DMARCには、ポリシーを段階的に厳格化するための安全機構が組み込まれています。これは段階的ロールアウトと呼ばれる仕組みで、認証に失敗したメールの25%に新しいルールを今週適用し、来週は50%、再来週は100%へと広げていく方法です。「正規メールを壊さずにどう展開するか」という問いに対する公式の答えがこれです。DMARCeyeのQ1 2026データセットでは、quarantineに切り替えたドメインの94.1%、rejectに切り替えたドメインの93.5%が初日からポリシーを100%で適用しており、この安全機構はほとんど使われていません。そして、まもなく登場するDMARCbis標準(実質的なDMARC 2.0)は、おそらくこの理由から、その仕組み自体を削除しようとしています。
本記事では、DMARCeyeのQ1 2026業界レポートから「段階的ロールアウト」の調査結果を解説します。12種類のチャートと方法論を含むレポート全文は以下からご覧いただけます。
DMARCの最初の標準(RFC 7489、2015年)には、安全にロールアウトするための調整つまみとしてpct=が含まれていました。意図はこうです。ドメイン所有者がp=noneからp=quarantineまたはp=rejectへ移行するとき、まずpct=10に設定する。受信サーバーは認証失敗メッセージのうち10%にだけ新ポリシーを適用し、残り90%はp=noneのままであるかのように扱う。何か問題が起きても、影響を受けるのはメールのごく一部にとどまり、被害が広がる前にロールバックできる、というものです。
この仕組みは、エンフォースメントへの移行に伴うリスク感を下げるために設計されました。理屈の上では、pct=10に設定してレポートを観察し、pct=25で再び観察、続いてpct=50、最後にpct=100へ、と段階的に進められます。しかし実際には、ほとんど誰もそうしていません。
データセット内のエンフォースメント中ドメイン(p=quarantineまたはp=rejectのドメイン)について、pct=が設定されているか、設定されている場合の値を調べました。
pct=タグなし、またはpct=100)。1.8%が後期段階(50〜99%)。3.0%が中期段階(10〜49%)。1.1%が初期段階(1〜9%)。段階的ロールアウトを実際に使っている6%の大半は、10〜49%の中期段階に集中しています。これは、全面適用に踏み切る前に、新ポリシーを意味のある割合のメールでテストしているドメインが見つかると予想される範囲です。初期段階(1〜9%)の帯はほぼ空で、慎重にスタートするドメインは1.5%にも届きません。
Q1のデータが示すのは「何が起きているか」であって、「なぜか」ではありません。以下は顧客全体で見られるパターンであり、推測まじりの解釈として扱ってください。
p=noneからエンフォースメントへ進むチームは、たいてい数週間から数か月かけて集約レポートを読み込み、送信元の認証を整えています。スイッチを入れる頃には、正規メールが整合していると確信しているのです。pctはメリットなしに移行を遅らせるだけになります。pct=段階を勧めずに、モニタリングからエンフォースメントへとユーザーを誘導します。標準的なワークフローはドキュメント先行型です。送信元を把握し、未認証のものを修正し、その上で100%へ進む、という流れです。pct=10に設定するということは、認証失敗メールの90%にはポリシーが適用されないのと同じ扱いになるということです。一部のチームにとって、これでは目的を果たせません。部分的なエンフォースメントを望むなら、そのままp=noneでいればいい。エンフォースメントするか、しないか、そのどちらかしかない、という考え方です。pct=を同じように扱うわけではありません。標準は「認証失敗メッセージのうちpct%にポリシーを適用する」と規定していますが、厳密に従う受信側もあれば、近似で済ませる受信側もあります。送信側が監査できない受信側の挙動に、この仕組みは依存しています。標準の改訂版であるDMARCbis(Q1レポート時点でIETFワーキンググループのレビュー段階)は、pct=タグを完全に削除します。代わりに導入されるのは、二者択一のテストフラグt=yです。ドメインはテストモードか、そうでないか、そのどちらかであり、パーセンテージのつまみは存在しません。
ワーキンググループでの議論を要約すると、その理由はこうです。pct=はほとんどの運用者が使わない機能であり、受信側で一貫しない形で適用され、思考コストも高いことが分かった。二者択一のt=yフラグは、実際の運用パターンに合致する。ドメイン所有者が段階的に進めていないのなら、標準が段階的進行を前提にする必要はない、というわけです。
今後のロールアウトでpct=を使おうと考えていたなら、Q1のデータとDMARCbisの方向性は揃って「使わなくていい」と告げています。一気に100%へ進んだ94%のドメインは、結果的に正しい判断をしていたことになります。標準の側が、彼らのやり方に合わせて変わろうとしているのです。
現在p=noneで、エンフォースメントへの移行を検討しているなら、現実的な道筋はこうなります。
p=quarantineを100%で適用する。失敗したメールは/dev/nullではなく迷惑メールフォルダに入ります。さらに1〜2週間レポートを観察してください。ステップ1を正しく実行していれば、失敗するのはなりすましだけです。p=rejectを100%で適用する。失敗したメールは即座に拒否されます。認証をきれいに済ませていれば、quarantineからrejectへの移行は利用者から見て何も変わりません。モニタリングとレポート分析は、何が認証されていて何がされていないかを正確に教えてくれます。それさえ分かれば、パーセンテージのつまみは必要ありません。
自分のドメインが現在どのレコードを公開しているか分からないなら、確認のいちばんの近道は下のツールです。ドメインを入力すると、DMARCレコード(および公開されていればSPFとDKIM)が表示されます。
Q1 2026の数値は、DMARCのエンフォースメントを段階的に進めるドメインがほぼ皆無であることを示しています。DMARCbisの改訂は、その判断が正しかったと裏づけています。pct=が想定していた「安全機構」は、ほとんどの運用者に無視されるつまみで終わりました。一因は、エンフォースメントを正しくロールアウトする方法が、そもそもパーセンテージのつまみを必要としない方法だからです。送信元をドキュメント化し、認証を整え、スイッチを入れる。それだけです。