Defaults.Exposed › レポート
SPFを公開するだけでは不十分:メールセキュリティという思い込み(2026年)
公開日 2026-06-29
数値は 2026-06-29 時点 · 方法論 v7。 261 百万件の採点済みドメインにわたり、ドメインごとのチェックを結合した集計センサスデータ。「強制」=
quarantineまたはrejectの DMARC ポリシー。採点方法を参照。
メールセキュリティで最も危険な状態は、保護されていると感じていることです。32.4% のドメインは SPF を公開していますが DMARC がまったくなく、45.7% は強制の裏付けのない SPF を持っています。 これらの所有者は何かをして、「SPF: 設定済み」を見て、そこで止まりました。しかし SPF だけでは、誰かがあなたの見える「差出人」アドレスを偽造するのを止められません——それを止められるのは強制された DMARC だけです。2026-06-29 時点で、完全にメール保護されているドメインはわずか 3.87% です。
「設定済み」と「保護済み」の隔たり
SPF はどのサーバーがあなたの代わりに送信できるかをチェックします。人が実際に目にする「差出人」アドレスを管理しませんし、失敗時に受信者が何をすべきかも伝えません。それは DMARC の仕事です。したがって、強制する DMARC ポリシーのない SPF は、奥に扉のない錠前です。
| 状態 | ドメインの割合 | 本当に保護されている? |
|---|---|---|
| SPF 公開、DMARC レコードがまったくない | 32.4% | いいえ |
| SPF 公開、DMARC が強制していない | 45.7% | いいえ |
| 完全にメール保護(SPF + 強制された DMARC) | 3.87% | はい |
真ん中の行をもう一度読んでください。全ドメインの 45.7% は SPF を持つが強制がない——インターネットのほぼ過半数が偽りの安全ゾーンに居座っています。攻撃者の目的からすれば、それらはなりすまし可能であり、全体でも 89.4% のドメインがそうです。
最悪のバージョン:メールは入ってくるのに、扉に見張りがいない
実際にメールを受信するドメインでは、より深刻になります。42.7% のドメインはメールを受け付ける(MX レコードを持つ)のに、機能するメール認証がまったくありません——SPF の強制も、DMARC もありません。これらは稼働中で使用中のドメインで、所有者は毎日送受信しており、完全になりすまし可能です。まさにその活動が、請求書詐欺やサプライヤー詐欺の格好の標的にしています。
なぜ「うちには SPF がある」が罠になったのか
SPF はより古く、よりシンプルで、ほとんどの設定ガイドが最初に触れるもの——だからチェックされる項目になります。DMARC は後から登場し、より高度に聞こえ、強制への意図的な段階的移行を必要とします。その結果、ステップ 1 を採用しながらステップ 2 を決して踏まなかった膨大な層が生まれ、その後も仕事は終わったと信じ続けています。センサスはこの誤解の規模を初めて可視化します。32.4% が SPF を持ちながら DMARC をまったく持っていません。
実際に保護されるには
- SPF を維持しつつ、それだけに頼らないでください。(SPF を修正。)
- DKIM を追加して、メールに署名されるようにします。(DKIM を修正。)
- DMARC を公開し、強制へ移行します(
p=none→quarantine→reject)。これが「設定済み」を「保護済み」に変えるステップです。(DMARC を修正。)
よくある質問
メールのなりすましを止めるのに SPF だけで十分ですか? いいえ。SPF は見える「差出人」アドレスを保護せず、偽造を拒否するよう受信者に指示もしません——それを行うのは強制する DMARC ポリシーだけです。45.7% のドメインは、その強制のない SPF を持っています。
SPF レコードがあります——保護されていますか?
それだけでは違います。あなたが保護されるのは、SPF(理想的には DKIM も)が quarantine または reject に設定された DMARC によって裏付けられているときだけです。それに到達するのはわずか 3.87% のドメインです。
まだなりすまし可能なドメインの割合は? 89.4%——SPF を公開しているかどうかにかかわらず、強制する DMARC を欠いているためです。
認証なしでメール(MX)を持つことが特に危険なのはなぜですか? 42.7% のドメインは積極的にメールを送受信していますが、機能する認証がありません——誰でも偽造できる、稼働中で信頼されたドメインであり、まさに詐欺師が探しているものです。
本当に保護されているか確認しましょう
「うちには SPF がある」は保護されているのと同じではありません。あなたのドメインを無料かつ非公開でチェックしましょう——あなたのメールがまだ偽造され得るかを確認してください。
あなたのドメインをチェック → · DMARC を修正 → · ドメイン露出スコア → · p=none は保護ではない → · 集計データのみ。データは EU 内で保存・処理されます。