Defaults.Exposed › レポート
あなたのビジネスになりすましたメールは送れるのか? ほとんどのドメインでは「送れる」(2026年)
公開日 2026-06-29
数値は 2026-06-29 時点 · 方法論 v7。 評価対象 261 百万ドメインにわたる集計センサスデータ。「なりすまし可能」とは、そのドメインが DMARC を強制適用していない(隔離または拒否のポリシーがない)ことを意味し、これは受信メールサーバーに偽装メールを止めるよう指示する仕組みです。当社の評価方法をご覧ください。
ほとんどの企業にとって、答えはイエスです——誰かがあなたのドメインから来たように見えるメールを送ることができます。 当社が評価した 261 百万ドメインのうち、なりすましを実際にブロックする唯一の仕組みである DMARC を強制適用しているのはわずか 10.59% です。残りの 89.41% はドアを開けたままにしています。詐欺師はあなたの正確なアドレスを「差出人」欄に入れることができ、ほとんどの受信トレイはそれを本物として表示します。これが偽の請求書、CEO 詐欺の支払い要求、サプライヤー詐欺の背後にある仕組みであり——しかも試すのに費用はかかりません。
本当に誰かが私のドメインとしてメールを送れるのか?
あなたのドメインが DMARC を強制適用していないなら、答えはイエスです。メールは送信者を検証する仕組みを内蔵せずに設計されたため、「差出人」アドレスの偽装はたやすいのです。3 つの設定を重ねれば修正できます——SPF、DKIM、DMARC——しかし最後のものを 強制適用 に設定したときだけ、受信サーバーに偽装を実際に拒否または隔離するよう指示します。2026-06-29 時点で:
- ドメインの 75.11% は DMARC レコードがまったくありません。
- 14.29% は 監視のみ(
p=none)に設定された DMARC レコードを持っています——監査では保護されているように見えますが、受信者に何もしないよう指示するため、なりすましメールは依然として届きます。 quarantineまたはrejectのポリシーを強制適用しているのはわずか 10.59%——これがなりすましを止める構成です。
したがって、ドメインの 89.41%——10 件中 8 件以上——が今日メールでなりすまされる可能性があります。
「でもうちは SPF がある」——それで不十分な理由
これは最もよくある、そして最も危険な誤解です。ドメインの 53.21% が SPF レコードを公開しており、DMARC を強制適用している 10.59% よりはるかに多いです。所有者は SPF を見て、守られていると思い込みます。実際は違います。SPF(および DKIM)は技術的な送信経路を確認しますが、人が実際に目にする「差出人」アドレスを 管理しません。DMARC を強制適用に設定していなければ、攻撃者は自分のインフラ上で SPF を通過させ、あなたの可視アドレスを偽装できます。SPF は必要な配管であり、DMARC の強制適用が錠前です。
あなたのウェブの一角はどれほどさらされているか?
強制適用率はドメインの末尾によって大きく異なります。高いほど良い——これはなりすましを実際にブロックするドメインの割合です。2026-06-29 時点で:
| ドメインの末尾 | DMARC 強制適用 | なりすまし可能 |
|---|---|---|
| .nl(オランダ) | 29.43% | 29.43% が保護、残りは露出 |
| .de(ドイツ) | 21.38% | — |
| .in(インド) | 19.26% | — |
| .uk(英国) | 13.42% | — |
| .com | 9.50% | 最も使われている末尾が世界平均の 10.59% を 下回って いる |
| .net | 10.08% | — |
| .org | 10.01% | — |
| .xyz | 5.15% | — |
| .top | 3.17% | — |
| .cn(中国) | 1.45% | 主要な末尾の中で最も低い |
最も成績の良い大きな末尾でさえ、自身のドメインの 3 分の 1 未満しか保護していません。.com——ほとんどの企業が存在する場所——では、DMARC を強制適用しているのはわずか 9.50% です。
これが企業に実際にもたらすコスト
メールのなりすましは、世界中の法執行機関に報告される最も損害の大きいオンライン犯罪のいくつか——ビジネスメール詐欺——の背後にある仕組みです。パターンは常に同じです:
- 顧客があなたのアドレスから詐欺師の銀行口座情報が記載された「請求書」を受け取り、支払い、数週間後に詐欺だと気づきます——多くの場合、それを あなたの 失態として扱います。
- 従業員が「上司から」の緊急の依頼を受け、送金やギフトカードの購入を求められます。アドレスは本当にあなたのものなので、従ってしまいます。
- サプライヤーが、あらゆる視覚的チェックを通過するメールで「当社の銀行口座情報が変わりました」と伝えられます。
これらのいずれも、あなたのシステムへのハッキングを必要としません。必要なのは、あなたのドメインが DMARC を強制適用していないことだけです——89.41% のドメインがそうであるように。
自分が保護されているか確認する方法(そして修正する方法)
あなた が 10.59% に含まれるかどうかは外部からは判断できません——知る唯一の方法は、自分のドメインを確認することです。修正は無料で、通常は半日で、順番に行います。SPF と DKIM を公開し、次に DMARC を強制適用に移行します(p=none → quarantine → reject)。最後のステップが、実際にドアを閉めるものです。
よくある質問
誰かが私の会社になりすましてメールを送れますか? あなたのドメインが DMARC を強制適用していない(隔離または拒否のポリシー)なら、はい——あなたの正確な「差出人」アドレスが偽装され、ほとんどの受信トレイがそれを本物として表示します。2026-06-29 時点で、評価対象ドメインの 89.41% がこの状態にあります。
もう SPF があります——安全ではないのですか?
いいえ。SPF は技術的な送信経路を確認しますが、可視の「差出人」アドレスは確認しません。ドメインの 53.21% が SPF を公開していますが、DMARC を強制適用に設定していなければ、あなたのアドレスは依然として偽装可能です。DMARC を quarantine または reject にする必要があります。
DMARC レコードがあれば十分では?
強制適用している場合のみです。p=none(監視のみ)に設定されたレコード——14.29% のドメインが使用——はなりすましを止める働きをまったくしません。quarantine または reject だけがそれを行い、そこに到達しているのはわずか 10.59% のドメインです。
自分のドメインを確認するには? 無料でプライベートなチェックを実行してください(下記)。当社はドメインの結果を、その検証済み所有者にのみ表示します。
これを修正するのは高額ですか? いいえ。SPF、DKIM、DMARC は無料の DNS 設定です。コストは正しい順序で設定する時間であり、お金ではありません。
あなたのドメインがなりすまし可能か確認する
10.59% のどちら側にいるか推測しないでください。あなたのドメインをプライベートかつ無料で確認しましょう——DMARC、SPF、DKIM のステータスと、修正すべき内容が正確にわかります。
あなたのドメインを確認 → · DMARC を修正 → · SPF を修正 → · 当社の評価方法 → · 集計データのみ。データは EU 内で保存・処理されます。