DMARCbisで何が変わり、何が変わらないのか

DMARC規格の改訂版であるDMARCbisが、まもなく正式版になります。2026年中に公開される見込みで、現行のRFC 7489に代わる新しい仕様です。メールを送信するドメインを運用している方に向けて、この新しい規格が実際のところ何を意味するのか、わかりやすい言葉で説明します。

DMARCは、あなたのドメインから届いたと名乗るメールが本当にあなたから送られたものかを、受信側のメールプロバイダが判断するための仕組みです。請求書、ニュースレター、パスワードリセットなど、自社ドメインから送るあらゆるメールにおいて、DMARCはなりすましを防ぐ役割を果たします。DMARCbisの変更点のほとんどは、表に出ない地味な配管工事のようなものです。ただし一点だけ、静かでは済まない変更があり、それはドメインを運用するすべての人に関係します。

要点だけ

今回のアップデートの全体像を、五つにまとめるとこうなります。

• 今あるDMARCレコードはそのまま使えます。書き換える必要はありません。DMARCレコードを示すタグ（v=DMARC1）も変わりません。
• 段階的な適用機能が廃止されます。DMARCには、保護を少しずつ強めていくための「調光スイッチ」のような仕組みが組み込まれていました。たとえば最初は疑わしいメールの10%だけにルールを適用し、徐々に100%まで引き上げていく、というものです。ところがこの調光スイッチは、実際にはまともに機能しませんでした。DMARCbisではこの機能が取り除かれます。
• 内部の仕組みが一部置き換わります。これまで受信側のプロバイダは、組織のドメインがどこまでを指すのかを判断するために外部のリストを参照していました。今後はDNSに直接問い合わせる方式になります。ほとんどのドメイン所有者にとっては、気づかない変更です。
• メーリングリストを使うドメイン向けの公式ガイダンスが追加されます。あなたのドメインのユーザーがメーリングリスト（オープンソースプロジェクトのリスト、業界フォーラム、業界団体のニュースレターなど）に投稿する場合、DMARCを最大まで引き上げるのは避けてください。リストが動かなくなります。
• ほとんど使われていないタグがいくつか、名称変更や削除の対象になります。あなたのレコードには影響しません。これまでどおり動きます。

この記事の残りは、調光スイッチの話です。これこそが本当に重要な変更だからです。

本当に重要な変更

DMARCには三つの設定があると考えてください。

• オフ（デフォルトのp=none）：ルールは適用されません。レポートは届きますが、疑わしいメールに対して受信側は何もしません。
• 隔離（p=quarantine）：疑わしいメールは迷惑メールフォルダに振り分けられます。
• 拒否（p=reject）：疑わしいメールは相手に届く前にブロックされます。

怖いのは、「オフ」からいきなり「拒否」に飛ばすやり方です。スイッチを切り替えた瞬間、あなたが忘れていた送信元、たとえば決済代行サービス、古いマーケティングツール、レガシーなCRM、存在を忘れていた請求書発行プラットフォームなどから送られるメールが、静かにブロックされ始めます。本物のメールが消えます。お客様が待っていた領収書が届きません。多くのチームが何年もオフのまま動けないでいるのは、まさにこの事態を恐れているからです。

旧DMARC仕様には、これを防ぐための機能がありました。pctタグと呼ばれるもので、調光スイッチのように働く仕組みです。受信側に「最初の一週間は疑わしいメールの10%にだけ拒否ルールを適用し、次に50%、最後に100%にしてほしい」と伝えることができました。理論上は、その過程で忘れていた送信元を見つけ出し、一度に全部が壊れるのを避けられるはずでした。

ところが実際には、この調光スイッチは機能しませんでした。受信側プロバイダごとに割合の解釈が異なり、そもそも部分適用に対応していないところも多かったのです。私たちの独自データを見ても、pctタグは正しく使われていることが稀で、ほとんどのドメインではまったく使われていませんでした。pct=10と書いて祈るしかなく、実際にどれだけのメールにルールが適用されるかは誰にもわかりませんでした。

DMARCbisはこの調光スイッチを丸ごと廃止します。もっとも近い後継が、新しく加わるオン/オフ二択のtタグです。「テスト中」（拒否ポリシーを隔離扱いにする）か「本番運用」（デフォルト）の二択だけ。パーセンテージはありません。段階もありません。オフかオンかだけです。

