Defaults.Exposed

Defaults.Exposed › レポート

何も見ずに公開する:ほとんどのDMARCレコードはレポートを要求していない

公開日 2026-07-03 · 更新 2026-07-03

数値は2026-06-29時点 · methodology v7。 解析可能なDMARCレコードを公開しているすべてのドメインを対象とし、ドメインごとに重複排除したセンサスデータです。rua=の有無はすべてのレコードにわたって測定しているため、特定のポリシーとの正確な重なりは導出できません。本記事がその重なりについて言及する場合は、正確なクロス集計ではなく常に上下限を示します。すべての数値は集計値であり、個々の企業の評価を公開することは決してありません。

ほとんどのDMARCレコードは見張っていない

DMARCレコードを公開している65百万のドメインのうち、集計レポートを要求するrua=タグを含んでいるのはわずか23百万、つまり35.7%だけです。残りの64.3%は何も見ずに公開しています。 レコードにポリシーは記載されているものの、その下で何が起きているのかを教えてほしいと誰も頼んでいないのです。それは、何も見せることができないDMARCレコードを持つ42百万のドメインということになります。

レポートのないDMARCレコードは、誰も出てこないドアベルのようなものです。メール受信者はすべてのメッセージを律儀にそれと照合します。そしてその結果、つまりあなたのドメインとして送信しているすべての者のリストは、どこにも届きません。仕組みは機能しているのに、持ち主がただ耳を傾けていないだけなのです。

rua=が実際に行うこと

DMARCには2つの側面があります。ポリシーの側面(p=nonequarantine、またはreject)は、認証に失敗したメールをどう扱うかを受信者に指示します。レポートの側面、つまりメールボックスアドレスであるrua=タグは、日次の集計レポートを送ってくれるよう受信者に依頼します。どのサーバーがあなたのドメインとして送信したか、どれだけのメールが送られたか、そしてSPFとDKIMに合格したかどうかです。

その2つ目の側面こそがフィードバックループのすべてです。レポートは、誰も文書化していなかったニュースレタープラットフォーム、マーケティング部門が接続した請求ツール、別の地域に潜むシャドウ送信者を、強制適用してそれらを壊してしまう前に発見する手段です。rua=がなければ、そうした情報は一切あなたに届きません。追加するにはDNSを一箇所編集するだけです。既存のレコードにrua=mailto:[email protected](またはモニタリングサービスのアドレス)を追記します。

ステージ2と3のあいだのギャップ:公開しているが何も見ていない

DMARC成熟度の6つのステージにおいて、ステージ3、すなわち「観測(Observing)」は、DMARCが公開されかつ集計レポートが流れ始めたときに始まります。rua=のないレコードは該当しません。それはステージ2と3のあいだのギャップ、つまり公開しているが何も見ていない場所に位置します。このモデルが意図的に固有の番号を割り当てていない場所です。

これが重要なのは、それ以降のすべてのステージがレポートに依存しているからです。一度も受け取らないレポートから送信者を特定すること(ステージ4)はできません。送信者を把握せずに安全に強制適用すること(ステージ5)はできません。何も見ていないレコードは旅の初期段階ではありません。それは旅路のすぐ脇にある待避所なのです。そしてセンサスは、ほとんどのレコード保有者がそこか、その近くに停まっていることを示唆しています。すべてのDMARCレコードのうち57.5%は強制適用に至ることがありません。

無用どころか、進歩したように感じられるぶんだけ有害

DMARCレコードが欠けている場合、少なくともそれはありのまま、つまりギャップに見えます。何も見ていないレコードはチェックマークに見えます。誰かがコンプライアンスのチェックリスト、あるいは配信性ガイド、あるいはベンダーの一行の修正を実行し、v=DMARC1; p=noneを公開して、スキャナーが緑色になったのです。その組織は今や、レコードがまったくない組織よりも先に進んだように感じていますが、機能的には同じ場所にいます。可視性もなく、強制適用もなく、そのどちらへの道もありません。

