DMARC施行ギャップ：着手済みドメインの3分の1超がいまだp=noneにとどまる

DMARCの本来の目的は施行です。DMARCレコードは、認証に失敗したメッセージをどう扱うかを受信側のメールサーバーに伝えます。p=quarantineでスパムフォルダに送るか、p=rejectで受信そのものを拒否するか、です。ドメインがそのいずれかのポリシーに到達するまで、DMARCは単なる可視化にすぎません。役には立ちますが、保護にはなりません。DMARCeyeのモニタリング基盤から得たQ1 2026のデータは、DMARCに着手したドメインの3分の1超がそこに到達できていないことを示しています。

この記事では、DMARCeyeのQ1 2026業界レポートから、ポリシー分布に関する分析結果を取り上げます。12種類のチャートと方法論を含むレポート全文は、以下からダウンロードできます。

Q1 2026におけるDMARC着手済みドメインの現在地

DMARCeyeが継続的にモニタリングしている数千のドメインを見ると、ポリシーの内訳はこのようになっています。

• 36.7%がp=none（モニタリングのみ）。DMARCレコードは存在するものの、認証失敗時に何かを行うよう受信側に指示していない状態です。
• 36.8%がp=quarantine。失敗したメッセージはスパムフォルダに送られます。
• 26.5%がp=reject。完全な施行です。失敗したメッセージは受信拒否されます。

モニタリング対象ドメインの約3分の1は、いまだ可視化フェーズにとどまっています。完全な施行に到達しているのは約4分の1にすぎません。中間層のquarantineが、単独では最大のグループです。

この数字は、すでにDMARCに着手しているドメインに限った話です。レポート本編では、この着手済みグループを、公開インターネット上の一般ドメインから別途取得したスキャナーサンプルと比較しています。そのサンプルでは、28%のドメインがそもそもDMARCレコードを持っていません。

「モニタリングのみ」が実際に守っているもの

p=noneのDMARCレコードは、受信側のサーバーにこう伝えます。「SPFとDKIMのアラインメントに失敗したメッセージでも、そのまま配信してください。ただしレポートだけは送ってください」。ドメイン所有者は、忘れていた送信元サービスからの正規メールと、なりすましの試みの両方について可視性を得ます。ですが、ブロックは一切行われません。なりすましメッセージも、正規のメッセージと同じように受信トレイに届きます。

モニタリングのみは、出発点としては問題ありません。モニタリングデータがなければ、ポリシーを安全に厳格化することはできません。しかしp=noneに長くとどまり続けるということは、なりすましの証拠を集めるだけ集めて、何の対処もしないということです。

p=noneにとどまることの実際のコスト

多くの企業にとって、p=noneにとどまることの実害は、次の3つに表れます。

• なりすましメールが受信トレイに届く。あなたのドメインを名乗るフィッシングキャンペーンが、それを止めるポリシーが効いていないために、顧客や従業員のメールボックスに着弾します。
• 正規メールがスパムフォルダに寄っていく。受信側サーバーは、モニタリングのみのドメインを直接ペナルティの対象にすることはありません。ですが、認証に失敗したメッセージはドメインのレピュテーションに記録されていきます。あなたのドメインを騙ったなりすましメールは、認証に失敗します。攻撃者の活動が数週間続くと、その記録パターンが、あなたの正規メールの着信先にも影響し始めます。
• 大量送信者向け要件を、最低限しか満たしていない。GoogleとYahooの2024年2月のガイドラインでは、1日5,000通超の送信者にDMARCレコードの公開が求められます。レポート設定付きのp=noneでも最低ラインは満たせます。ですが、両社のフィルタリングアルゴリズムは、配信判断にDMARCの状態も加味します。レコードはあるけれど施行はしない、という設定は「形式上は準拠」のティアに位置づけられます。

注文確認や発送通知を送るECショップであれば、これは次のような状況になります。正規のトランザクションメールは時間とともに届きにくくなり、その一方で、なりすましメールは顧客の受信トレイに届き続けます。送信者レピュテーションは、いったん下がり始めると回復に時間がかかります。

ドメインがp=noneに留まる理由

Q1レポートが示しているのは「何が」起きているかです。特定のドメインが「なぜ」モニタリングのみにとどまっているのかまでは分かりません。以下に挙げる理由は、データセットから導いた結論ではなく、私たちが顧客全体で見てきたパターンです。情報に基づく仮説として、自分の状況に当てはまるかを確認する材料にしてください。

• 正規メールが届かなくなることへの不安。担当チームが現状維持を選ぶ最大の理由です。ポリシーを厳しくすると、ドキュメントに残し忘れていたサードパーティのサービスからのメールが、quarantineされたりrejectされたりするかもしれません。解決策は、ドキュメント化です。回避ではありません。
• 次の一手が分からない。多くのモニタリングツールは生の集約レポートを表示するだけで、解釈は担当チームに委ねられます。「いま動かして大丈夫か」をドメインごとに答えてくれる仕組みがないと、チームは現状維持に流れます。
• 担当者の不在。DMARCモニタリングを設定した人が退職してしまった。他の誰も、ポリシーを切り替える権限も意欲も持っていない。
• 得られるメリットの過小評価。なりすまし事件が実際に起きるまで、施行は他の優先事項のひとつにすぎません。事件が起きた瞬間から、それは唯一の優先事項になります。多くのチームは、痛い目を見て初めて気づきます。

レポートはギャップが存在することを示しています。その原因については、自社の環境で確認してみる価値があります。

モニタリングから施行へ、安全に移行する方法

p=noneからp=rejectへの道筋は十分に体系化されており、勘に頼って跳ぶ必要はありません。

1. 集約レポートを最低でも2〜4週間読み込む。あなたのドメインを名乗って何が送信されているのか、安定した全体像が必要です。一過性のキャンペーンによるスパイクは判断を誤らせます。
2. 正規の送信元すべてを認証する。ESP、トランザクションメールサービス、マーケティングプラットフォーム、課金システム、社内のメールリレー、いずれもSPFまたはDKIMでアラインメントを取る必要があります。できれば両方が望ましいです。DKIMは転送されてもアラインメントが維持されますが、SPFは維持されません。
3. まずp=quarantineに進む。失敗したメールは/dev/nullではなくスパムフォルダに送られます。1〜2週間レポートを観察し、正規メールが引き続き通っていることを確認してください。
4. p=rejectに進む。ステップ2を正しく行えていれば、移行はほぼ気づかれずに完了します。

Q1レポートからもうひとつ関連する数字を挙げると、施行ポリシーを設定しているドメインのうち、DMARC組み込みのpct=タグを段階的なロールアウトに使っているのは約6%にすぎません。多くのチームはp=noneから、いきなり100%の完全施行に飛んでいます。今後改定されるDMARCbisではpct=そのものが廃止されるため、「事前準備をきちんとやる」が唯一の道筋になります。

段階を踏んだ手順を読みたい方は、DMARC実装の完全ガイドでプロセス全体を解説しています。