살펴보면 다음과 같습니다.

콜드메일 규제내용

• 하루에 이메일 5,000건 이상 발송 시 0.3% 이상 스팸 처리될 경우, 도메인을 영구정지 처리 함.

• 하루당 이메일 발송량 5,000건 미만이라도, 대량메일 발신자(bulk sender)로 간주되어 제재 대상이 될 수 있음.

• 상기 메일 규제는 콜드메일 뿐만 아니라, 일반 업무 이메일, 마케팅 이메일, 세일즈 이메일 등을 포함하는 모든 이메일을 포함.

위의 가이드라인을 준수하지 않고 관례에 따라 무작위적으로 대량 메일을 발송할 경우 Gmail에서 스팸으로 표시될 가능성이 높아지며 이는 발신 도메인 평판(domain reputation)에 악영향을 미칠 수 있습니다. 최악의 경우 Gmail 계정이 차단되거나 회사 도메인이 영구정지 처리 당할 수 있습니다.

특히 B2B 영업 관리를 위한 CRM SaaS 릴레잇(relate)의 세일즈 자료에 따르면, 세일즈 및 마케팅용 이메일의 경우는 메인 도메인을 이용하기보다 아웃바운드 전용 도메인을 설정해두는 것이 안전합니다.

스팸 비율

특히 스팸 처리 비율과 관련하여, 구글은 스팸 비율을 0.1% 미만으로 유지하고 스팸 비율이 0.3% 이상이 되지 않도록 해야 한다고 강조합니다. 이메일 가이드라인에서 허용하는 최대 스팸 비율인 0.3%을 초과하는 대량메일 발신자가 보낸 메일은 스팸으로 분류될 수 있다고 경고합니다.

또한, 0.3% 스팸 비율을 초과하지 않더라도 스팸 비율이 0.1%를 초과하는 대량메일 발신자의 경우에는 이메일 받은편지함 전송에 부정적인 영향이 있을 수 있습니다.

구글의 Postmaster Tools을 이용하면 스팸 비율을 모니터링하며 관리할 수 있습니다. 포스트마스터 툴 설정은 직접 소유한 도메인에만 할 수 있으며, 공개된 이메일 주소(naver.com, gmail.com, kakao.com 등)에는 설정할 수 없습니다.

새로운 이메일 가이드라인

구글은 기존의 이메일 가이드라인에서 하루에 5,000건의 이메일을 보내는 대량메일 발신자에 대한 요구사항을 새롭게 추가하여 개편한 가이드라인을 발표하였습니다. 앞으로 발신자가 메일을 보낼 때 준수하여야 하는 가이드라인 항목들을 자세하게 살펴보겠습니다.

발신자 주소 도메인 인증(SPF, DKIM, DMARC, ARC 설정)

SPF, DKIM, DMARC, ARC는 이메일 수신 서비스에서 이메일 발신자의 신뢰도를 검증하기 위해 대부분의 수신 서비스에서 널리 사용하고 있는 방법으로 스팸, 피싱 공격 등의 이메일 보안 위험을 방지하는 데 중요합니다.

1. SPF

SPF(Sender Policy Framework, 발신자 정책 프레임워크)는 도메인에서 이메일을 보내는 모든 서버가 내열되는 방법으로, SPF 레코드에는 도메인에서 이메일을 보낼 수 있도록 허용된 모든 서버의 IP주소가 나열됩니다. 이메일을 수신하는 메일 서버에서 수신사의 받은 편지함으로 이메일을 전달하기 전에 SPF 레코드와 대조하여 확인할 수 있습니다.

SPF를 사용하면 스팸 발송자가 내 도메인에서 보낸 것처럼 위장된 미인증 이메일을 전송하지 못하도록 차단할 수 있습니다.

2. DKIM

DKIM(Domainkeys Identified Mail, 도메인키 식별 메일)는 이메일이 도메인에서 발송되었음을 인증하는 디지털 서명으로, DKIM레코드에는 도메인의 공개 키가 저장되고 이메일 헤더에는 발신자의 비밀 키가 서명됩니다. 이메일을 수신하는 메일 서버에서는 DKIM 레코드를 확인하여 공개 키를 적용하여 발신자의 개인 키가 사용되었는지를 확인할 수 있습니다.

3. DMARC

DMARC(Domain-based Message Authentication Reporting and Conformance, 도메인 기반 메시지 인증, 보고 및 준수)설정은 이메일의 발신자 주소 신뢰도를 검증한 결과에 따라 어떻게 처리하면 좋을 지 구체적인 가이드를 수신 측에게 제공합니다.

도메인의 SPF, DKIM 설정값을 검사한 결과 의심스러운 메일이라고 판단하면 수신하는 측에서는 해당 메일을 어떻게 처리해야 하는지에 대해 내부 정책에 따라 판단하게 되는데, 이때 DMARC 정책이 이메일 처리 방침을 지시하고 수신 측에서는 DMARC 지침에 따라 이메일을 처리하게 됩니다.

