Defaults.Exposed

Defaults.Exposed › レポート

完全に保護された少数派:やり切った3.87%

公開日 2026-07-03 · 更新 2026-07-03

数値は2026-06-29時点 · 方法論 v7。 グレード付けされた261百万のドメインを対象に、ドメインごとのチェックを結合したセンサスデータです。本記事における「完全に保護された」とは、強制された完全なメール認証スタック、すなわちSPFが存在し、DKIMが存在し、DMARCポリシーがquarantineまたはrejectである状態を意味します。エクスポージャーピラミッドは、ドメインごとに5つの中核的な保護(SPF、強制的なDMARC、DNSSEC、HTTPS、HSTS)を数えます。ここでのオーバーラップの数値はドメインごとの結合に由来し、その重複排除の粒度はDAMMMページで引用されているポリシー分割のカウントとわずかに異なります(27,640,987対27,639,358の強制ドメイン)。各ページは独自のソースを引用しており、両者が混在することは決してありません。すべての数値は集計値であり、個別の企業のグレードを公開することはありません。

完全に保護されたドメインが違うこと:彼らはやり切る

インターネット上でグレード付けされた261百万のドメインのうち、わずか3.87%(10,092,481件)だけが、完全で強制されたメール保護スタックを運用しています。すなわちSPFとDKIMが整い、DMARCがquarantineまたはrejectに設定されています。 このグループについて興味深いのは、それが何でないかということです。それは、より大きな予算を持つセキュリティチームのクラブではありません。関わるすべての制御は無料のDNSまたはWebサーバーの設定です。この3.87%は他の誰よりも賢いわけではなく、体系的なのです。彼らは保護を、着手すべき5つの別々のプロジェクトではなく、やり切るべき1つのスタックとして扱いました。そして本記事の残りは、それがセンサスデータの中でどのように見えるかについてです。

やり切ることがいかに珍しいかを理解するために、まず他のみんながどこに立っているかから始めましょう。

エクスポージャーピラミッド:5つの保護、6つのフロア

すべてのドメインを5つのベストプラクティスの保護(SPF、強制的なDMARC、DNSSEC、HTTPS、HSTS)でそれぞれ1点ずつ採点すると、インターネットはピラミッド状に並びます(エクスポージャーカーブ、フロアごとに見たもの)。2026-06-29時点:

フロア備わっている保護ドメインの割合ドメイン数
0なし — 完全に露出8.8%23,105,485
11つ(通常はHTTPSのみ)37.2%97,206,153
22つ(一般的にはHTTPS + SPF)39.7%103,527,371
33つ12.0%31,424,343
44つ2.1%5,575,826
55つすべて — 完全にロック0.09%247,054

その形は、どの単一の数値よりも先に物語を語ります。すべてのドメインの76.9%(201百万)がフロア1と2に位置し、デフォルトで備わった保護をちょうど持っているだけで、それ以上はありません。HTTPSがそこにあるのは、ホストとCDNが自動的に有効化したからです。SPFがそこにあるのは、あらゆるメールプロバイダーのオンボーディングガイドがそれから始まるからです。フロア2より上のすべては、所有者が決断することを必要とします。そして各決断のたびに、インターネットの大部分は立ち止まります。フロア4と5を合わせても、ドメインのわずか2.2%しか持っていません。

ピラミッドは、誰が気にかけているかのランキングではありません。それは、デフォルトが終わり、意図的な取り組みが始まる場所の地図です。

3.87%が登ったファネル

スタックのメールの部分を一段ずつたどると、同じパターンが繰り返されます。各段階は、その前の段階に到達したドメインの半分以上を毎回失っていきます。

その最後の削減は立ち止まって考える価値があります。DMARCを強制するおよそ28百万のドメインのうち、ポリシーの下にSPFとDKIMの両方を備えているのはわずか**36.5%**です。残りの一部はまさに正しいことをしています。メールを一切送信しないドメインは、むき出しの-allのSPFとともにp=rejectであるべきで、DKIMは必要ありません。しかしこのギャップには、認証が不完全なまま強制しているドメインも含まれており、これは屋根から下に向かって建てられたスタックです。3.87%は、その逆の習慣によって定義されます。屋根の前に土台を、すべての層を、そして最後に一番上にポリシーを。

SPF単独では139百万のドメインをカバーしますが、そのほとんどを保護していません。着手して、やり切らないことが何をもたらすかについての、センサスの最も率直な例証です。

5つのプロジェクトではなく、1つのスタック

これが3.87%を分ける習慣であり、それは技術的なものではなく組織的なものです。

ほとんどのドメインは、ピラミッドが示唆する通りに保護を積み上げます。一度に1つずつ、それぞれが異なるきっかけ(ブラウザの警告、到達性の問題、コンプライアンスのチェックリスト)によって引き起こされ、それぞれが独自の「完了」を持つ小さなプロジェクトとして扱われます。そのモードでの「完了」とは、レコードが存在することを意味します。これが、インターネットが201百万のドメインをフロア1〜2に抱える理由です。5つの緑のチェックが利用可能で、1つか2つを集めて、旅は終わりです。

