Defaults.Exposed › レポート
メールなりすまし指数:誰でも偽装できるドメインはどれだけあるのか?(2026年)
公開日 2026-07-03
数値は2026-06-29時点 · 方法論v7。 261百万の採点済みドメイン全体にわたる集計調査——私たちが計測する範囲でのインターネット——をドメインごとに結合したものです。すべての数値は集計値であり、個々の企業の評点を示すものではありません。採点方法をご覧ください。
どれだけのドメインがなりすまし可能なのか?
10のうち9。インターネットの89.4%——233,445,245ドメイン——は、認証に失敗したメールを拒否または迷惑メール扱いするよう受信側に指示するポリシーをまったく公開していません。 これが私たちがなりすまし可能と数えるものであり、この調査を攻撃者の目線から見た姿です。すなわち「誰がメールのセキュリティに着手したか」ではなく、「誰が依然としてなりすまされうるか」です。ほとんどのドメインは着手しています——SPFを公開しています。しかし完了したドメインははるかに少なく、この2つの動詞の間の隔たりこそが本指数です。
ここで言う「なりすまし可能」とは何を意味するのか?
この数値は引用されるため、正確な定義を示します。ドメインがp=quarantineまたはp=rejectのDMARCポリシーを公開していないとき、そのドメインはなりすまし可能です——これは、あらゆる主要な受信側に対して、認証に失敗したメッセージを拒否または迷惑メール扱いさせる唯一の標準化された指示です。一部の受信側は厳格なSPFの-allだけでも対処しますが、その挙動は任意であり、世界中の受信トレイの間で一貫していません。DMARCの強制こそが、すべての受信側が守る指示なのです。したがって、なりすまし可能なドメインは必ずしもあらゆる場所で無防備というわけではありません——ポリシー上無防備であり、各受信側の善意に依存しているのです。
これはまた、SPFを公開しただけではドメインがこの指数から外れない理由でもあります。SPFはあなたの正規のメールを識別しますが、強制がなければ、受信側に偽装への対処を指示するものは何もありません。
最もなりすまされやすいドメイン末尾はどれか?
強制力のあるDMARCを持たない採点済みドメインの割合を、末尾別に示します。
| TLD | なりすまし可能割合 |
|---|---|
| .xyz | 94.9% |
| .de | 78.6% |
| .com | 90.5% |
| .org | 90.0% |
| .uk | 86.6% |
| .nl | 70.6% |
インターネット上に安全な地域はありません——末尾間の差は、露出の程度の差であって、露出の有無の差ではありません。国レベルの極端な例は、それ自体が別の物語です。本指数が要約する国別の順位については、最もなりすまされやすい国々をご覧ください。
メールサーバー切り出し:稼働中の受信トレイ、保護なし
本指数の最も鋭い断面です。すべての採点済みドメインのうち42.7%は、認証をまったく公開しないまま稼働中のメールサーバーを運用しています——111,369,509ドメインが、実際のメールを受信しながら、偽装者に無防備な名前を差し出しているのです。これらは放置された抜け殻ではありません。所有者が一度も鍵を取り付けなかった、稼働中のメールドメインなのです。
なぜこれが重要な数値なのか
導入統計はインターネットを実態以上に良く見せます。なりすまし可能性は、攻撃者が依然として何をできるかを計測します。修正はどの段階でも無料です——SPF、DKIM、そしてp=rejectのDMARCポリシー——そして完了した各ドメインは、10のうち9の側から保護された少数派へと移ります。この2本の記事は、同じデータセットを両端から読んだものです。こちらは開いたドアを数え、あちらは施錠されたドアを数えます。
よくある質問
何がドメインをなりすまし可能にするのですか?
強制力のあるDMARCポリシー(p=quarantineまたはp=reject)が存在しないことです。それがなければ、SPF/DKIMのチェックに失敗したメールを拒否または迷惑メール扱いするよう受信側に指示する標準化された指示が何もありません。2026-06-29時点で、ドメインの89.4%——10のうち9——がこの状態にあります。
私はSPFを公開しています——それでも私のドメインはなりすまされうるのですか? 何も強制していなければ、はい、なりすまされます。SPFはどのメールが正規かを証明しますが、残りを拒否するよう受信側に指示するものではありません。その仕組みと修正方法はDMARCなしのSPFで扱っています。
DMARC p=quarantineは私のドメインを安全にしますか?
それはあなたをこの指数から外します。失敗したメールは受信トレイに配信されるのではなく、迷惑メール扱いされます。p=rejectはさらに一歩進み、それを完全に拒否します——最も強力な設定であり、推奨される到達点です。
自分のドメインを偽装不可能にするにはどうすればよいですか?
3つの鍵をすべて取り付けてください——SPF、DKIM、そしてp=rejectのDMARC——いずれも無料のDNS変更です。DMARCポリシーを修正するが、あなたを指数から外す強制のステップです。
あなたのドメインが9のうちの1つかどうかを確認する
あなたのドメインは、この指数に載っているか外れているかのどちらかであり、その答えは無料で得られ、無料で変えられます。
あなたのドメインを確認する → · DMARCを修正する → · SPFを修正する → · 最もなりすまされやすい国々 → · 保護された少数派 → · 集計データのみ。データはEU域内で保存・処理されます。