SPF 및 DKIM 뿐만 아니라 DMARC 설정까지 된 도메인에서 보내는 이메일은 상대적으로 그렇지 않은 도메인 보다 안전한 이메일일 확률이 높고 따라서 스팸으로 표시될 가능성이 낮아지며 결과적으로 발신자 도메인 평판에 좋은 영향을 미치게 됩니다.

4. ARC

ARC(Authenticated Received Chain, 인증받은 체인)은 이메일이 처리되는 동안 각 단계에서 이메일의 인증 평가를 표시하는 이메일 인증 시스템입니다. 전달된 메일이 SPF 또는 DKIM 인증을 통과했지만 ARC에 과거의 인증 상태가 실패로 표시되면 Gmail에서 해당 메일을 미인증 메일로 간주할 수 있습니다.

위에서 소개한 프로토콜들은 이메일의 신뢰성을 높이고 스푸핑, 피싱, 그리고 다른 보안 위협으로부터 보호하기 위한 것으로 발신자 주소의 소유 도메인에서 이러한 프로토콜을 구현하는 것이 권장되지만, 일부 경우에는 서비스 제공 업체 또는 이메일 서비스 제공업체가 프로토콜을 구현할 수도 있습니다. 그러나 이러한 보안 메커니즘의 효과적인 운영을 위해서는 공개된 이메일 주소(naver.com, gmail.com, kakao.com 등)가 아닌 이메일 발신자 주소의 소유 도메인에서 이러한 프로토콜을 직접 지원하고 설정하는 것이 좋습니다.

원하는 사용자에게만 이메일 전송하기

수신을 원하지 않는 사용자에게 이메일을 계속 보낸다면 어떻게 될까요? 전송된 이메일이 스팸으로 처리될 확률이 높아질 것입니다. 하지만 문제는 그렇게 간단하지 않습니다. 구글의 새로운 가이드라인에 따라 대량메일 발신자가 보낸 이메일 중 0.3% 이상이 스팸으로 처리되는 경우에 발신 도메인이 부정적인 영향을 받기 때문입니다. 예를 들어, 1,000개의 메일 중 단 3건만이 스팸으로 처리되어도 회사 도메인이 영구 정지 당할 수 있다는 말입니다. 따라서 수신을 원하지 않는 사용자들을 우회하여 메일을 전달하는 방법이 필요합니다.

이메일 수신을 원하는 사용자에게만 이메일을 발송하기 위한 방법들을 살펴보기 이전에 이메일 전송 시에 다양한 이유로 발생할 수 있는이메일 반송(bounce) 문제에 대해 간단히 살펴보겠습니다.

이메일 반송(Email Bounce)이란?

이메일이 반송되는 이유는 이메일 주소가 존재하지 않거나, 수신자의 받은 편지함이 가득 찼거나, 발신자의 도메인 평판이 좋지 않거나, 이메일에 악성 첨부파일이 들어있는 경우, 이메일 용량이 너무 큰 경우, 스팸으로 표기된 경우 등 여러 가지가 있으며, 일시적인 이유(소프트 바운스)와 영구적인 이유(하드 바운스)로 사유들을 나누어 이해할 수 있습니다.

• 하드 바운스(Hard bounces) 케이스:

  • 이메일 주소가 잘못 입력되었거나 존재하지 않는 경우 

  • 수신자의 도메인이 존재하지 않는 경우

  • 수신자의 이메일 서버가 메일을 차단한 경우 

• 소프트 바운스(Soft bounces) 케이스:

  • 수신자의 메일함이 가득 차있어 발송할 수 없는 경우  

  • 수신자의 이메일 서버가 일시적으로 다운되었거나 오프라인 상태인 경우 

  • 이메일의 용량이 너무 큰 경우

아래의 사례는 Ghost(고스트) 서비스를 이용하는 유저들이 바운스 이슈들에 대한 정확한 사유와 해결책이 없음에 대해 한 커뮤니티 내에서 불만을 토로하고 있습니다.

뉴스레터를 운영하는 서비스들은 이메일이 바운스된 이유를 유저들에게 명확히 제공하고 문제를 해결할 수 있는 방법들을 친절하게 제공함으로써 바운스를 최소화하여 반송률(bounce rate)을 낮게 유지할 수 있도록 도와 유저들의 이메일 평판을 갉아먹지 않도록 해야할 것입니다.

이메일 반송을 신경 쓰지 않고 계속해서 반송 케이스가 쌓이게 되면 스팸 전송자로 지정될 가능성이 높아지며, 차단 목록에 오르게 되면 실제로 관심을 가진 구독자들이 이메일을 받지 못하는 불상사가 생길 수 있기 때문입니다.

