月間メール送信数が10,000通未満のドメインでも、平均107台の異なるサーバーがそのドメインの名前でメールを送信しています。ニュースレター配信ツール、ヘルプデスク、CRM、決済サービス、スケジュール管理ツールなど、それぞれが独自のサーバーを使用しており、DMARCレポートではすべて別々の送信元として記録されます。自社ドメインからメールを送信しているIPアドレスがどれほど多いか、ほとんどのドメイン所有者は把握できていません。以下のデータはDMARCeyeのQ1 2026業界レポートに基づいており、数千のモニタリング対象ドメインを分析したものです。
この記事では、DMARCeyeのQ1 2026業界レポートから明らかになった送信フットプリントに関する調査結果を解説します。レポートの全文と調査方法は以下のとおりです。
社員がメールを送信すると、そのメールはサーバーから発信されます。サーバーにはIPアドレスがあり、建物の住所のように、インターネット上でそのサーバーを一意に識別する番号です。自社ドメインの「差出人」としてメールを送信するツールやサービスは、それぞれ独自のサーバー(またはサーバー群)を使用しており、IPアドレスも異なります。
たとえば、以下のサービスを使っている会社を想像してください。
これらのサービスはすべて「差出人」欄に自社のドメイン名を使ってメールを送信しています。そして、それぞれ異なるサーバーを使用しています(Google単体でも数千台のメールサーバーを運用しているため、通常の業務メールだけでも1日に数十のIPアドレスから送信される可能性があります)。
これまでにドメインに接続したすべてのツールを合算すると、その数は急速に膨らみます。数年前にすでに退職した社員が設定したツールもあるでしょう。マーケティングチームが単発キャンペーンのために導入したもの、1週間だけ試して忘れられたものもあります。それらが今もなお、自社ドメインの名前でメールを送信し続けている可能性があります。
DMARCeyeのQ1 2026業界レポートでは、数千のモニタリング対象ドメインを月間メール送信量別に分類し、1ドメインあたりの送信IPアドレス数の平均を測定しています。
各ボリューム帯の内訳は以下のとおりです。
ドメインからの送信量が増えるほど、関与するサーバーの数も増えます。しかし、最小の層でも107というIPアドレス数は、ほとんどの企業の想定をはるかに上回っています。
自社ドメインの名前でメールを送信しているIPアドレスは、いくつかのカテゴリに分けられます。
把握済みの承認ベンダー。メール配信サービス、マーケティングオートメーション、トランザクションメール送信サービスなどがこれに該当します。意図的に設定し、SPFとDKIMの認証を適切に構成した送信元です。DMARCチェックを問題なく通過するはずです。
他部門が契約したツール。営業チームの担当者が新しいアウトリーチツールを使い始めたり、人事部がアンケートツールを導入したり、経理部が新しい請求書サービスを連携したりすることがあります。これらはいずれも自社ドメインの名前でメールを送信し、送信IPアドレスを増やしていきます。IT部門がこれに気づくのは、認証チェックに失敗し始めたとき、あるいはDMARCレポートに初めて記録されたときです。これは「シャドーIT」と呼ばれることがあり、企業が想定以上に多くの送信IPを抱える最も一般的な原因の一つです。使っていた社員が退職した後、こうしたシステムが忘れ去られるケースもあります。
転送やメーリングリスト。メーリングリストやエイリアスを通じてメールが転送されると、転送サーバーのIPアドレスもレポートに記録されます。このサーバーを承認したわけではありませんが、自社のメールを中継しています。
未承認の送信者や攻撃者。誰でも自社ドメインの名前でメールの送信を試みることができます。DMARCのエンフォースメント(強制)がなければ、そのようなメールの一部は受信者の受信箱に届いてしまいます。エンフォースメントが有効な場合でも、認証に失敗したメールとして、見覚えのないIPアドレスからの送信記録がDMARCレポートに残ります。
承認していないIPアドレスが必ずしも攻撃者のものとは限りませんが、調査しない限り判断はできません。
正当なメールが認証に失敗する。あるツールが自社ドメインの名前でメールを送信しているにもかかわらず、SPFレコードに登録されていない、あるいは自社のDKIM鍵で署名されていない場合、受信側はそのメールを未認証とみなします。ドメインがp=quarantineやp=rejectに設定されている場合、そのメールは迷惑メールフォルダに振り分けられるか、ブロックされます。ツール自体は正当なものですが、設定が欠落しています。DMARCレポートを確認していなければ、この問題に気づくことはできません。
攻撃者がドメインを悪用して偽メールを送る。自社ドメイン名を騙ったフィッシングメールは、ブランドとセキュリティに対する直接的なリスクです。Q1 2026のデータによると、モニタリング対象ドメインの36.7%がいまだにp=noneの状態です。この設定では、認証結果に関係なくすべてのメールを配信するよう受信側に伝えているため、攻撃者はそのドメインになりすましたメールを何のペナルティもなく送信できてしまいます。
コンプライアンス要件は可視性の確保を前提としている。Googleの大量送信者の要件(2024年2月施行)では、Gmailに1日5,000通以上送信するすべての送信者にDMARC認証を求めています。EUのNIS2指令では、対象セクターの組織にメールインフラの管理と監視を義務付けています。どちらの要件も、自社ドメインからメールを送信している送信元を把握していることが前提です。送信元の一覧を提示できなければ、コンプライアンスを証明することはできません。
DMARCにはこの可視性が仕組みとして組み込まれています。ドメインにDMARCレコードを公開すると、メールの受信側(Gmail、Outlook、Yahooなど)がDMARC集計レポートを毎日送信してくれるようになります。各レポートはXMLファイルで、自社ドメインの名前でメールを送信したすべてのIPアドレス、各IPの送信通数、SPFとDKIMチェックの合否が記録されています。
実際には、ある程度の送信量があるドメインの場合、1日のレポートだけでも、さまざまな受信サーバーから数百のXMLファイルが届き、それぞれに数十から数百のIPレコードが含まれています。これらを手作業で読み解くのは現実的ではありません。
DMARCモニタリングツールはこれらのレポートを自動的に解析し、送信元、ベンダー、認証ステータスごとにデータを分類します。大量のXMLファイルの代わりに、自社ドメインの名前でメールを送信しているすべてのサーバーの一覧、各サーバーが承認済みかどうか、認証に合格しているかどうかを確認できるようになります。現在のドメインのDMARCレコードがどうなっているか、以下で確認できます。
DMARCeyeの無料プランは、1ドメイン・月間5,000通までのメールに対応しており、レポートの完全な解析機能が含まれています。送信フットプリントの全体像を把握し、把握していなかった送信元を特定するのに十分な機能です。
自社ドメインの送信フットプリントは、ほぼ確実に想定以上の規模です。小規模ドメインでも平均100以上の送信IPアドレスを抱えており、送信量が増えるにつれてその数は急増します。すべての送信元が承認済みとは限りません。
最初のステップは、送信元の一覧を確認することです。DMARCeyeはレポートを自動的に解析し、すべての送信元をベンダーごとに分類して、各送信元の認証ステータスを表示します。