Defaults.Exposed › レポート
SPF導入成熟度モデル(SPFAMM):SPFの6段階(2026年)
公開日 2026-07-03
数値は2026-06-29時点 · 方法論v7。 これは、261百万件の採点済みドメインを対象とする定期的なセンサスに裏打ちされたリファレンスモデルです。各版は同じ母集団を再測定するため、数値を経時的に追跡できます。すべての数値は集計値です——個々の企業のレコードを公表することは決してありません。
インターネットは今どのステージにあるのか?
6段階中ステージ2.4。261百万件のドメインを横断して測定した結果、平均的なドメインはまだ機能するSPFの柵に到達しておらず——インターネット全体としてもSPF強度で100点満点中29点にとどまっています。 SPFを公開することはメールセキュリティにおいて最も一般的な行為であり(ドメインの53.21%が実施しています)、それにもかかわらず、それらのレコードの大半は、受信者に対してどのみち偽装メールを配信するよう求める設定で止まっています。
問題は導入率ではありません——問題は、ほとんどの成熟度ガイダンスが「SPFを公開した」で止まってしまい、まるでレコードそのものが到達点であるかのように扱っている点にあります。SPFレコードは、インターネット全体を認可することもできれば、何の意見も表明しないこともでき、静かに自らを無効化することもでき、あるいは締め上げることが誰もスケジュールしていない作業だからという理由で永遠にsoftfailのまま居座ることもできます。有用なモデルは、それらの状態のそれぞれに名前を与えます。本モデルはそれを行います。すなわち SPF導入成熟度モデル——SPFAMM、6つのステージ、それぞれに一手ずつ、そして引用できる名前です。これはDMARC成熟度の6段階のSPF版に相当します。
SPF成熟度の6段階とは何か?
261百万件の採点済みドメインのすべてが、ステージ1~5のちょうど1つに位置し、それら5つの母集団の合計はセンサスの総数と正確に一致します。ステージ6は、ステージ5の中で数えられる、より強固なサブセットです。これこそが、SPFAMMをポスターではなく測定たらしめているものです。
| ステージ | 名称 | ドメイン数 | 割合 |
|---|---|---|---|
| 1 | 無防備 | 121,145,609 | 46.4% |
| 2 | 過度に寛容、または破損 | 7,798,366 | 3.0% |
| 3 | ソフト柵 | 70,368,600 | 27.0% |
| 4 | 厳格 | 42,514,532 | 16.3% |
| 5 | 整合 | 19,259,125 | 7.4% |
| 6 | 堅牢化 | 10,092,481 | 3.87% |
(ステージ6はステージ5の整合済みドメインの中の堅牢化されたサブセットであるため、ステージ1~5がセンサスを分割し、ステージ6はステージ5の内側に位置します。)
ステージ1 — 無防備。 v=spf1レコードがありません。受信者は何も検証せず、SPFの区間でドメインを偽装するのは容易です。その一手: 実際の送信者を列挙し、fail修飾子で終わるv=spf1レコードを公開します。
ステージ2 — 過度に寛容、または破損。 レコードは存在するものの、何も保護していません。このステージは、無力な終端——?all neutral(公開者の3.0%)と+allという歓迎マット——を、破損したレコードとともに集めています。破損したレコードには、標準規格が完全に無効とする複数のv=spf1レコードや、使用可能な終端を持たない断片的なレコードが含まれます。1つの例外:約2.1百万件のレコードはredirect=で終わっており、これは 有効な委任 です——その実際のポリシーは委任先に存在し、これらのレコード自体が判定を持たないという理由だけで、ここに数えています。その一手: 1つのレコード、1つの実質的な終端——~allまたは-all。
ステージ3 — ソフト柵。 レコードは~all(softfail)で終わっており、その背後に何も強制するものがありません——70.4百万件のドメインで、SPFを公開しているどのステージよりも大きな母集団です。softfailは、鍵の開いた門を備えた本物の柵です。受信者に「他所からのメールはおそらく偽装だ」と告げつつ、それをどのみち配信するよう求めます。その一手: 壁を登る——すべての送信者を洗い出し、それから上へ向かう2つのルートのいずれか(下記)を選びます。
ステージ4 — 厳格。 レコードは-allで終わっています:42.5百万件のドメインが「それ以外は全員拒否」を明確に公開していますが、その背後にまだDMARCの強制はありません。私たち自身の測定が今や定量化する、1つの正直な但し書き:10ルックアップ制限を超過する-allレコードは、どれほど厳格に見えても無効です——インターネットの-allレコードのうち少なくとも112,215件がその状態にあります。その一手: レコードの背後に強制するDMARCポリシーを置き、失敗があらゆる場所で処理されるようにします。
ステージ5 — 整合。 SPF——ソフトでも厳格でも——がDMARC p=quarantineまたはp=rejectの背後に位置します。これは、あなたの正確なドメインへのなりすましが、主要なすべてのメールボックスプロバイダーで実際に止まるステージです:19.3百万件のドメインがあり、そのうち7.1百万件が~allと強制を組み合わせており(Googleの送信者ガイドラインが推奨するパターン)、12.1百万件が-allとそれを組み合わせています。その一手: DKIMを追加し、監視を続けます——レコードは腐ります。
ステージ6 — 堅牢化。 SPFとDKIMと強制するDMARC——完全に保護された集合、10,092,481件のドメイン、インターネットの3.87%——に加えて、ドリフトを監視する規律:include:のチェーンは変化し、プロバイダーはIPを移し、誰かがあなたとして送信する新しいツールを接続します。その一手: ここに留まり続けること。これはバッジではなく、実践です。
メール非送信レーン。 メールを一切送信しないドメインは、1回の編集で頂点まで飛べます:SPF
-allとDMARCp=reject。保護すべき正当なものが何もないということは、登るべき壁がないということです——そしてそれは、最も一般的ななりすまし経路の1つを塞ぎます。
なぜステージ3でインターネットは停滞するのか?
