Q1 2026レポートが、11の主要トップレベルドメインにわたるDMARCポリシー分布の差を示します。.zaが適用度で先行し、.czは遅れ、.auは段階的にquarantineに集まります。
ドメインが登録されている国によって、所有者がDMARCをどの程度厳格に適用するかが変わります。DMARCeyeのQ1 2026業界レポートでは、南アフリカ(.za)のドメインが適用度で先行しており、51.0%がp=rejectに到達しています。チェコ(.cz)のドメインは最も緩やかで、68.7%がまだp=noneのままで、完全適用は10.2%にとどまります。オーストラリア(.au)のドメインは別の道を選んでおり、52.6%がp=quarantine、つまり他のトップレベルドメインがほとんど採用しない段階的な中間設定に位置しています。
本記事では、Q1 2026レポートの一側面、すなわちDMARCeyeが最も多く監視している11のトップレベルドメインにおけるDMARCポリシー分布を取り上げます。数値は、DMARCeyeが現に監視している数千のドメインにわたる結果を反映しています。監視対象外を含むより広いドメイン空間の状況は、ほぼ確実に異なり、おそらくより悪いでしょう。
国別TLDからDMARCについて何がわかるか
トップレベルドメイン(TLD)とは、ドメイン名末尾の接尾辞のことです。.com、.org、.netは、誰でも、どこからでも登録できる汎用TLD(gTLD)です。.za、.cz、.de、.auは、特定の国のレジストリに紐づくccTLD(国別TLD)です(完全な一覧はPublic Suffix Listで管理されています)。TLDはプロトコルとしてのDMARCの動作に直接影響するわけではありません。TLDから読み取れるのは、そのドメインがどの法域の規制環境、どの業種構成、どのような運用者の慣習のもとで動いているかという情報です。
DMARCの普及は国によって一様ではありません。各法域の規制当局、銀行、大手プラットフォームがそれぞれ異なるペースで導入を促しているためです。国の不正対策規則を遵守する必要のある南アフリカの銀行は、本番ドメインにp=rejectを公開します。これまで誰からも促されてこなかったチェコの中小企業は、DMARCレポートは見ても受信側に対処を求めることはせず、p=noneのまま長く据え置かれることになります。TLDがこの違いを引き起こしているわけではありませんが、そのドメインが置かれている環境を把握するうえで有用な手がかりになります。
国別TLDで見るDMARCポリシー
Q1 2026業界レポートでは、DMARCeyeが最も重点的に監視している11のトップレベルドメインを対象に、DMARCポリシーの分布を測定しました。下の表の各行は、そのTLD配下の監視対象ドメインのうち、各ポリシー段階に位置するシェアを示しています。
個別の市場を比較したい方向けに、TLDごとの正確な数値を以下に示します。
| TLD | p=none |
p=quarantine |
p=reject |
|---|---|---|---|
| .com | 43.3% | 34.2% | 22.4% |
| .za | 35.7% | 13.3% | 51.0% |
| .de | 39.3% | 24.8% | 36.0% |
| .ca | 55.1% | 17.8% | 27.1% |
| .fr | 49.6% | 23.9% | 26.5% |
| .au | 24.2% | 52.6% | 23.3% |
| .be | 37.3% | 41.3% | 21.3% |
| .uk | 49.0% | 31.1% | 19.9% |
| .eu | 47.7% | 33.8% | 18.5% |
| .nl | 43.0% | 38.8% | 18.2% |
| .cz | 68.7% | 21.1% | 10.2% |
p=タグを公開していないドメインは除外しています。いくつかのパターンが浮かび上がります。
- .zaは適用度で先行している。監視対象の.zaドメインの51.0%が
p=rejectに位置しており、.comのベースライン(22.4%)の2倍を超えます。本グラフのなかで、監視対象ドメインの過半数が完全適用に到達している唯一のTLDが南アフリカです。 - .czは最も緩やかである。監視対象の.czドメインの68.7%が、依然として
p=none(受信側に認証失敗への対処を求めない監視のみの設定)にとどまっています。p=rejectはわずか10.2%です。DMARCeyeはチェコに本拠を置く製品であり、この結果は社内にとっては馴染みがあると同時に、公に共有する価値もあります。.cz領域には改善の余地が大きく残されています。 - .auは意図的に中間に位置している。監視対象の.auドメインの52.6%が、
p=quarantineに位置しています。これは受信側に対し、失敗を不審扱いはするものの直接破棄はしないよう伝える段階的な設定です。多くのTLDでは「監視のみから移行した」シェアがp=rejectに向かいますが、オーストラリアではそれがp=quarantineに向かいます。.au配下のquarantineとrejectを合わせた適用シェアは75.9%で、.zaに次いで2番目です。 - .deは.comのベースラインを上回る適用度を示している。ドイツのドメインは
p=rejectが36.0%で、.comの22.4%を大きく上回ります。.de配下でp=quarantineまたはp=rejectに位置するドメインの合計シェアは60.8%、.comの56.6%を上回ります。 - 欧州TLDはまとまっている。.fr、.uk、.eu、.nl、.beはいずれも
