Defaults.Exposed › レポート
「quarentine」「ninguno」「non」:インターネットで最も多いDMARCの誤記(2026年)
公開日 2026-06-29
2026-06-29 時点の数値 · 方法論 v7。 集計されたセンサスデータ:261 百万の採点済みドメインにわたる、公開された各
_dmarcレコードのp=ポリシートークンを、ドメインごとに重複排除したもの。採点方法を参照。
DMARC の設定は面倒で、データがそれを物語っています:48,648 のドメインが、ポリシーのスペルが誤っている、間違った言語で書かれている、または完全に欠落している DMARC レコードを公開しました — そのため何の役にも立ちません。彼らは難しい部分(レコードの公開)をやり遂げたのに、最後の一語でつまずいたのです。DMARC ポリシーは、正確に p=quarantine または p=reject と書かれている場合にのみあなたを保護します。それ以外であれば、受信メールサーバーはそれを無視し、ドメインは依然としてなりすましの対象となり得ます。
DMARC のタイプミスとはどのようなものか
DMARC には正確に3つの有効なポリシーがあります:none(監視のみ)、quarantine、reject です。後者の2つが、実際にメールのなりすましを止めるものです。しかしポリシーは、人間が DNS レコードに入力する単なるテキストにすぎません — そして 65 百万の DMARC レコードにわたって、人々が有効なポリシーの代わりに入力した最も一般的なものは以下のとおりです:
| 有効なポリシーの代わりに公開されたもの | ドメイン |
|---|---|
| (no-p-token) | 31,553 |
| quarentine | 4,806 |
| policy | 4,134 |
| quarantaine | 1,321 |
| ninguno | 380 |
| non | 351 |
2種類のミスが現れます。構造的なもの — p= トークンが全くないレコード、または文字どおりの単語 policy、あるいは裸の p — は、構文を間違えたことを意味します。言語的なものはより人間的です:quarentine と quarantaine は単なる「quarantine」のスペルミスであり、一方 ninguno(スペイン語で「none」)と non(フランス語)は、所有者がポリシーの単語を自分の言語で書いたものです。それらすべてが無効であり、それらすべてが同じことを意味します:DMARC レコードが存在するにもかかわらず、保護なしです。
なぜこれが見た目以上に重要なのか
スペルが誤ったポリシーは、おそらく DMARC が全くないよりも悪いです。なぜなら、それは完了しているように見えるからです。レコードは存在します。ちょっと見ただけ — あるいは基本的なコンプライアンスのチェックボックス — では「DMARC:あり」と言うでしょう。しかし受信者は、有効なポリシーキーワードでないものはすべて拒否するため、ドメインは完全になりすまし可能なままです。所有者は保護されていると信じています。攻撃者はそうでないと知っています。
参考までに、すべてのドメインのうち有効な強制ポリシーに到達するのはわずか 10.59%(27,639,358 のドメイン)です。壊れたポリシーを持つ 48,648 は、存在する DMARC レコードのうちの小さな一片にすぎません — しかしそれらは、メールセキュリティにおいて最も回避可能な失敗です:ビジネスと機能する防御との間に、たった一つの打ち間違えた単語があるのです。
よくある質問
有効な DMARC ポリシーは何ですか?
正確に3つです:p=none(監視のみ、保護なし)、p=quarantine、p=reject。後者の2つだけがなりすましを止めます。それ以外のもの — スペルミス、別の言語、または欠落した p= — は無効であり、無視されます。
なぜ「quarentine」や「ninguno」が DMARC レコードに現れるのですか?
人的ミスです。quarentine/quarantaine は「quarantine」のスペルミスであり、ninguno(スペイン語)と non(フランス語)は、所有者が単語を自分の言語で書いたものです。DMARC は正確な英語のキーワードのみを受け付けるため、これらすべてが静かに失敗します。
スペルが誤った DMARC ポリシーは、ないよりも悪いですか? 実質的には、はい — それは同じゼロの保護を提供しますが、設定された制御のように見えるため、問題が見過ごされてしまいます。
自分の DMARC ポリシーが有効かどうか、どうすればわかりますか? あなたのドメインを確認してください(下記) — それはあなたの実際に公開されているポリシーを読み取り、それが強制中なのか、監視のみなのか、無効なのかを伝えます。
あなたの DMARC ポリシーが本当に有効か確認する
機能しているレコードは、壊れたレコードまで打ち間違えた単語一つ分の距離です。あなたのものを非公開かつ無料で確認してください — あなたの正確なポリシーと、それを修正する方法がわかります。
あなたのドメインを確認 → · DMARC を修正 → · 誰かがあなたのドメインをなりすませますか? → · 集計データのみ。データは EU 内で保存・処理されます。