ドメインの4分の1にDMARCがない：Q1 2026の数字

DMARCは、あなたのドメインを名乗ってメールが送られたとき、世界中のメールサーバーにどう扱えばよいかを伝える小さなDNSレコードです。これがないと、誰でもあなたになりすましてメールを送れてしまい、ドメイン側でそれを止める手立てはありません。私たちは公開インターネット上の数千のドメインのデータを分析し、その28%がDMARCレコードをまったく持っていないことを突き止めました。ドメインを所有していて、これまでDMARCを設定したことがないなら、4人に1人くらいの確率で、あなたもこのグループに入っています。

この記事では、DMARCeyeのQ1 2026業界レポートから「DMARCに着手済みのドメイン」と「公開インターネット全体」の比較を取り上げます。12種類のチャートと方法論を含むレポート全文は、以下からダウンロードできます。

導入のギャップ

Q1レポートでは、2つの母集団を比較しています。1つ目は「DMARC着手済みグループ」、つまりDMARCeyeプラットフォームで継続的にモニタリングされているドメインです。2つ目は、公開インターネット上のドメインを広く対象にしたスキャナーサンプルで、DMARC、SPF、DKIMのレコードがあるかどうかを匿名でスキャンしたものです。

主要な差は、シンプルな数字で示せます。

• 公開インターネット（スキャナーサンプル）：28%がDMARCレコードなし、32%がp=none、22%がp=quarantine、18%がp=reject。
• DMARC着手済みの組織：定義上、DMARCレコードなしは0%、36.7%がp=none、36.8%がp=quarantine、26.5%がp=reject。

厳格な施行は着手済みグループのほうが多く、p=rejectは27%に達しています。一方、公開インターネット側は18%です。さらに目を引くのは、もう一方の端の差です。ドメイン所有者がモニタリングするほど真剣にDMARCに取り組み始めると、「レコードを公開していない」ティアは消えてなくなります。ところが公開インターネットでは、このティアが全ドメインの4分の1超を占めています。

「DMARCなし」が実際に意味すること

DMARCレコードがないと、あなたのドメインは沈黙したままです。あなたを名乗るメッセージが届いたとき、受信側のメールサーバー（Gmail、Yahoo、Seznamなど、どこであれ）は、あなたの側からの指示を一切受け取りません。サーバーは独自のフィルタリングに頼ることになります。なりすましメッセージの一部は受信トレイに届き、一部はスパムに落ち、一部は拒否されます。結果はばらばらで、あなた自身もどう扱われたかを知ることはできません。

ドメイン所有者にとって、現実的にはこういう状況です。

• 誰でもあなたの名前でメールを送れて、それを止める仕組みも働きません。なりすましメッセージは、ポリシーで「ダメだ」と言うものがないために、受信側からは正規かもしれないものとして評価されます。
• フィードバックがまったく得られません。DMARCレコードがないということは、集約レポートが届かないということです。誰があなたのドメインを名乗ってメールを送っているのか、正規であれそうでないであれ、把握できません。
• 大量送信者向け要件にも準拠していません。GoogleとYahooの2024年2月の送信者ガイドラインでは、GmailやYahooのアドレス宛てに1日5,000通超を送る送信者にDMARCレコードの公開が求められます。レコードがなければ準拠もありません。例外なしです。

「DMARCなし」を直すのは、「p=noneから動けない」を直すよりずっと簡単です。DNSレコードを2つと、数時間の集中があれば終わります。

多くのドメインが何も公開していない理由

Q1のデータが示しているのはギャップの大きさで、その原因ではありません。以下に挙げる理由は、データセットからの結論ではなく、私たちが顧客全体で見てきたパターンです。

• ドメイン所有者がDMARCを聞いたこともない。標準は存在し、ツールも成熟していますが、ドメイン所有者は小さな会社や趣味のドメイン主で、何かを公開するように促されたことがないだけ、というケースです。
• そのドメインからメールをあまり送っていないので、DMARCの話が出てこない。個人ドメイン、サイドプロジェクトのドメイン、休眠状態の事業ドメイン。送信量が少ないので、所有者は配信問題やなりすまし問題にまだ直面していません。
• DMARCが一般化する前にドメインを設定した。2008年に取得し、当時はメール用に設定したきり、その後一度も見直していないドメインです。
• ホスティング業者やメールプロバイダーが、設定を促してくれなかった。SPFとDKIMまでは案内するけれど、DMARCの手前で止まってしまうプロバイダーもあります。利用者は「もう終わった」と思い込んでしまいます。

あなたが28%の側にいる場合

小さな会社、ECショップ、フリーランスのコンサル、サイドプロジェクトを運営していて、これまでDMARCを意識したことがないなら、約4分の1の確率で「レコードなし」グループに入っています。そのまま放置するとどうなるか。

あなたのドメインはなりすまし放題のターゲットになります。公開ポリシーがなければ、施行もありません。受信側サーバーのデフォルトがどうなっているか、それがそのまま適用されます。送信量の少ないドメインなら、なりすまし犯はかなり長い間、目立たずに動き続けられます。

あなたの名前で何が送られているのか、まったく見えません。集約レポートが届かないので、自分のドメインを名乗るフィッシングキャンペーンの存在に気づくのは、たいてい顧客や取引先に「これって本物ですか」と聞かれたときです。

送信量が増えてから慌てて設定することになります。月間送信量がGoogleの「1日5,000通」のしきい値を超えると、大量送信者向け要件が効いてきます。事業を本気で伸ばそうとしているまさにそのタイミングで、DMARCレコードも追加しなければなりません。プレッシャーがない今のうちに済ませておくほうが、ずっと楽です。

修正は短時間で済む

「DMARCなし」から「モニタリングだけ動いていてレポートも届く」状態にするのは、この領域全体で一番達成しやすいマイルストーンです。3〜4ステップ、午後ひとつ分の集中、予算は不要です。

ステップ1：自分のドメインをチェックする。下のフォームにドメインを入力すると、いま何が公開されているかを確認できます。結果にDMARCの行がなければ、自分の現在地が確定します。

ステップ2：レポート設定付きのp=noneでDMARCレコードを公開する。最低限役に立つレコードは、DNSに1行追加するだけです。v=DMARC1; p=none; rua=mailto:reports@yourdomain.com で、ruaのアドレスは自分が管理するメール、またはモニタリングサービスが用意してくれるアドレスにします。これは「これから様子を見ます」という宣言です。

ステップ3：レポートを受け取り始める。DMARCeyeの無料プランはドメイン1つに対応しています。集約レポートを集めて解析し、あなたの名前で実際に何が送られているかを表示します。2〜4週間分のデータがあれば、だいたいの全体像が見えてきます。

ステップ4：正規送信者を確認しながらポリシーを厳しくする。自分のドメインを名乗って何が送られているかが見えたら、正規の送信者を認証し、その後p=quarantineへ、最終的にはp=rejectへと進めていきます。DMARCのゴールは実際の施行に到達することです。レコードを公開して止まることではありません。

実務的な要点

「DMARCをまったく公開していないドメインが28%」というのは、技術的な難しさの話ではありません。標準は2015年から存在しています。レコードはDNSに2行書くだけです。モニタリング用の無料ツールもあり、DMARCeyeもそのひとつです。これらのドメインの大半が何も公開していない理由は、技術ではありません。認知、責任の所在、そして「やってみよう」と促されるかどうか、のレベルの話です。

DMARCの記事をここまで読んだなら、読み進めただけで、もうこのグループから一歩抜け出しています。次の一歩は、レコードを公開することです。