その帰結は静かで、積み重なっていきます。何も見ていないレコードは大声で失敗するわけではありません。ただ、次の一手を正当化する証拠を決して生み出さないだけです。何年も経ってもレコードは依然としてp=noneのままで、どの送信者が正当なのか誰も言えず、強制適用はこれまで以上に危険に感じられます。まさに、一度もレポートが集められなかったからです。

センサスが言えることと言えないこと

rua=の有無は全65百万のレコードにわたって測定されており、ポリシーごとにクロス集計されていないため、p=noneのレコードのうち何も見ていないものの正確な数は、これらの周辺分布からは導出できません。それでも上下限は依然として明白です。37百万のレコード(レコード保有者の57.4%)がp=noneにあり、センサス全体でレポートを要求しているのはわずか23百万のレコードだけです。したがって、それらのp=noneのレコードのうちレポートを受け取れるのは多くても23百万で、少なくとも14百万は間違いなく受け取っていません。たとえセンサス内のすべてのレポート用アドレスがp=noneのドメインに属していたとしてもです。実際にその重なりがどう分布しようとも、何百万ものドメインが、モニターのプラグが抜かれたまま「モニタリングモード」に留まっているのです。

一箇所の編集で済む修正

あなたのDMARCレコードにrua=タグがないなら、その修正はたった一度のDNS変更で済み、どのポリシーレベルでも安全です。

  1. レポートの送り先を選ぶ — 実際に処理するメールボックス、あるいはXMLを読みやすい形に変換してくれる無料/有料のDMARCモニタリングサービスです。
  2. それをレコードに追記する: v=DMARC1; p=none; rua=mailto:[email protected]。送り先が別のドメインの場合、そのドメインはあなたのレポートを受信することを承認しなければなりません(相手側に小さな追加のDNSレコードが必要です)。
  3. 数日待ってから読む。 レポートは主要な受信者から毎日届きます。それが示すもの、つまりあなたのドメインとして送信しているすべての送信元は、旅の残りのための地図となります。

そうすればレコードは飾りであることをやめ、計測器になり始めます。(DMARCを修正する →。)

よくある質問

DMARCのruaレポートとは何ですか? 参加しているメール受信者が(通常は毎日)あなたのレコードのrua=タグにあるアドレスへ送る集計XMLレポートで、どの送信元があなたのドメインとしてメールを送ったか、そしてそれがSPFとDKIMのアラインメントに合格したかどうかを要約したものです。メッセージ内容は含まれず、送信者インフラと合格/不合格の件数のみです。

ruaのないDMARCは無価値ですか? 無価値ではありません。強制適用ポリシーは、それがなくても依然としてなりすましをブロックします。しかしp=noneでは、rua=のないレコードは何もブロックせず、何も見せません。残された唯一の役割は、メールボックスプロバイダーの最低要件のチェックボックスを埋めることだけです。そしてレポートのない強制適用ドメインでさえ、新しい送信者が現れても強制適用を安全に保つドリフト検知を失います。p=noneは保護ではありません。いずれにせよ、レポートがなければそれは準備ですらありません。

rua=はどんなメールボックスでも指定できますか? はい、別のドメイン上のものも含めて可能です。ほとんどのモニタリングサービスはまさにそのように動作します。受信側のドメインは、あなたのレポートを承認する小さな検証レコードを公開します。重要なのは、何かが実際にXMLを処理することです。誰も読まないメールボックスは、手間が増えただけの盲目状態です。

集計レポートは個人データを露出しますか? いいえ。rua集計レポートが伝えるのは送信元と認証の統計であって、メッセージ本文や受信者リストではありません。(別種のruf=失敗レポートはメッセージの断片を含むことがあり、そのため多くの受信者はもう送信していません。重要なのはruaです。)

あなたのレコードが見張っているか確認する

レポートを要求しないDMARCレコードは、旅全体のなかでも最も直しやすい発見事項の一つです。DNSを一箇所編集するだけで、盲目状態が観測(Observing)に変わります。プライベートかつ無料で確認でき、34項目のチェックのうちどれに合格し、合格しなかったものをどう直せばよいかがわかります。

あなたのドメインを確認する → · DMARC成熟度の6つのステージ → · DMARCの柱 → · 集計データのみ。データはEU内で保存・処理されます。