따라서 이메일 바운스 문제가 생길 경우에는 발생 원인을 파악하여 해결한 후 재전송을 시도하거나 해결할 수 없는 원인의 경우(하드 바운스)에는 이메일 전송을 하지 않거나 우회함으로써 도메인 평판을 유지하는 것이 중요하다고 할 수 있습니다.

1. 수신동의를 통해 ICP에게만 이메일 발송하기

위에서 언급한 이메일 하드 바운스 케이스와 같이 이메일 주소가 잘못 입력되어 존재하지 않는 이메일을 입력했거나 엉뚱한 주소로 메일이 발송되는 경우를 방지하기 위해 이메일 인증 단계를 거쳐야 합니다.

구독 전 이메일 인증을 통해 이메일 계정이 활성화 되어있는지, 입력한 이메일이 맞는지, 수신하려는 의도가 정말 있는지를 사전에 검증할 수 있다는 점에서 이메일 인증은 이메일이 스팸으로 표기될 가능성을 효과적으로 줄어들게 할 것입니다.

2. 간편한 수신거부 옵션 제공하기

구글은 수신자가 손쉽게 구독을 취소할 수 있는 명확한 수신 거부 링크를 이메일에 포함하도록 권고합니다. 구독자가 수신에 동의했다고 해도 더 이상 이메일을 받아보고 싶지 않을 수 있습니다. 이때 쉽게 수신을 거부 할 수 있는 방법이 없다면 마음이 변한 구독자는 스팸처리를 할 가능성이 높아집니다.

특히, 하루에 5,000개가 넘는 메일을 보내는 경우 마케팅 및 구독 메일은 원클릭 수신거부(One-Click Unsubscribe)를 지원해야 합니다.

➢ 원클릭 수신거부 하는 방법 알아보기

메일 서식 가이드라인 준수

구글에서 권장하는 메일 표준 서식 가이드라인을 준수하는 것이 수신자의 받은편지함으로의 이메일 전달률을 높일 수 있습니다. 여러 권장사항 중 몇 가지를 소개합니다.

• 인터넷 서식 표준(RFC 5322)에 따라 메일 서식 지정하기

• HTML 표준에 따라 메일 서식 지정하기

• HTML/CSS를 사용하여 콘텐츠를 숨기지 않기

• 헤더(보낸 사람)에는 하나의 이메일 주소만 포함하기

우리는 일상에서 아래와 같이 디자인된 뉴스레터를 흔하게 접할 수 있습니다. 일반적인 텍스트 포맷을 넘어서 과도하게 디자인된 뉴스레터는 되려 광고 목적의 메일로 인식될 수 있는 가능성이 큽니다. 시각적으로 예쁜 것에 현혹되기 보다는 구글의 올바른 표준 지침을 따르는 것이 기능적으로 안전합니다.

메일 발송량 점진적으로 늘리기

구글은 대량메일 발송에 있어서 전송량에 대해서도 아래와 같은 가이드들을 제공하고 있습니다.

• 이메일 전송량을 일정하게 유지합니다. 갑작스럽게 대량의 이메일을 전송하지 않습니다.

• 참여도가 높은 사용자에게 적은 양을 보내는 것으로 시작해 전송량을 서서히 늘립니다.

• 대량으로 전송한 적이 없는 경우 전송량을 갑자기 늘리는 일이 없도록 합니다. 예를 들어 이전에 비해 전송량을 갑자기 2배로 늘리면 속도가 제한되거나 평판이 하락할 수 있습니다.

➢ 구글 전송량 가이드라인 더확인하기

구글이 위와 같이 점진적인 메일 발송을 권장하는 이유는 GSuite 계정에서 하루 할당된 이메일의 양을 처음부터 모두 사용할 수는 없기 때문입니다. 적은 수의 이메일을 시작으로 점차 전달가능한 이메일의 수를 늘리는 과정은 반드시 필요한 작업입니다. 이를 이메일 웜업(Email Warm-up)이라고 하며 일반적으로 8-12주 정도가 소요되나 이는 이메일의 양과 수신자의 참여도에 따라 달라질 수 있습니다.

이메일 웜업을 통해 새로운 이메일 계정으로 대규모 콜드 이메일 캠페인을 실행할 때 최대 한도의 이메일 송신량을 활용할 수 있으며, 수신자들의 받은 편지함으로의 전달률 및 이메일 오픈률을 높일 수 있습니다.

➢ 이메일 웜업에 대해 더 알아보기
➢ AWS 워밍업 자료 읽기

대량 메일 발송인에 대한 구글의 제재 조치에 대한 요약을 보고 싶으면 다음 Gmail 문서를 참고해주세요: https://blog.google/products/gmail/gmail-security-authentication-spam-protection/

더 읽기

• 2024 콜드이메일 제재에 대응하기(1): 콜드메일(Cold Email)이란?

• 2024 콜드이메일 제재에 대응하기(3): 스팸성 콜드메일 제재가 SEO에도 영향을 미칠까?