当社のQ1 2026データセットでは、わずか2社のベンダーが全メールの半分以上に署名しています。ベンダーを特定できたメールのうち、Klaviyoの署名は30.5%に出現します。Amazon SESはさらに27.9%を占めます。つまり2社で58.4%です。SendGrid、Google、Mailchimp、Microsoft、Mailgun、SparkPost、Yotpo、HubSpot、Mailjet、そして顧客固有の署名ドメインによるロングテールが残りを分け合っています。マーケティングメールやトランザクションメールを送信している企業であれば、自社のメッセージはこのいずれかの経路を通っている可能性が高く、各ベンダーの認証の扱い方が、本物のメールが受信トレイに届くかスパムに振り分けられるかを左右します。
本記事では、DMARCeyeのQ1 2026業界レポートから明らかになったベンダー集中の傾向を読み解きます。12種類すべてのチャートと方法論を含むレポート全文は、以下からダウンロードできます。
各メッセージを送信元のベンダー別に分類しました。送信されるすべてのメールには、送信元ベンダーのデジタル署名が付与されます。klaviyomail.comで署名されたメールはKlaviyo経由、mcsv.netで署名されたメールはMailchimp経由です。以下は上位12ベンダーと、独自の署名ドメインを使うブランド、小規模な地域ベンダー、社内メールシステムをまとめた「その他」枠です。
ここで2点。第一に、これは非常に偏った分布です。上位2社で58%、それに続く9社の合計で約17%にすぎません。第二に、24.3%を占める「その他」枠の大半は顧客自身が管理する署名ドメインで、つまり相当な量のメールが、受信側からはブランド単位に集約できないドメインで署名されているということです。DKIM署名でグループ化する手法は大手ベンダーには有効ですが、各ドメインが独自の名前で署名するロングテール部分はぼやけてしまいます。
Q1のデータが示しているのは集中の事実であり、特定のブランドがなぜKlaviyoやAmazon SESを選んでいるのかは説明していません。以下のパターンは確定的な分析結果ではなく、根拠ある推測として読んでください。
これらの数字はQ1 2026にDKIMで識別可能なドメインから署名された送信量を反映しています。個別のブランドの構成は、平均値とは異なって見えるはずです。
これらの数字の内側には、もう1つ重要なパターンが隠れています。ほとんどのベンダーが99%のDMARC準拠率を達成しているのは、SPFとDKIMの両方をパスしているからではなく、SPFがつまずいたときにDKIMが穴埋めしているからです。
最もわかりやすい例はMailchimpです。SPFは89.2%失敗していますが、DMARCのパス率は98.9%を維持しています。DKIMが代わりに機能しているのです。一方、MailgunのDKIMは22.9%失敗しており、これが全体の準拠率を77%まで押し下げています。DKIMが機能しなくなると、他に補うものはありません。
これらのベンダー経由で送信している場合、認証の大部分はDKIMが担っています。アウトバウンドのうち相当な割合で、SPFレコードが送信元IPと整合していない可能性がありますが、DKIMがメッセージを救っているため気付かないことが多いのです。
自分の正規メールが認証パスをDKIMに頼っているのなら、次に確認すべきは「DKIMが自分のドメインで正しく設定されているか」です。下にドメイン名を入力すると、公開されているDKIMレコードを参照し、結果を表示します。
マーケティングメールをKlaviyo経由で、トランザクションメールをSES経由で(あるいは両方を)送っており、ドメインに対してこれらのサービスを明示的に認証していない場合、基本的なチェックを行ってください。
klaviyomail.comで、Amazon SESは自社ドメインで署名します。どちらも自分のドメインで署名するよう設定でき、それがDMARCをパスさせる条件になります。署名がベンダー側のドメインのままだと、その送信元のメールはDMARCに失敗します。修正自体は小さな作業です。各ベンダーのドキュメントがSPFとDKIMの手順を案内し、コピー&ペーストできる手順を公開していることがほとんどです。難しいのは「そもそもどのサービスが自分の名前でメールを送っているか」を把握することです。DMARCeyeの無料プランは1ドメインをカバーし、自分の名前で署名しているすべてのサービスを集計レポートで週次に表示します。通常、2〜4週間分のデータがあれば、忘れていた送信元を見つけ出せます。
24%の「その他」枠に入っているなら、おそらく独自にDKIM署名を設定しているか、より小規模な地域ベンダーを使っています。上位ベンダー集中の話は直接当てはまりませんが、根本のレッスンは同じです。自分の名前で実際に送られているものを把握する唯一の方法が、DMARCの集計レポートだということです。理解していたつもりのドメインから初めて実レポートを読むと、忘れていた送信元と、設定が誤っている送信元が少なくとも1つずつは見つかると考えてください。
DMARC実装の完全ガイドでは、「レコードなし」の状態から強制適用ポリシーまでの手順を網羅しています。2024年2月のGoogleとYahooの送信者ルールは、1日5,000通以上を送る送信者にとって追加の前提条件になります。Q1のレポートでさらに、本物のメールはコンプライアンスを通っていても、ドメインの大半は強制適用に達していないという現状も確認できます。
当社のQ1 2026データセットでは、2社のベンダーがメールの大半を運んでいます。マーケティングメールやトランザクションメールを送っているなら、いずれかの経路を通っている可能性が高いはずです。そしてどのベンダーを使っているにせよ、認証はおそらくSPFがつまずく中でDKIMに支えられている状態です。これは致命的ではありません。SPFがほとんど失敗していてもDMARC準拠率が高い状態は成立します。DKIMがSPFの代わりに通るからです。ただし「高い準拠率」は「自分のドメインで何が起きているか分からない」状態を覆い隠してしまいます。抜け出す道はいつもと同じです。レポートを読み、送信元を文書化し、認証されていないものを修正することです。