完全に保護されたドメインは、5つを1つのシステムとして、1つの「完了」の定義で扱います。すなわち攻撃がもはや機能しないことです。偽造されたメールは観測されるだけでなく拒否され、セッションはダウングレードできず(HSTSが固定されているため)、応答はひそかにすり替えられません(DNSSECが署名されている場合)。DMARC導入成熟度モデルにおいて、それはステージ6のマインドセットです。すなわち、一度獲得したバッジではなく、監視され維持される規律としての保護です。それについて、他の96%が欠いている専門知識を必要とするものは何もありません。必要なのはやり切ることです。正しい順序で、各層が実際に持ちこたえているかを確認し、「設定済み」を目的地ではなく中間点として扱うことです。

その上の頂上:5つすべてを同時に

完全にメール保護されたドメインの上には、はるかに小さな集団が位置します。すなわち**247,054のドメイン(0.09%)**であり、5つの保護すべてを同時に備え、SPFとHTTPSの上にDMARC、DNSSEC、HSTSが一緒に展開されています。関門はDNSSECです。ドメインのわずか1.99%でしか有効でなく、5つの中で最も稀であるため、ピラミッドの最上階は必然的にごく小さくなります。フロア5があなたの目標を表すなら、順序はやはり重要です。まずメール認証を強制し(実際に毎日届く攻撃を止めます)、次にHSTSでトランスポートを固定し、それからゾーンに署名します。

3.87%に加わる方法

すべての段階は設定変更であり、そのすべてが無料です。

  1. SPFを公開する — 実際の送信者を列挙し、-allで終える。(SPFを修正 →
  2. DKIMを有効化する — あなたとして送信するすべてのサービスで。ほとんどのプロバイダーはこれをトグルにしています。(DKIMを修正 →
  3. レポート付きでDMARCを公開し、観測し、それから強制する — まずp=nonerua=で、すべての正当な送信者を特定し、それからquarantinerejectに移行する。これはほとんどのドメインが決して登らない壁であり、お金ではなく調査作業です。(DMARCを修正 →
  4. それからWeb層: HTTPSサイト上のHSTS、そしてDNSプロバイダーが署名を管理してくれるならDNSSEC

メールを一切送信しないドメインは、観測フェーズを完全に飛ばせます。今日にでもSPF -allp=reject、1回のDNS変更で、壁をまっすぐ通り抜けられます。

よくある質問

完全に保護されたドメインとはどのようなものですか? SPFとDKIMが整い、その上にDMARCポリシーがquarantineまたはrejectである状態です。すなわち強制された完全なメール認証スタックです。10,092,481のドメイン(3.87%)がその基準を満たしています。最も厳格なバージョンはDNSSEC、HTTPS、HSTSを加えます。5つすべてを合わせたものがピラミッドの0.09%です。

DMARC、DNSSEC、HSTSを一緒に展開しているドメインはどれくらいありますか? センサスは、すべてのペアワイズのクロス集計ではなく5つの保護のスコアを公開しているため、正直な答えは範囲になります。少なくとも5つすべてを備える247,054のドメインはその3つを一緒に持っており、多くてもドメインの2.2%(フロア4〜5)がそれを持ち得ます。いずれにせよ、40件に1件を大きく下回ります。

完全なスタックは高価ですか? いいえ。SPF、DKIM、DMARC、HSTS、DNSSECはすべて設定です。DNSレコードとサーバーヘッダーであり、ライセンスはありません。本当のコストは注意と順序です。DMARC強制の前の送信者特定作業だけが持続的な労力を要する唯一の段階であり、それはほとんどのドメインが立ち往生するものです。

どの保護を最初にすべきですか? 強制されたメール認証です。なぜなら、メールのなりすましこそが、普通の企業が実際に直面する攻撃だからです。HTTPSはほぼ確実に既に持っています。HSTSは1行のフォローアップです。DNSSECは最後で、署名を管理してくれるプロバイダー経由でのみ。フロアごとに登ることは、一度に5つのプロジェクトに着手するよりも優れています。それがまさに要点です。

5つのうちいくつを備えているか確認する

フロア1〜2の76.9%と、やり切った3.87%との間のギャップは、才能や予算ではありません。それは順序であり、そのすべての段階が無料です。あなたは非公開かつ無料で確認でき、34のチェックのうちどれに合格しているか、そして合格していないものをどう修正するかを見ることができます。

あなたのドメインを確認する → · DMARC成熟度の6段階 → · DMARCの柱 → · 集計データのみ。データはEU内で保存・処理されます。