新しい仕様は、壊れていた調光スイッチを「使える形」に置き換えるわけではありません。壊れた機能を取り除き、段階的な移行という課題はあなた自身に委ねられます。

地味な変更点も、簡単に

その他の変更点にも興味がある方向けに、簡単に触れておきます。

• 「あなたのドメインはどこまでか」という問いは、これまでPublic Suffix Listと呼ばれる外部リストで判定されていましたが、今後はDNSの問い合わせで判定されます。単一ドメインを使っている一般的な利用者にとっては、実質的に何も変わりません。ただし、顧客ブランドのサブドメインを発行するプラットフォーム（ホスティング事業者、サイトビルダー、決済サービスなど）を運用している場合や、特殊なパブリックサフィックス配下にドメインがある場合は、DMARCレコードが想定どおりに解決されるか確認しておくべきでしょう。
• メーリングリストに関するルールが正式に示されました。新仕様では、メーリングリストのトラフィックがあるドメインで完全な拒否ポリシーを使うことを明確に避けるよう警告しています。理由は、リスト管理者なら誰もが知っている運用上の悩みと同じです。メーリングリストはメールのヘッダーを書き換えるためDMARCに引っかかりやすく、拒否ポリシーのもとでは善意の購読者までが不利益を受けてしまうのです。よくある対処法は切り分けです。リスト用のトラフィックは別のサブドメインに分け、そちらは緩めのポリシーを適用します。
• タグの名称変更がいくつかあります。旧来の三つのタグ（pct、rf、ri）が姿を消し、新たに三つのタグ（psd、np、t）が加わります。完全な仕様を読みたい方はdraft-ietf-dmarc-dmarcbis-41をご覧ください。それ以外の方にとっては、既存のレコードはそのまま動きます。

DMARCbisでも解決しないこと

調光スイッチを取り除いたのは、誠実な判断だと思います。機能していなかった以上、新仕様もそれを使えるふりはしません。ただ、取り除いたからといって根っこの問題がなくなるわけではありません。

DMARCeyeで監視中のドメインについて、2026年第1四半期のスナップショットから見えてきたのは次のような姿です。

• DMARCを導入済みのドメインのうち四割が「ただ様子を見ているだけ」の状態で止まっており、その期間が何年にもわたるケースもあります。有効化されているルールはゼロ。なりすましに対する保護もゼロ。せっかくDMARCを設定し、監視ツールまで入れておきながら、何もブロックしていないのです。
• 実際にブロックしているドメインでも、二十件のうち十九件は試運転なしで一気に100%適用に切り替えています。多くの場合はそれで問題なく済みますが、うまくいかなかったケースでは、最初の異変の知らせは「領収書が届かないのですが」というお客様からの問い合わせだったりします。

結果はふた通り、原因はひとつです。DMARCには、様子を見るのとブロックするのとの間に、機能する中間段階が存在しません。その隙間を埋めるはずだった機能は信頼できないものだったうえに、DMARCbisは代わりになるものを用意せずにそれを削除しました。

あなたがやるべきこと

ほとんどのドメイン所有者にとっての答えは、「急ぎでやるべきことはない」です。もう少し細かく見ると、状況によって次のように分かれます。

• DMARCをまだ設定していない方：「様子見」モードで設定しましょう。あなたのドメインを名乗って送信しているすべての送信元について、レポートが届くようになります。DMARCbisを待つ必要はありません。今日発行したレコードは、新仕様が発効しても有効です。
• 「様子見」モードに長く止まったままの方：DMARCbisでは状況は変わりません。止まっている理由は仕様ではなく、安全に次の段階へ渡る手段がないことです。ブロックに切り替える前に「何が壊れそうか」を見せてくれるツールの価値は、これまで以上に高まっています。
• 調光スイッチ（pctタグ）を使って段階的に引き上げてきた方：レコード自体は引き続き有効ですが、DMARCbisに対応した受信側プロバイダはpct<100のレコードを100%と同じ扱いにします。移行計画は今のうちに立てましょう。もっとも近い代替はテストモード（t=y）です。
• ドメインにメーリングリストのトラフィックがある方：新しい公式ガイダンスは真剣に受け止めるべきです。リストのあるドメインで完全な拒否ポリシーを敷くと、正当な購読者まで不利益を被ります。多くのチームは切り分けで対応しています。リスト用のトラフィックは別のサブドメインに載せ、そこでは緩めのポリシーを使う、という形です。

この変更が求めてくること

急ぐことはありません。DMARCbisが施行されても、DMARCはDMARCのままです。今日あなたが発行したレコードは、新仕様が正式になった日にも受け入れられます。変わるのは技術よりもむしろ考え方のほうです。「様子見」から「ブロック」への移行は、仕様に組み込まれた機能で乗り切れる話ではなく、可視化とツールで解く問題だと捉え直す必要があります。

DMARCレポートを監視し、ブロックを有効にする前に未知の送信元を洗い出し、より厳しいポリシーにしたときに何が壊れそうかをわかりやすい言葉で教えてくれるツールは、規格そのものが厳しくなるにつれて価値が上がります。DMARCeyeは、まさにその役割のために作られています。無料のオンラインツール（DMARC設定ツール、SPF、DKIM、BIMIのチェッカー）なら、初期設定の部分を10分以内で済ませられます。

仕様が変わる前に、あなたのドメインのメールレポートが実際に何を語っているか確認しましょう。今すぐDMARCeyeを無料で試す。