Defaults.Exposed › レポート
DMARC成熟度の6つの段階
公開日 2026-07-03 · 更新 2026-07-03
数値は2026-06-29時点 · methodology v7。 これは定期的なセンサスに裏打ちされたリファレンスモデルです。各版は同じ母集団を再測定するため、数値を経時的に追跡できます。すべての数値は集計値であり、個々の事業者の評価を公表することは一切ありません。
DMARCを公開することは、保護されていることと同じではない
測定対象の**261百万ドメイン全体で、24.89%がDMARCレコードを公開していますが、実際にポリシーを適用しているのはわずか10.59%です。** 言い換えれば、DMARCの道のりを歩み始めたおよそ65百万ドメインのうち、57.5%は何かをブロックする段階に決して到達していません。 レコードを公開し、レポートをどこかに向けたものの、そこで足止めを食らったのです。より小規模な独立研究も同じ形を見出しています。2026年のある業界レポートは、調査した約938,000ドメインのうち、適用しているのは約9%だとしています。
もはや導入が問題なのではありません。保護が問題なのです。そしてドメインが足止めを食らうのには構造的な理由があります。誰もが使っている地図は、途中で終わっているのです。 それらは早すぎるところで終わっており、そのどれもが最も難しいステップに独自の名前を与えていません。
既存の地図が途中で終わっているところ
業界が指針としてきたモデルは、その時代においては正しく、公正に評価されるべきものです。
- dmarcian(その創設者はDMARC自体の共同執筆者です)が広めた5段階の展開モデルは、展開 → 監視 → ポリシーの厳格化という流れを歩み、
p=rejectに到達することを目的地として扱っています。 - RFCの進行 —
p=none → quarantine → reject— は3つの適用レベルであり、成熟度モデルではありません。前提条件については何も語らず、その後に来るものについても何も語りません。 - **「這う、歩く、走る」**は俗説的なモデルです。方向としては正しいものの、構造としては空虚です。
この3つはいずれも2つの限界を共有しています。第一に、それらはp=rejectで止まっています — まるで適用がゴールラインであるかのように。しかしそうではありません。標準そのものが先へ進んでいるのです(DMARCbis — RFC 9989、9990、9991 — が2026年5月に公開され、元のRFC 7489を置き換えました)。そして適用は、トランスポートセキュリティやブランドの信頼のためには何もしません。第二に — そしてこれこそが実際にドメインを立ち往生させるものですが — そのどれもが「すべての送信者が把握されている」ことを名前付きの段階にしていません。 公平を期すなら、展開ガイドはその作業に言及してはいます。dmarcianのモデルは、送信元の特定を監視フェーズ内の1つのタスクとして含んでいます。しかしフェーズの中に埋もれたタスクは、まさにそのように扱われてしまうのです — それが本来別個の達成事項であるにもかかわらず、「監視」の一部として扱われてしまう。レポートが届くのを眺めていると、進歩しているように感じます。しかし、まだそうではありません。ドメインが何年もp=noneに留まる最大の理由は、自分のメールを見ることはできても、それを把握していないことです — だから、本物の何かを壊すことを恐れて、適用に踏み切れないのです。
有用なモデルには、そのステップに独自の名前と独自の終了基準を与える必要があります。このモデルはそれを行います。私たちはこれをDMARC Adoption Maturity Model — DAMM(DMARC導入成熟度モデル)と呼びます。6つの段階、各段階に一手ずつ、そして引用できる名前があります。
モデル
段階1 — Unprotected(無保護)。 DMARCレコードがない — またはその土台となるSPFとDKIMが不完全な状態。誰でもあなたのドメインを名乗ってメールを送信でき、どこでも何もチェックされていません。一手: 主要なメールにSPF と DKIMを設定し、それらが認証され、整合していることを確認する。DMARCはその両方の上に築かれます。この土台を飛ばすことはできません。
段階2 — Authenticated(認証済み)。 SPFとDKIMが正しく設定され、主要なメールフローで整合しています。あなたの正当なメールはその出所を証明します — しかし、そうでないメールについて世界中の受信箱がどうすべきかは、何も伝えていません。一手: rua=レポート送信先を指定したp=noneのDMARCレコードを公開する。
段階3 — Observing(観測中)。 DMARCが公開され、集計レポートが流れ込み、初めて誰があなたのドメインを名乗って送信しているのかが見えるようになります。何もブロックされていません。ほとんどのツールはこの段階を「可視化(visibility)」と呼びますが、私たちは意図的にそう呼びません。レポートを見ることと、それを理解することは別の達成事項だからです。一手: あなたのドメインを名乗って送信するすべての正当な送信元を特定し、それぞれを整合させる。
