行政機関、学区、大学にとって、メールは法的義務であると同時に格好の攻撃対象でもあります。市民、学生、職員は公的機関から届いたように見えるメッセージに反応するため、攻撃者は給付金詐欺、税金詐欺、認証情報の窃取のためにこうした組織のメール送信ドメインを乗っ取ろうとします。
DMARCは、受信サーバーが正規のメッセージと偽造されたメッセージを見分けられるようにするメール標準であり、公的機関にとっては任意ではなく必須になりつつあります。米国の連邦機関は2017年からその強制が義務付けられており、英国とEUの多くの地域でも現在はこれが求められています。本ガイドでは、公的機関に適したDMARC監視ツールを、こうした組織が最も必要とするもの、つまり分かりやすいマルチドメインのレポート、コンプライアンスの証明、公的予算で正当化できる価格という観点から比較します。本記事のすべての情報は、公開時点でベンダーのウェブサイトから直接確認したものです。
DMARCeyeは米国をはじめとする各国の公的機関に信頼されており、以下の内容の多くはそうした組織のチームが実務で求めている点を反映しています。
DMARCは、GmailやOutlookのような受信サーバーに対し、あなたのドメインを名乗りながら認証に失敗したメッセージをどう扱うかを指示します。何もしない(p=none)、迷惑メールに振り分ける(p=quarantine)、あるいは完全に拒否する(p=reject)のいずれかです。DMARCは、特定のサービスがあなたのドメインとして送信を許可されているかを確認する2つのチェック、SPFとDKIMの上に成り立っています。公的機関にとって、DMARCレコードを公開し強制することは、推奨事項ではなく次第に必須の規則になりつつあります。
p=rejectへの到達を義務付けています。州、郡、市の政府も次第に同じ水準を採用しており、学区や大学は下記の大量送信者向けの規則の対象となります。p=quarantineまたはp=rejectでの強制を求めています。NCSCは、多くの公的機関がレポートに利用していた無料のMail Checkサービスを現在は終了しており、各機関は自ら監視手段を確保する必要があります。米国の調達に関する1つの注意点として、連邦機関はFedRAMPなどの認可制度のもとで運用しており、購入できるベンダーが限られるため、連邦チームのツール選択には制約があります。本ガイドは、自由に選べるはるかに大きなグループ、つまり州および地方政府、学区、大学、公的な医療・公益事業、そして米国外の公的機関に向けて書かれています。
業界の脅威調査によると、政府は2025年にフィッシングの標的として最も狙われた部門の1つであり、その試みは前年比で急増しました。理由は信頼です。人は税務署、給付機関、学校から届いたように見えるメールに反応するため、偽造されたメッセージは無作為な詐欺よりもはるかに高い成功率を示します。
2025年を通じて、キャンペーンは学生のシングルサインオンポータルを偽装したページで十数校を超える大学を襲い、認証情報を収集したうえで、それらのアカウントを再利用して機関内部からより説得力のあるメールを送信しました。p=none(DMARCの監視専用モード)のまま放置されたドメインは、受信サーバーにこれらを一切ブロックする指示を与えません。監視とは、どの送信者が自分のものか、どれが偽造か、そして偽造メールがどこから来ているのかを、ポリシーを十分に強化して止める前に把握するための手段です。あなたの機関のドメインが現在何を公開しているか分からない場合は、まずそれを確認してください。
公的機関は単一ドメインの事業ではありません。大学は学部、キャンパス、そしてサブドメインの網を運営し、郡はその名義で送信するサービス、機関、ベンダーを運営しています。この点が、ツールで重視すべき事柄を左右します。
以下の6つのツールはいずれもDMARCをうまく監視します。異なるのは価格、どこまで説明してくれるか、そしてDMARC以外にどこまで対応しようとするかです。価格と制限は公開日時点のものであり、頻繁に変わるため、購入前に各ベンダーの料金ページで確認してください。
| ツール | 無料プラン | 初級有料プラン | 公的機関に最も適したケース |
|---|---|---|---|
