調査レポート
DNSプロバイダー別のDMARC: Q1 2026レポートが示すこと
Cloudflareは監視対象ドメインの4分の1をホストしDMARCコンプライアンス99%、Azure DNSは87.66%。DNSプロバイダーの選択がDMARCの結果をどう左右するかを解説します。
Jack Zagorski
5 11, 2026
ドメインのレコードをホストしているDNSプロバイダーは、レコードを1件も公開する前から、DMARC運用の前提を形づくっています。DMARCeyeのQ1 2026業界レポートでは、Cloudflareが監視対象ドメインのおよそ4分の1をホストし、認証コンプライアンスは99.08%に達しています。一方でAzure DNSは特定済みドメインの1.17%を占め、87.66%にとどまります。これは主要DNSプロバイダーの中で唯一、レポートの「ウォッチ」ライン93%を下回る数値です。上位10社の差は、内容を理解しておく価値があるほどに広がっています。
本記事ではQ1 2026レポートの1つの切り口、すなわち市場シェア上位10社のDNSプロバイダーと認証コンプライアンスを読み解きます。数値はDMARCeyeが実際に監視している数千ドメインを横断した結果を反映しています。監視されていない、より広いドメイン空間の姿はほぼ確実にこれとは異なり、おそらくもっと悪いでしょう。
DMARCにおける「DNSプロバイダー」とは
DMARCはDNS上で動いています。受信側のメールサーバーが、example.comを名乗るメッセージが本物かを確認するとき、_dmarc.example.comに対してDNSへ問い合わせ、TXT recordからポリシーを読み取ります。その問い合わせに答えるのがDNSプロバイダー、つまり「このドメインのDMARCポリシーは何か?」と尋ねられたときに返答する会社です。代表的なプロバイダーには、Cloudflare、GoDaddy、AmazonのAWS Route 53、そしてMicrosoftのAzure DNSなどがあります。
用語について一点補足します。DNSプロバイダーは、ドメインを購入した会社(レジストラ)と必ずしも同じではありません。多くの中小企業は、初期設定のままレジストラにDNSをホストさせています(たとえばGoDaddyはレジストラでもありDNSプロバイダーでもあります)。一方で、性能や機能上の理由から、CloudflareやAWS Route 53のような専用プロバイダーへDNSを積極的に移す例もあります。この区別がDMARCにとって重要なのは、認証レコード(SPF、DKIM、DMARC)はすべてDNS層に存在し、DNSをどこにホストするかを決めた担当者が、通常はそれらのレコードを設定した担当者と同じだからです。
自分がどのプロバイダーを使っているかわからない場合は、DMARCeyeの無料DNSチェッカーで数秒で確認できます。自分のドメインがどんなメール認証レコードを公開しているかも合わせてわかります
市場シェアとコンプライアンスで見るDNSプロバイダー上位10社
Q1 2026業界レポートでは、プロバイダーを特定できた監視対象ドメインのシェアでランク付けし、上位10社のDNSプロバイダー間で認証コンプライアンスを計測しました。ここでのコンプライアンスは、各プロバイダーのドメインから送信されたメッセージのうちDMARC認証に通る割合で、メール送信量で加重しています。
| DNSプロバイダー | ドメインシェア | コンプライアンス |
|---|---|---|
| Cloudflare | 25.54% | 99.08% |
| GoDaddy | 9.36% | 96.13% |
| Google Cloud DNS | 6.28% | 96.96% |
| AWS Route 53 | 5.35% | 99.51% |
| Namecheap | 5.23% | 99.35% |
| IONOS | 2.63% | 96.99% |
| OVH DNS | 1.40% | 96.39% |
| Azure DNS | 1.17% | 87.66% |
| Host-H | 1.14% | 97.53% |
| Porkbun | 1.13% | 98.48% |
| その他のプロバイダー | 40.77% | 97.80% |
データからは3つのグループが浮かび上がります。
- 上位ティア、コンプライアンス99%超:AWS Route 53が99.51%で首位、続いてNamecheap(99.35%)、Cloudflare(99.08%)。Porkbunはそのすぐ下の98.48%です。これらのプロバイダーは、レジストラのデフォルトをそのまま使っている結果ではなく、意図して選ばれている傾向があります。利用しているドメイン群もSPF、DKIM、DMARCを丁寧に設定している運用者に偏りがちです。
- 中位ティア、コンプライアンス96~97%:名前の挙がっているプロバイダーの大半はこの帯に集まります。IONOS(96.99%)、Google Cloud DNS(96.96%)、OVH DNS(96.39%)、GoDaddy(96.13%)は、いずれも1パーセントポイント以内に収まっています。GoDaddyはレジストラかつDNSプロバイダーで、DNSをホストしているドメインの多くは、意図的に移ってきたのではなく、登録時のデフォルトのまま付いてきたものです。