段階4 — Visibility(可視化)。 すべての正当な送信者が特定され、整合しています — ニュースレター配信プラットフォーム、請求システム、CRM、去年の春にマーケティングが契約したあれ。あなたは自分のメールを把握しています。適用しても正当なものは何も壊れません。これこそが古い地図が飛ばしている段階であり、ほとんどのドメインが決して乗り越えられない壁です。一手: ポリシーを引き上げる — p=none → p=quarantine(DMARCbisのt=yテストモードがここで役立ちます)→ p=reject。
段階5 — Enforced(適用済み)。 p=quarantineまたはp=rejectが有効になっており、サブドメインは明示的なsp=ポリシーでカバーされています。認証に失敗したメールは、参加している受信者 — 主要なメールボックスプロバイダーすべてを含みます — で実際に隔離または拒否されるようになります。そのため、あなたの正確なドメインの直接的ななりすましは、DMARCがチェックされる場所では届かなくなります。一手: 堅牢化レイヤーを追加する — DMARCbisのnp=とツリーウォークによるカバレッジ、トランスポートのためのMTA-STSとTLS-RPT、ブランド表示が重要であればBIMI。
段階6 — Hardened & sustained(堅牢化と維持)。 適用に加えて、現代的なスタック:DMARCbisによる存在しないサブドメイン(np=)のカバレッジ、輸送中のメールを保護するMTA-STSとTLS-RPT、価値のあるところでのBIMI — そして決定的に重要なのが、ドリフトと新しい送信者に対する継続的な監視です。これはバッジではなく、規律です。新しい送信者が現れ、プロバイダーはIPを変更し、設定は劣化します。一手: ここに留まり続ける。
メールなしレーン。 ドメインインベントリ全体で測定すると — 稼働していないドメインも含めて — 51.5%のドメインはメールサービスをまったく運用しておらず、それらにとって道のりは1ステップに縮まります。決して送信しないドメインは、直ちにSPF
-allとDMARCp=rejectを公開すべきです。保護すべき正当なメールが存在しないため、観測すべきものも、乗り越えるべき壁もありません。パーキングされたブランドドメインや休眠ドメインは、たった1回のDNS変更でEnforcedへ直行します — そしてそうすることで、最も一般的ななりすましの経路の1つを封じることになります。
壁:段階3 → 4
このモデルの他のすべての移行はDNSの変更です。これは調査作業であり、何ヶ月もが消えていくのはここです。
ObservingからVisibilityへ進むということは、レポート内のすべての送信元を実際のシステムに帰属させることを意味します。どのESP、どのCRM、どの地域オフィスのメールリレー、2023年に誰かが接続して忘れてしまったどのSaaSツールなのか。誰も文書化しなかったシャドーITの送信者を見つけ出すことを意味します。ESPごとに整合性を修正することを意味します。各プラットフォームにはあなたに代わって認証する独自の方法があり、その一部はデフォルトで誤っているからです。
壁を飛ばすことこそが、DMARCが恐ろしい評判を得た原因です。Visibilityなしに — Observingから適用すれば — あなたは本物の何かを必ずブロックします。請求書の一括送信、パスワードリセットのフロー、CEOのニュースレター。そして続くのは、慌ててのp=noneへのロールバック、社内の事後検証、そして誰もが誤って学ぶ教訓です。「DMARCを試したらメールが壊れた」。ほとんどのDMARC恐怖体験談はまさにこれです — 1段階早く適用を試みたのです。壁は段階3で止まる理由ではありません。それは段階4が存在する理由なのです。
これはまた、オーナーが最も頻繁に助けを求める段階でもあります — ITプロバイダーやDMARC監視サービスが送信者特定の作業を代行できます。いずれにせよ段階は同じままです。
誰もが忘れる部分:段階5 → 6
p=rejectに到達すると、それをチェックする受信者において、From:行でのあなたのドメインの直接的ななりすましが止まります。それは必要なことです — しかし、十分ではありません。適用が決してカバーしなかったものに名前を付けておく価値もあります。類似ドメイン(yourc0mpany.com)と表示名のなりすましは、完全にDMARCの手の届かないところにあります。そのため適用は正確なドメインという扉を閉ざしますが、隣接する扉は警戒とその他の対策に委ねたままにします。
適用はトランスポートのためには何もしません。MTA-STSとTLS-RPTがなければ、あなたのドメイン宛てのメールは輸送中に依然としてダウングレードされたり傍受されたりする可能性があります。それはブランド認知のためにも何もしません。BIMI — あなたのロゴが受信箱で表示される — は信頼のシグナルであってセキュリティ対策ではなく、それをそのように扱うのが誠実です(これには有料の証明書も必要であり、それがこれが最初ではなく最後に位置する理由です)。そして単純なp=rejectはDMARCbisより前のものです。新しいRFCのnp=タグとツリーウォークは、古い展開が開けたままにしている存在しないサブドメインの隙間を塞ぎます。
