DMARCの本来の目的は施行です。DMARCレコードは、認証に失敗したメッセージをどう扱うかを受信側のメールサーバーに伝えます。p=quarantineでスパムフォルダに送るか、p=rejectで受信そのものを拒否するか、です。ドメインがそのいずれかのポリシーに到達するまで、DMARCは単なる可視化にすぎません。役には立ちますが、保護にはなりません。DMARCeyeのモニタリング基盤から得たQ1 2026のデータは、DMARCに着手したドメインの3分の1超がそこに到達できていないことを示しています。
この記事では、DMARCeyeのQ1 2026業界レポートから、ポリシー分布に関する分析結果を取り上げます。12種類のチャートと方法論を含むレポート全文は、以下からダウンロードできます。
DMARCeyeが継続的にモニタリングしている数千のドメインを見ると、ポリシーの内訳はこのようになっています。
p=none(モニタリングのみ)。DMARCレコードは存在するものの、認証失敗時に何かを行うよう受信側に指示していない状態です。p=quarantine。失敗したメッセージはスパムフォルダに送られます。p=reject。完全な施行です。失敗したメッセージは受信拒否されます。モニタリング対象ドメインの約3分の1は、いまだ可視化フェーズにとどまっています。完全な施行に到達しているのは約4分の1にすぎません。中間層のquarantineが、単独では最大のグループです。
この数字は、すでにDMARCに着手しているドメインに限った話です。レポート本編では、この着手済みグループを、公開インターネット上の一般ドメインから別途取得したスキャナーサンプルと比較しています。そのサンプルでは、28%のドメインがそもそもDMARCレコードを持っていません。
p=noneのDMARCレコードは、受信側のサーバーにこう伝えます。「SPFとDKIMのアラインメントに失敗したメッセージでも、そのまま配信してください。ただしレポートだけは送ってください」。ドメイン所有者は、忘れていた送信元サービスからの正規メールと、なりすましの試みの両方について可視性を得ます。ですが、ブロックは一切行われません。なりすましメッセージも、正規のメッセージと同じように受信トレイに届きます。
モニタリングのみは、出発点としては問題ありません。モニタリングデータがなければ、ポリシーを安全に厳格化することはできません。しかしp=noneに長くとどまり続けるということは、なりすましの証拠を集めるだけ集めて、何の対処もしないということです。
多くの企業にとって、p=noneにとどまることの実害は、次の3つに表れます。
p=noneでも最低ラインは満たせます。ですが、両社のフィルタリングアルゴリズムは、配信判断にDMARCの状態も加味します。レコードはあるけれど施行はしない、という設定は「形式上は準拠」のティアに位置づけられます。注文確認や発送通知を送るECショップであれば、これは次のような状況になります。正規のトランザクションメールは時間とともに届きにくくなり、その一方で、なりすましメールは顧客の受信トレイに届き続けます。送信者レピュテーションは、いったん下がり始めると回復に時間がかかります。
Q1レポートが示しているのは「何が」起きているかです。特定のドメインが「なぜ」モニタリングのみにとどまっているのかまでは分かりません。以下に挙げる理由は、データセットから導いた結論ではなく、私たちが顧客全体で見てきたパターンです。情報に基づく仮説として、自分の状況に当てはまるかを確認する材料にしてください。
レポートはギャップが存在することを示しています。その原因については、自社の環境で確認してみる価値があります。
p=noneからp=rejectへの道筋は十分に体系化されており、勘に頼って跳ぶ必要はありません。
p=quarantineに進む。失敗したメールは/dev/nullではなくスパムフォルダに送られます。1〜2週間レポートを観察し、正規メールが引き続き通っていることを確認してください。p=rejectに進む。ステップ2を正しく行えていれば、移行はほぼ気づかれずに完了します。Q1レポートからもうひとつ関連する数字を挙げると、施行ポリシーを設定しているドメインのうち、DMARC組み込みのpct=タグを段階的なロールアウトに使っているのは約6%にすぎません。多くのチームはp=noneから、いきなり100%の完全施行に飛んでいます。今後改定されるDMARCbisではpct=そのものが廃止されるため、「事前準備をきちんとやる」が唯一の道筋になります。
段階を踏んだ手順を読みたい方は、DMARC実装の完全ガイドでプロセス全体を解説しています。