| DMARCeye | 1ドメイン、月5,000通、30日間 | $4/ドメイン/月から(Scale) | DMARC専門家を置かずに、多数のドメインにわたって分かりやすい指針を求める公的チーム |
| dmarcian | 2ドメイン、非商用のみ | $24/月(Basic、2ドメイン) | DMARCプロトコルを深く学びたいチーム |
| EasyDMARC | 1ドメイン、1,000通、14日間 | $35.99/月(Plus、2ドメイン) | 1つのダッシュボードで完結する認証スタック一式 |
| URIports | 1か月間の試用 | $6/月から(Pebble) | DNSとTLSのレポートも求めるセキュリティチーム |
| DMARC Report | 1ドメイン、月10,000レポート、30日間 | $25/月(Guard、5ドメイン) | まず使い始めるための無料の自動ダッシュボード |
| Postmark DMARC Digests | 単一ドメインの無料プラン | $14/月・ドメインあたり | ダッシュボードの代わりにシンプルな週次メールを求める場合 |
DMARCeyeはあなたのDMARCレポートを読み取り、各ドメインについてどの送信者が合格しているか、どれが失敗しているか、次に何を修正すべきかを教えてくれます。DMARC専門家を配置していない公的ITチームでも、当て推量に頼らずに監視から安全な強制ポリシーへ移行し、すべてのドメインとサブドメインを1つの画面で確認できます。組み込みのAIアシスタントは「先週はどの送信者が失敗したか」といった質問に答えるため、手が回らないチームでもレポートを掘り下げることなく答えを得られます。さらに、MCPを通じて同じデータをすでに使っているチャットツールに接続することもできます。MCPは、AIアシスタントがあなたのDMARCレポートを読めるようにするオープン標準です。
料金はドメインあたりで、Scaleプランでは1ドメインあたり月$4からです。無料プランは1ドメインと月5,000通をカバーし、レポート分析機能をすべて含み、クレジットカードは不要です。これは、より広く展開する前に単一のサービスドメインで始める分かりやすい方法です。DMARCeyeは現在、BIMI、MTA-STS、SPFフラット化には対応していませんが、これらの機能は開発ロードマップに含まれています。
dmarcianは先駆者であり、2012年にDMARC仕様の主要な作成者の1人によって設立されました。その強みは深さと教育です。単にチェックボックスを埋めるのではなく、プロトコルを詳細に学びたいチームに報いるもので、徹底したレポートと本当に優れたドキュメントを備えています。強制に到達しそれを証明することが主目的の、手が回らない公的ITチームにとっては、その深さは時間的に手に余るかもしれません。
無料のPersonalプランは非商用ドメイン専用であるため、機関には有料プランが必要です。Basicは2ドメインで月$24で、料金はドメイン数に応じて上がるため、実際にカバーする必要があるドメイン数と照らし合わせて検討する価値があります。
EasyDMARCは、メール認証スタック全体を1か所にまとめます。DMARC、SPFフラット化、BIMI、MTA-STS、TLSレポートを、ガイド付きのオンボーディングと豊富な無料ツールとともに提供します。1つのダッシュボードからDMARC以外も扱いたい大規模な機関や組織にとっては、その幅広さが魅力です。その代わり、価格が高くなります。
無料プランは1ドメイン、1,000通、14日間の履歴に制限されており、初級有料プランのPlusは2ドメインで年払い月$35.99と、このリストの中で最も高い開始価格です。
URIportsは、セキュリティチームに適した技術的で監視重視のアプローチを取ります。DMARCの集計レポートと失敗レポートに加え、DNSとTLS-RPTを監視するため、1か所からドメインの健全性をより広く把握でき、自動化のためのwebhookとAPI連携も備えています。
料金は低く抑えられており、1か月間の試用後、Pebbleプランで月$6から始まります。これは、企業向け契約なしに幅広いシグナルを求める機関にとって経済的な選択肢です。指針主導のツールほど手取り足取りではないため、データを読みこなせるチームに向いています。