上記のいずれもないp=rejectのドメインは、最も一般的な攻撃に対しては保護されていますが、それ以外に対しては準備ができていません。これは実際の区別であり、独自の段階に値します。
あなたの段階は測定可能
このモデルは単なる図ではありません — ドメインの段階は計算可能であり、それこそが壁に貼られたポスターとの違いです。
段階3から6は、ドメイン自身のDMARCレポートデータと公開されたレコードから導き出せます。どのポリシーが有効か、レポートが流れているか、そして観測されたすべての送信者が整合しているか。段階1と2は、まだレポートが存在しないため、ライブのDNSチェックで評価されます。それぞれの方向に1つずつ正直な限界があります。段階4は経時的な証拠によって確認されます — 「観測されたすべての送信者が十分な報告日数にわたって整合している」ことは強力な代替指標ですが、まだ接続していない送信者をレポートが明らかにすることはできません。そして段階6の堅牢化レイヤー — MTA-STS、TLS-RPT、BIMI — はDMARCレポートには見えません。それを見るにはDNSチェックが必要です。ドメインはレポート上では「完了」に見えても、なお隠れた段階5 → 6の隙間を抱えている可能性があります。これは、私たち自身のレポート分析が、阻害要因も含めて照らし合わせているモデルです。
実際の例
ある中規模企業が、メールフィルタリングゲートウェイの背後でMicrosoft 365を運用しています。SPFは-allで終わり、DKIMは設定され、DMARCはp=noneで公開されており、レポートは監視ツールに流れています。古い地図では、これはほぼ完了しているように見えます。このモデルでは、それは段階3 — Observingです。難しい設定は完了しており、ドメインはまさに壁のところで足止めを食らっています — 可視化されているが、保護されてはいない。最も価値の高い一手は3 → 4 → 5です。(おそらく数少ない)正当な送信者がすべて整合していることを確認し、それから段階的にポリシーを引き上げる。この形のドメインにとって、それは通常、何ヶ月もではなく数週間の注意です — 壁が最も高くそびえるのは、それを決して地図に描かない者に対してなのです。
あなたの段階を見つける
引退させるべき問いは「うちにはDMARCがあるか?」です — ドメインの24.89%はイエスと言える一方で、そのうち57.5%は依然としてなりすまし可能なままです。より良い問いは**「うちはどの段階にいて、次の段階への唯一の一手は何か?」**です。インターネット上のすべてのドメインは、今日、この6つの段階のちょうど1つにいます。それがどれかを知ることは、不安をやるべきことのリストに変えます。
よくある質問
DAMMとは何ですか? DMARC Adoption Maturity Model(DMARC導入成熟度モデル) — このページにある6段階のモデルです:Unprotected、Authenticated、Observing、Visibility、Enforced、Hardened。ドメインの段階は、そのDNSとDMARCレポートデータから測定可能であり、それこそが壁に貼られたポスターとの違いです。
ではp=noneを公開するのは無価値なのですか? いいえ — それは段階3であり、段階3は土台を支えるものです。適用する前にすべての送信者を見つける手段が、レポートなのです。それが問題になるのは、目的地として扱われたときだけです。なぜp=noneは保護ではないのかを参照してください。
p=rejectまで一気に飛ばせますか? あなたのドメインがメールを送信しないなら — はい、今日から、そしてそうすべきです。メールを送信するなら — いいえ:Visibility(段階4)なしに適用することが、正当なメールが壊れ、ロールバックが起こる原因です。段階は安全な道であり、儀式ではありません。
「完了」するにはBIMIが必要ですか? いいえ。BIMIは段階6のブランド表示レイヤーであり、モデルの中で最も任意性の高い要素です — MTA-STS、TLS-RPT、そしてDMARCbisのnp=カバレッジこそが、ドメインを実質的に堅牢化する部分です。証明書のコストがあなたにとって正当化されないなら、それを飛ばして段階6の残りを維持してください。
SPFとDKIMはどこに位置しますか? すべての土台です — それらは段階1 → 2であり、DMARCなしのSPFは、ほとんどのオーナーが想定するよりも保護が少ないのです。2024年以降、主要な受信者は一括送信者に対して認証を明確に必須とするようにもなりました。
あなた自身のドメインがどこに位置するか確認する
これらの段階は母集団のパターンです — あなたのドメインはそのちょうど1つにいて、次の一手は知ることができます。プライベートかつ無料で確認でき、34項目のチェックのうちどれに合格し、合格しなかったものをどう修正すればよいかを見ることができます。
あなたのドメインを確認する → · 私たちがインターネットを評価した方法 → · DMARCの柱 → · 集計データのみ。データはEU内で保存および処理されます。