Anonymous 씀:
빛알갱이님... 말씀하신 내용.. 설명.. 잘 읽어보았습니다... 그리고 말씀하신 내용 중에 답도 함께 포함되어 있구요... 우선 한가지 말씀드리면.. 제가 있는 곳이 한국이 아니라는 점입니다...
자꾸 한국이 아니라는 사실을 강조하시는데, 제가 인터넷을 쓴 총 14년의 기간 중 한국에서 쓴 기간은 4년 정도 밖에 안 됩니다. 그러니까, 제가 말하는 것은 한국 밖에서의 경험에 더 많이 의존하고 있습니다. SMTP 써버가 사용 허가 여부 결정을 하는 방법에는 여러 가지가 있습니다. 1990년대 초까지는 거의 대부분의 경우 완전 개방이었습니다. 그 뒤에 1.접속자의 a 송수신자 주소 검사나 b. 네트웍 주소가 일정 영역 안에 들어 오는지 여부 감사 2. 명시적 사용자 인증, 3. POP3/IMAP4와 연계 인증 등의 방법이 등장했습니다. TB 개발진이 가장 일반적이라고 가정한 것은 1(a+b) 혹은 2번입니다. 1번 혹은 2번에 의해 항상 믿고 쓸 수 있는 SMTP 써버가 있다면 굳이 복수의 SMTP 써버를 지정할 필요가 없기 때문입니다. 1(a+b)는 대학 등에서 흔히 쓰는 방법이고 2나 3번은 사설 ISP가 좀더 많이 쓰는 방법입니다. 그런데, 1a를 쓰면서 1b를 병행하지 않거나, 2나 3번 모델을 채택하면서 동시에 1a도 같이 채택할 경우 님과 같은 문제가 생깁니다. 하지만, 2나 3번으로 이미 인증을 거친 사용자에 대해 다시 1a를 적용해야 할 이유를 저는 잘 모르겠습니다. 그렇게 할 경우 저처럼 메일 포워딩 써비스를 사용하는 사람 (아래를 보세요)은 메일을 보낼 방법이 없어집니다. 제 생각에는 2/3으로 이미 인증을 거친 경우에 다시 1a를 적용하는 것은 관리자가 보안 의식이 높아서가 아니라 관리자의 미숙이나 경험 부족 때문일 확률이 더 큽니다. 즉, 시정을 요구해야할 사항입니다.
SPF 얘기는 다른 얘기입니다. SPF가 주소마다 다른 SMTP 써버를 써야 할 제가 미처 생각하지 못 한 이유네요. 그런데, SPF가 점점 더 보급되고 있기는 하지만, 그것에 의거해서 스팸 여부를 판단하다 보면 아직 너무 많은 false positive가 생깁니다. 제가 가진 도메인에 대해 일단 SPF record 설정을 해 놓지 않았습니다. 또, 지금까지 1a+b 방식을 사용해서 SMTP 사용 여부를 결정하는 제게 네트웍 상 거리가 **가장 가까운** SMTP 써버를 사용해서 메일을 보내지만 (보내는 주소는 경우에 따라 다르게 해서) SPF 기록 부재나 불일치로 반송된 메일은 하나도 없었습니다.
게다가 자기가 속한 학회(APS, IEEE, ACM, AMS 등)나 대학 동창회 등에서 제공하는 메일 주소를 통해 메일을 포워딩 받는 사람의 경우 보내는 메일 주소로 그 주소(
kildong@alum.xyz.ac.kr)를 쓰고자 한다면 SPF와 '충돌'이 생깁니다. 메일 포워딩 서비스를 제공하는 학회나 동창회에서 수만, 수십만에 이를 학회 회원이나 동창들이 세계 각지에서 사용할 SMTP 써버를 전부 SPF record에 넣을 수도 없으니까요. 이런 문제에 대해 SPF를 주창하는 사람들이 뭔가 얘기를 했던 것 같은데, 생각이 안 납니다. 메일 포워딩 서비스를 제공하는 학회나 동창회에서 인증을 통해 사용을 허가하는 SMTP 써버도 같이 제공하면 되지 않느냐고요? 그럴 수는 있습니다. 하지만, 그럴 경우 불필요한 네트웍 트래픽이 발생할 뿐 아니라, 그런 트래픽과 기계 부하를 감당할 수 있는 여유가 대부분의 경우 없습니다.
끝으로 사족 하나: 메일 클라이언트라는 용어를 약간 이상하게 사용하셔서 헛갈립니다. 메일 클라이언트(Mail User Agent=MUA)는 TB, MS OE, MS Outlook, Pine, Mutt, Pegasus Mail, Eudora 등을 말합니다. 웹 메일 프로그램(웹 메일 서비스 제공자 측이 채택한 혹은 학교, 회사 등에서 IMAP4/POP3와 연계해서 제공하는)도 일종의 메일 클라이언트라고 할 수 있습니다. 하지만, 웹 메일 써비스 (hotmail, hanmail, yahoo mail 등)를 메일 클라이언트라고 부르지는 않습니다.