- 1社だけ外れ値:Azure DNSは87.66%で、レポートの「ウォッチ」ライン93%を大きく下回ります。名前の挙がっているプロバイダーの中で次に低い社よりも、8パーセントポイント以上下にあります。
「その他のプロバイダー」の行は特定済みドメインの40.77%をカバーし、コンプライアンスは97.80%です。名前を挙げた各社で残りの約60%を占めており、議論する価値があるほど差が広がっているのもこの領域です。
他社が96%を超える中、Azure DNSが87.66%にとどまる理由
Azure DNSは、データセット内の主要プロバイダーでレポートの「ウォッチ」ライン93%を下回る唯一の存在です。なぜか。考えられる理由をいくつか挙げます(データ上で実証されているわけではありません)。
- Azure DNSはMicrosoft 365やAzure環境の中で使われることが最も多く、そこではメールインフラが重層的になっています。Exchange Online、サードパーティの中継サービス、オンプレミスのフォワーダー、自動化されたテナント、共有メールボックスがすべて同じドメインで送信します。DNSホスティング自体はシンプルですが、複雑になるのは送信側です。Q1の関連する2つの所見が、この複雑さの実態を示しています。送信フットプリントの分析では、複雑なドメインは同時に数十の異なる送信IPを抱え得ることがわかっています。さらにESP別のコンプライアンス分散では、多くのメールプラットフォーム経由でメールをルーティングしているドメインほど、認証率が低い帯に集まることが示されています。
- Azure DNSの顧客層はエンタープライズに偏っています。エンタープライズは、Cloudflareで運用する中小企業よりも、はるかに多様な経路を通じて、はるかに多様な種類のメールを送信します。動く部品が増えるほど、認証が失敗し得る箇所も増えます。
- レポート上のDMARCコンプライアンスはメッセージごとに測定され、メール送信量で加重しています。送信量の大きいAzureホスト型ドメインのごく少数に認証の穴があると、影響を受けたドメインの数が示唆する以上に、全体の数値を引き下げ得ます。
これらはどれも、グラフ単体から検証できるものではありません。データセットからの発見ではなく、顧客環境を横断的に見ている中で観察されるパターンです。自分のドメインがAzure DNS上にある場合、意味を持つコンプライアンス数値は平均ではなく、自分自身の数値です。
自分の環境にとっての意味合い
DNSプロバイダーの切り口が最も使い物になるのは、次の2つの読者像です。
多数のクライアントドメインのDNSを管理する代理店やITサービス事業者の場合、このプロバイダー表は計画のインプットになります。AWS Route 53とCloudflareは、いずれもデータセット上で99%を超えています。多くのドメインに付いてくるレジストラのデフォルト(GoDaddy、IONOS)は96%前後に集まります。3ポイントの差は、「ほぼすべてのメールが通る」状態と「25通に1通が通らない」状態の差です。p=rejectを運用しているクライアントにとって、この差はそのまま配信性能のコストになります。クライアントポートフォリオ全体でDNSをどこに置くかを決めることは、インフラの選択であると同時に配信性能の選択でもあります。
DNSホスティングのガバナンスを定めるエンタープライズITの場合、Azure DNSが87.66%という数値は、Azure DNSが壊れていることを意味しません。Azure DNSは、DNS設定が示す以上にメールインフラが複雑な環境に集中していることを意味します。直すべきは「Azureから抜ける」ことではなく、複雑なメール環境ほど認証に対する精査を緩めるのではなく強める必要がある、と認識することです。データセットの平均は、達成可能なベンチマークではなく、自分の環境を比較するための下限として扱ってください。
いずれにせよ、本当に気にすべきコンプライアンス率は集計値ではなく、自分自身の数値です。まずは自分のドメインに現在公開されているDMARCレコードを確認しましょう。
送信元別のコンプライアンスの内訳、つまり自社のトラフィックでどのメールプラットフォームが通っていて、どこに認証の穴があるかを把握するには、DMARCレポートを時間軸で処理する必要があります。DMARCeyeの無料プランは1ドメインを対象にレポートをフルパースまでカバーし、自分のコンプライアンスが上位ティア、中位ティア、ウォッチライン以下のどこに着地するかを確認するのに十分です。
まとめ
Q1 2026のデータからは、上位10社の名前付きプロバイダー間で、AWS Route 53の99.51%からAzure DNSの87.66%までおよそ12ポイントの開きがあることがわかります。この差は、根本にあるテクノロジーが大きく違うから生まれているわけではありません。DNSプロバイダーの選択が、運用者の意図を反映しているからです。レジストラのデフォルトではなくAWS Route 53やCloudflareを選んだ人たちは、認証も同じだけ丁寧に設定している傾向があり、その姿勢がコンプライアンス数値に表れています。
すでにDMARC監視を運用しているなら、これはベンチマークというより自分の数値を読み解くための背景です。DMARCeyeはDMARCレポートをパースし、自分のドメインについて、何が通っていて、何が失敗していて、次に何を直すべきかを、生のXMLを自分で読み解かなくてもわかる形で教えます。