ドメインのレコードをホストしているDNSプロバイダーは、レコードを1件も公開する前から、DMARC運用の前提を形づくっています。DMARCeyeのQ1 2026業界レポートでは、Cloudflareが監視対象ドメインのおよそ4分の1をホストし、認証コンプライアンスは99.08%に達しています。一方でAzure DNSは特定済みドメインの1.17%を占め、87.66%にとどまります。これは主要DNSプロバイダーの中で唯一、レポートの「ウォッチ」ライン93%を下回る数値です。上位10社の差は、内容を理解しておく価値があるほどに広がっています。
本記事ではQ1 2026レポートの1つの切り口、すなわち市場シェア上位10社のDNSプロバイダーと認証コンプライアンスを読み解きます。数値はDMARCeyeが実際に監視している数千ドメインを横断した結果を反映しています。監視されていない、より広いドメイン空間の姿はほぼ確実にこれとは異なり、おそらくもっと悪いでしょう。
DMARCはDNS上で動いています。受信側のメールサーバーが、example.comを名乗るメッセージが本物かを確認するとき、_dmarc.example.comに対してDNSへ問い合わせ、TXT recordからポリシーを読み取ります。その問い合わせに答えるのがDNSプロバイダー、つまり「このドメインのDMARCポリシーは何か?」と尋ねられたときに返答する会社です。代表的なプロバイダーには、Cloudflare、GoDaddy、AmazonのAWS Route 53、そしてMicrosoftのAzure DNSなどがあります。
用語について一点補足します。DNSプロバイダーは、ドメインを購入した会社(レジストラ)と必ずしも同じではありません。多くの中小企業は、初期設定のままレジストラにDNSをホストさせています(たとえばGoDaddyはレジストラでもありDNSプロバイダーでもあります)。一方で、性能や機能上の理由から、CloudflareやAWS Route 53のような専用プロバイダーへDNSを積極的に移す例もあります。この区別がDMARCにとって重要なのは、認証レコード(SPF、DKIM、DMARC)はすべてDNS層に存在し、DNSをどこにホストするかを決めた担当者が、通常はそれらのレコードを設定した担当者と同じだからです。
自分がどのプロバイダーを使っているかわからない場合は、DMARCeyeの無料DNSチェッカーで数秒で確認できます。自分のドメインがどんなメール認証レコードを公開しているかも合わせてわかります
Q1 2026業界レポートでは、プロバイダーを特定できた監視対象ドメインのシェアでランク付けし、上位10社のDNSプロバイダー間で認証コンプライアンスを計測しました。ここでのコンプライアンスは、各プロバイダーのドメインから送信されたメッセージのうちDMARC認証に通る割合で、メール送信量で加重しています。
| DNSプロバイダー | ドメインシェア | コンプライアンス |
|---|---|---|
| Cloudflare | 25.54% | 99.08% |
| GoDaddy | 9.36% | 96.13% |
| Google Cloud DNS | 6.28% | 96.96% |
| AWS Route 53 | 5.35% | 99.51% |
| Namecheap | 5.23% | 99.35% |
| IONOS | 2.63% | 96.99% |
| OVH DNS | 1.40% | 96.39% |
| Azure DNS | 1.17% | 87.66% |
| Host-H | 1.14% | 97.53% |
| Porkbun | 1.13% | 98.48% |
| その他のプロバイダー | 40.77% | 97.80% |
データからは3つのグループが浮かび上がります。
「その他のプロバイダー」の行は特定済みドメインの40.77%をカバーし、コンプライアンスは97.80%です。名前を挙げた各社で残りの約60%を占めており、議論する価値があるほど差が広がっているのもこの領域です。
Azure DNSは、データセット内の主要プロバイダーでレポートの「ウォッチ」ライン93%を下回る唯一の存在です。なぜか。考えられる理由をいくつか挙げます(データ上で実証されているわけではありません)。
これらはどれも、グラフ単体から検証できるものではありません。データセットからの発見ではなく、顧客環境を横断的に見ている中で観察されるパターンです。自分のドメインがAzure DNS上にある場合、意味を持つコンプライアンス数値は平均ではなく、自分自身の数値です。
DNSプロバイダーの切り口が最も使い物になるのは、次の2つの読者像です。
多数のクライアントドメインのDNSを管理する代理店やITサービス事業者の場合、このプロバイダー表は計画のインプットになります。AWS Route 53とCloudflareは、いずれもデータセット上で99%を超えています。多くのドメインに付いてくるレジストラのデフォルト(GoDaddy、IONOS)は96%前後に集まります。3ポイントの差は、「ほぼすべてのメールが通る」状態と「25通に1通が通らない」状態の差です。p=rejectを運用しているクライアントにとって、この差はそのまま配信性能のコストになります。クライアントポートフォリオ全体でDNSをどこに置くかを決めることは、インフラの選択であると同時に配信性能の選択でもあります。
DNSホスティングのガバナンスを定めるエンタープライズITの場合、Azure DNSが87.66%という数値は、Azure DNSが壊れていることを意味しません。Azure DNSは、DNS設定が示す以上にメールインフラが複雑な環境に集中していることを意味します。直すべきは「Azureから抜ける」ことではなく、複雑なメール環境ほど認証に対する精査を緩めるのではなく強める必要がある、と認識することです。データセットの平均は、達成可能なベンチマークではなく、自分の環境を比較するための下限として扱ってください。
いずれにせよ、本当に気にすべきコンプライアンス率は集計値ではなく、自分自身の数値です。まずは自分のドメインに現在公開されているDMARCレコードを確認しましょう。
送信元別のコンプライアンスの内訳、つまり自社のトラフィックでどのメールプラットフォームが通っていて、どこに認証の穴があるかを把握するには、DMARCレポートを時間軸で処理する必要があります。DMARCeyeの無料プランは1ドメインを対象にレポートをフルパースまでカバーし、自分のコンプライアンスが上位ティア、中位ティア、ウォッチライン以下のどこに着地するかを確認するのに十分です。
Q1 2026のデータからは、上位10社の名前付きプロバイダー間で、AWS Route 53の99.51%からAzure DNSの87.66%までおよそ12ポイントの開きがあることがわかります。この差は、根本にあるテクノロジーが大きく違うから生まれているわけではありません。DNSプロバイダーの選択が、運用者の意図を反映しているからです。レジストラのデフォルトではなくAWS Route 53やCloudflareを選んだ人たちは、認証も同じだけ丁寧に設定している傾向があり、その姿勢がコンプライアンス数値に表れています。
すでにDMARC監視を運用しているなら、これはベンチマークというより自分の数値を読み解くための背景です。DMARCeyeはDMARCレポートをパースし、自分のドメインについて、何が通っていて、何が失敗していて、次に何を直すべきかを、生のXMLを自分で読み解かなくてもわかる形で教えます。