DMARC Reportは、体験版ではなく実用に足る無料プランで際立っています。Coreプランは1ドメインで無料で、月10,000レポート、30日間の履歴、レポートの自動取り込み、そして本物のダッシュボードを備えているため、無料で自分のデータを見始める本物の手段になります。ただし、指針を示すツールではなくレポート用のダッシュボードであるため、次に何を修正すべきか教えてほしいチームはこれでは物足りなくなります。
有料プランは、5ドメインのGuardプランで月$25から始まります。
Postmark DMARC Digestsは最もシンプルな選択肢で、誰があなたのドメインとして送信しており何が失敗しているかを要約する週次または月次のメールを中心に構築され、修正方法についての平易な指針を添えます。週次ダイジェスト付きの単一ドメイン無料プランがあり、有料プランには軽量なダッシュボードもありますが、魅力は何にもログインしたくないチームのための手間のかからないダイジェストです。
無料プランを超えると、ドメインあたり月$14です。ツールを管理せずに可視性を得たい単一の部署にとっては役目を果たしますが、機関が多数のドメインを持つようになると、ドメインあたりの料金は積み重なります。
次の4ステップです。
p=noneでDMARCレコードを公開し、正規のメールが失敗していないことを確認するために数週間レポートを読みます。p=quarantineへ、次にp=rejectへと移行し、未使用のサブドメインがなりすまされないようにサブドメインポリシー(sp=)を設定します。ほとんどのドメインはこれを宣言しておらず、そのために攻撃者が利用できる隙が残ります。監視ツールこそが、最後のステップを安全にするものです。ポリシーを強化する前に、どの送信者がまだ失敗しているかを分かりやすい言葉で示してくれます。強制がまれなのは、難しいからではなく、変更を信頼できるほど明確に状況が見えていないからです。DMARCeyeの2026年第1四半期業界レポートでは、p=rejectに到達したアクティブなドメインはわずか26.5%で、3分の1以上が依然としてp=noneにとどまっていました。
増え続ける組織にとって、答えははいです。米国の連邦機関は2017年からp=rejectでのDMARC強制を義務付けられており、英国の中央政府は2016年からこれを義務化し、EU加盟国はNIS2のもとで公的行政にこれを求めています。部門ごとの規則が適用されない場合でも、Google、Yahoo、Microsoftは大量に送信するあらゆるドメインに認証を求めており、これはほとんどの機関、学区、大学を対象とします。
はい。大学は、学生や職員のログインを偽装する認証情報フィッシングの頻繁な標的であり、ニュースレター、通知、大量のメールを送信するあらゆる機関は、主要なメールボックスプロバイダーの認証規則の対象となります。強制段階のDMARCは、攻撃者が学校自身のドメインから届いたように見えるメールを送信することを止めるものです。
本ガイドのどのDMARC監視ツールも、同じ集計レポートを取り込んで提示し、そのほとんどは無料プランから始められます。政府運営のサービスに依存していた公的機関は、レポート送信先を商用ツールに移すことで継続性を保ちつつ、その過程で平易な言葉による指針とマルチドメインの表示を得られます。
始めるにあたっては、多くの場合はいです。単一ドメインの部署は、DMARCeyeの1ドメインと月5,000通のような本物の無料プランで始め、どの送信者が合格し失敗しているかを正確に把握できます。より多くのドメイン、より長い履歴、ロールベースのアクセス、あるいはアラートが必要になったときに有料プランへ移行しますが、ほとんどの機関は保有するすべての資産を監視下に置くにつれてその段階に至ります。
公的機関にとって、DMARCは義務であると同時に防御でもあります。信頼された公的ドメインから届いたように見えるメールを攻撃者が送信するのを防ぎ、そのようにしてきたことを監査担当者に証明します。適切なツールとは、すべてのドメインとサブドメインを分かりやすく示し、レポートを修正すべき送信者の短いリストに変え、セキュリティレビューに提出できる証拠を生成し、しかもそれを公的予算で正当化できる価格で実現するものです。
生のレポートではなく指針が欲しいなら、それこそがDMARCeyeが目指すものです。あなたのドメインのDMARCデータを読み取り、次のステップを教えてくれます。無料プランから始められます。