Defaults.Exposed

Defaults.Exposed › レポート

SPFだけでは不十分:一度も強制されない119百万のドメイン

公開日 2026-07-03 · 更新 2026-07-03

数値は2026-06-29時点 · 方法論v7。 261百万の採点済みドメインについて、ドメインごとのチェックを結合したセンサスデータです。「強制」とはquarantineまたはrejectのDMARCポリシーを指します。「完全に保護されている」とは、SPFとDKIMの両方が整備され、さらに強制されるDMARCがある状態、つまり完全なメール認証の三要素が揃っていることを指します。すべての数値は集計値であり、個々の事業者の評価を公開することは決してありません。

実数:SPFだけに頼っているドメインはどれだけあるか

SPFだけではメールのなりすましを止めるのに不十分です。そして、それでもなおSPFに頼っているドメインが、いまやセンサスで数えられます。119,212,005件(119百万)がSPFを公開しているのに、DMARCを一度も強制していません。 これは、わざわざSPFを設定したすべてのドメインの85.8%にあたります。姉妹編であるDMARCなしのSPFでは、その仕組みを説明しています。なぜSPFは人が実際に目にする「From」アドレスを守れないのか、を扱っています。本記事が計測するのは母集団です。そのギャップがどれだけのドメインを露出させたままにしているのか、そしてその露出がどのような形をしているのか、を扱います。

短く言えば、SPFの設定はインターネット上で最も一般的なメールセキュリティの行為であり、そして、それを行った圧倒的多数のドメインにとって、それは最後の行為でもあるのです。

三つの母集団

139百万のドメイン、つまり138,911,937件がSPFレコードを公開しています。その背後に何が控えているかで分けると次のようになります。

母集団ドメイン数SPF公開者に占める割合
SPF公開、DMARCレコードが一切ない84,638,43060.9%
SPF公開、DMARCは存在するが一度も強制されない(上の行を含む上位集合)119,212,00585.8%
SPF + DKIM、強制されるDMARCに支えられている10,092,481

各行はSPF合計にはなりません。残りは、DMARCは強制されているものの、DKIMが完全には整備されていないSPF公開者です。強制されてはいるが、最下行が数える完全な三要素には届いていない、という状態です。

真ん中の行が見出しです。おおよそ119百万のドメインが、正規の送信者を宣言する作業を行っておきながら、世界中の受信箱にそれに基づいて動くよう伝えることは一度もありませんでした。そして最下行がオチです。261百万の採点済みドメイン全体のうち、完全にメール保護されているのはわずか**3.87%**、およそ10百万にすぎません。完全な保護は技術的に高いハードルではありません。それは単に、119百万のドメインが始めておいて途中でやめた旅路のゴールにすぎないのです。

なぜこれほど数が偏るのか

SPFは、あらゆる設定ガイドが始まる場所であり、ほとんどのメールプロバイダーの導入手順が終わる場所であり、そしてほとんどのコンプライアンス・チェックリストが実際に検査する対象です。SPFは目に見える成果物、すなわちTXTレコードと、それを検査したツールに表示される緑のチェックマークを生み出します。強制されるDMARCは正反対の体験をもたらします。段階的な進行(公開し、観察し、送信者を特定し、そして強制する)を求め、その報酬は目に見えません。偽造メールが静かに届かなくなる、というものだからです。

そこでインターネットはチェックマークに最適化しました。センサスはそれが大規模に見るとどのような姿になるかを示しています。85百万のドメイン(84,638,430件)がSPFを持ちながら、いかなる種類のDMARCレコードも持っていません。p=noneという仮置きすらありません。これらの所有者は怠慢なのではありません。与えられた指示に従っただけであり、その指示が早すぎるところで終わっていたのです。

ここで言う「カバーされている」とは実際に何を意味するのか

恐怖ではなく帰結の話です。SPFはあるが強制されるDMARCがないドメインは、人間が実際に見る唯一の場所、すなわち目に見える「From」行において、依然としてなりすまされ得ます。SPFは、エンベロープドメインの代わりに送信してよいマシンを受信サーバーが検証できるようにしますが、DMARCがなければ、目に見える送信者がSPFが検査した何かと一致しなければならないという要件もなく、検証に失敗したメールを拒否せよという指示もありません。偽造された請求書、偽のパスワードリセット、取引先への支払い先すり替え、これらはすべて、SPFレコードがあろうとも、あなたの名前であなたの顧客や取引先に配送可能なままなのです。

DMARC成熟度の6段階でいうと、これら119百万のドメインは第1〜3段階で足踏みしています。床は張られた、あるいは部分的に張られたものの、ドアは一度も取り付けられなかったのです。そこから保護された状態までの距離はよく理解されており、大半は手続き的なものです。このセンサスが付け加えるのは、ほとんど誰もその距離を歩き通さない、という事実です。

あなたのドメインが119百万のうちの一つなら

  1. SPFは維持する — それは前提条件であって、間違いではありません。(SPFを修正 →。)
  2. DKIMを追加する — メールが送信元だけでなく署名もされるようにするためです。(DKIMを修正 →。)
  3. レポート付きでDMARCを公開し、そして強制する — まずrua=付きのp=noneから始め、すべての正規の送信者を特定してから、quarantine、そしてrejectへと進めます。これが「設定済み」を「保護済み」に変える段階です。(DMARCを修正 →。)

よくある質問

SPFだけでドメインをなりすましから守るのに十分ですか? いいえ。SPFはエンベロープドメインに対して送信サーバーを検証します。目に見える「From」アドレスを検査することも、受信者に失敗を拒否するよう伝えることもありません。その両方を行うのは強制されるDMARCポリシーだけです。そして119,212,005件のドメインが、それを持たずにSPFを公開しています。

SPFはあるがDMARCが一切ないドメインはどれだけありますか? 84,638,430件です。全SPF公開者の60.9%が、監視モードすら含め、いかなる種類のDMARCレコードも持っていません。

完全に保護されているドメインはどれだけありますか? 10,092,481件です。261百万の採点済みドメインのうち3.87%が、SPFとDKIMをquarantineまたはrejectのDMARCポリシーと組み合わせています。

SPFがあること自体は少なくとも役立ちますか? はい。それはDMARCが評価の基礎とする土台であり、正規のメールの到達性を向上させます。ただ、それ単体では何も保護しません。3段階のうちの第1段階であり、そしてセンサスは、インターネットの大半がそれを階段全体とみなしていたことを示しています。

あなたのドメインがどの母集団に属するか確認する

「SPFを設定した」に該当するのは139百万のドメイン、「保護されている」に該当するのは10百万です。自分がどちらなのかを知るのに、非公開かつ無料で、かかるのはほんの1分です。34項目のチェックのうちどれに合格し、合格しなかったものをどう修正すればよいかを確認してください。

あなたのドメインを確認する → · DMARC成熟度の6段階 → · DMARCの柱 → · 集計データのみ。データはEU内で保存・処理されます。