p=rejectが18%から27%の範囲にあり、.comのベースラインに近い水準で揃っています。欧州のDMARC事情は国ごとの差というより、共有された中程度の導入カーブが描く話と言えます。 - .caは主要TLDのなかで適用度が低い。カナダのドメインは
p=none比率が55.1%で2番目に高く、p=rejectに到達しているのは27.1%にとどまります。
地域別パターンを生み出している要因
Q1のデータが示すのは「観察された事実」であり、「なぜそうなったか」ではありません。以下のパターンは検証すべき仮説であり、データセットから導かれた知見ではありません。
考えられる理由(本データでは未検証):
- 南アフリカは銀行業界を中心に、メール認証を早期から推し進めてきた。南アフリカ準備銀行のフィッシング対策ガイダンスと、同国が金融詐欺に強く晒されてきた状況が、.za配下の大口送信者に完全適用へ到達するための強い動機を与えました。銀行が動けば、より小さな.za組織もその後を追います。これが本当に原因かどうかは、業界別データで検証したいところです。
- オーストラリアの規制的な後押しは、絶対的というより段階的だった。オーストラリア連邦のサイバーセキュリティガイダンスはDMARC導入を促してきましたが、(他の一部の法域のように)
p=rejectそのものを強く要求してはきませんでした。p=quarantineのシェアが高いのは、仕様が示す段階的なロールアウトに沿って運用者が進めながら、最後の一歩は踏み出していない状況と整合的です。 - チェコ市場には同等の規制的な後押しがなかった。.czドメインは、DMARCがコンプライアンス上の重要トピックとして扱われてこなかった市場で運用されています。チェコ国家サイバー・情報セキュリティ庁(NÚKIB)は、他の法域が出してきたようなメール認証に関する拘束的なガイダンスを発出していません。規制による強制力がなければ、ほとんどの運用者は
p=noneのまま長く据え置かれます。これは仮説であり、知見ではありません。 - ドイツの適用率の高さは、業種構成を反映していると考えられる。DMARCeyeのデータセットでは、強いコンプライアンス圧力(BaFinやBSIのガイダンス)に直面する銀行・保険・産業セクターのドイツ組織が多く含まれています。この構成が.deの平均を押し上げています。
- 欧州のまとまりは、共有された規制環境を反映している。.fr、.uk、.eu、.nl、.beは、おおむね似た圧力(NIS2、GDPR、各国CERT)のもとで運用されています。導入カーブが似ているのは、特定の国が突出して強く押しているわけではなく、コンプライアンス期待に共通のベースラインがある状況と整合的です。
自社の設定にとってこれが意味すること
このTLD視点は、主に2種類の読者に対して具体的な行動につながります。
複数の国別TLDでマーケティングを展開している場合(サブブランド、地域別ストア、アフィリエイトネットワーク用に異なるドメインを使っている場合)、このグラフは自社のスタンスと同じくらい、自社の対象オーディエンスの到達性環境を表しています。監視対象ピアの51%がp=rejectに位置する.zaのもとで送信することは、対応するシェアが10.2%の.czのもとで送信することとは異なる環境を意味します。適用度の高い環境にある受信側は、その環境からの送信者の認証シグナルにより敏感です。それに見合った形で、自社ドメインの認証も整っている必要があります。とくに到達性が売上に直接結びつくトランザクションメールや注文関連メールではなおさらです。
国際的なIT部門に所属している場合、複数の国別TLDにまたがる子会社のインフラを担っているのであれば、このグラフは計画上の重要なインプットです。ドイツ、チェコ、南アフリカに拠点を持つ多国籍組織は、3つの異なるDMARC環境に同時に向き合うことになります。.de側はおそらくすでにp=quarantineまたはp=rejectに達しており、.za側は明確な適用ロードマップ上にあり、.cz側はp=noneから前進するために積極的な後ろ盾を必要とする可能性があります。サブドメインのポリシーギャップはどこに存在し、それは各子会社のTLDレベルのベースラインとどう相互作用しますか。
いずれにせよ、重要なのはTLDの平均ではなく、自社ドメインのポリシーです。まずは、自社ドメインに現在どのようなDMARCレコードが公開されているかを確認するところから始めましょう。
送信元別の経時的なDMARC準拠状況、すなわち多地域運用がつまずきやすいポイントを把握するには、DMARCレポートを継続的に処理する必要があります。DMARCeyeの無料プランでは、1ドメインの完全なレポート解析が利用できます。
まとめ
DMARCの普及は国によって一様ではありません。Q1 2026のデータは、最も多く監視されている11のTLDにわたって、p=noneシェアにほぼ60ポイントの開きがあることを示しています。
TLDがこの違いを直接引き起こしているわけではありません。TLDから読み取れるのは、ドメインが置かれている規制・市場環境です。これは、レコードが公開される前のDMARCスタンスを左右する2つの上流要因のひとつです。もうひとつはDNSプロバイダの選択であり、こちらは規制環境というより運用面の成熟度を表します。
複数の国別TLDにまたがってDMARCの監視を行っている場合、本データはベンチマークというより、自社の数値を読み解くための文脈として捉えてください。DMARCeyeはDMARCレポートを解析し、自社の各ドメインについて、何が通過し、何が失敗し、次に何を直すべきかを、生のXMLを自分で読み解くことなく示します。