なぜなら、他のほぼすべての一手が小さなDNS編集であるのに対し、ステージ3から抜け出す一手は 作業 だからです:あなたとして正当に送信するあらゆるシステム——メールボックスプロバイダー、ニュースレターのプラットフォーム、CRM、請求ツール、マーケティングが去年の春に契約したあれ——を洗い出し、それらを10ルックアップの予算を超過させることなく1つのレコードに収めること。それが壁です。~allはそれをやらずに到達できる最後の段であり、だからこそ70.4百万件のドメインがそこで休んでいるのです。
壁の頂上からは、上へ向かう2つのルートがあり、どちらもステージ5に到達します:
-allへ堅牢化する(ステージ4を経由して)——レコードそのものにおける断固たる拒否。これが正しい判断となる場面については~all対-allを参照してください。~allを保ち、DMARCp=rejectで強制する——Googleのガイドラインと現在の大半の到達性の実務が推奨するルートです。なぜなら、これは転送されたメールを弾くことなく、DMARCを評価する受信者において同等に保護するからです。
センサスは、どちらのルートも完遂されることがいかに稀かを示しています:77.5百万件のsoftfailレコードのうち、その背後に強制を持つのはわずか7.1百万件——約11件に1件——だけです。
SPF強度スコアはどのように算出されるのか?
シンプルに、そして月ごとにスコアが比較可能となるよう重み付けを一定に保っています:何かが強制しているドメイン(ステージ5~6)には満点、誰も対処しない本物の柵(ステージ3~4)には半分、不在・過度に寛容・破損したレコードにはゼロ。 この尺度で、インターネットは2026-06-29時点で 29/100 を記録しています。母集団のほぼ半分は、そもそも何も公開していないためゼロを寄与しています。
自分のドメインのステージはどうやって見つけるのか?
ステージ1~4はDNSレコードから直接読み取れます。ステージ5はDMARCポリシーが加わり、ステージ6はDKIMが加わります。一目では分からない唯一のことは、厳格なレコードがひそかにルックアップ制限を超えているかどうかです——それにはチェーンの解決が必要であり、私たちのチェッカーがそれを代わりに行います。
よくある質問
SPFAMMとは何ですか? SPF導入成熟度モデル——このページ上の6段階モデルです:無防備、過度に寛容/破損、ソフト柵、厳格、整合、堅牢化。すべてのドメインのステージはそのDNSから算出可能です:ステージ1~5が261百万件のドメインのセンサスを正確に分割し、ステージ6はステージ5の中の堅牢化されたサブセットです。
大半のドメインはどのステージにありますか? ステージ1——ドメインの46.4%がSPFをまったく公開していません。公開しているドメインの中では、ステージ3(強制なしのsoftfail)が最も一般的な滞留地点で、70.4百万件のドメインがあります。母集団加重平均はステージ2.4です。
~all softfailで十分ですか?
その背後に強制するDMARCポリシーがある場合に限ります——その組み合わせがステージ5であり、Googleの送信者ガイドラインが推奨するパターンです。単体ではステージ3です:本物の柵、鍵の開いた門。完全な比較は~all対-allにあります。
安全であるために-allに到達しなければなりませんか?
いいえ。ステージ4は2つのルートのうちの1つであって、必須要件ではありません——~allを保ちDMARC p=rejectで強制することは、DMARCを評価する受信者において同じ保護に到達します。必須なのは壁です:何かが強制する前に、すべての送信者を把握しておくことです。
6つのステージすべてを完了するドメインはどれくらいありますか? 10,092,481件——インターネットの3.87%——がSPF、DKIM、強制するDMARCポリシーをすべて併せ持っています。すべてのステージ遷移は無料です。詳細は保護された少数派にあります。
あなたのドメインがどこに立っているかを確認する
あなたのドメインはこれら6つのステージのちょうど1つにあり、次の一手は30秒で知ることができます——無料で、そしてこのはしごに沿ったあらゆる修正は購入ではなくDNSの変更です。
あなたのドメインを確認する → · SPFを修正する → · ~all対-all → · SPF PermErrorレポート → · DMARC成熟度の6段階 → · 集計データのみ。データはEU域内で保存・処理されます。