Defaults.Exposed

Defaults.Exposed修正Guides

正規メールを失わずに DMARC p=none から p=reject へ:段階的ロールアウト(2026)

公開日 2026-07-08

データは 2026-06-29 時点 · メソドロジー v7。 261 百万採点済みドメインを対象とした集計センサスデータ。採点方法を参照。

DMARC を p=none から p=reject へ4段階で移行する:rua レポートを 2〜4 週間監視し、正規の送信元をすべて修正し、pct 付きで p=quarantine に漸増し、最後に reject へ — reject に一気に飛ぶのは厳禁。Defaults.Exposed センサスによると、採点済み 261,086,232 ドメインのうち 70,368,600 が soft SPF のままで DMARC 適用なしの状態に止まっている。

これは運用手順書(ランブック)だ:終了基準付きの段階テーブル、各段階のレコード、「50%」の意味が変わる reject 時の RFC 7489 pct の細かい挙動、サブドメイン用の sp= タグ。適用すべきかどうかを判断中なら、先に DMARC 成熟度の6段階を読んでほしい — それがフレームワークで、ポリシーレベル自体が初めてなら p=none・p=quarantine・p=reject が実際に何を意味するかが入門書だ。このページは「実行」の話をする。

なぜ p=reject に一気に移行できないのか?

p=reject は、DMARC に失敗したメールをバウンスするよう受信側に指示する — しかしレポートを見る前は、何が失敗するかわからない。監視を開始するとほぼ必ず、忘れていた正規の送信元が見つかる:CRM、請求ツール、問い合わせフォームなど。初日に reject に移行すると、そのメールはスパムに入るのではなく、SMTP の段階で消える。請求メールの送信が失敗した経験から、組織は DMARC を恐れるようになり、レコードは p=none に永久に戻される — 採点済み 261,086,232 ドメインのうち 37,312,637 がまさにそこに止まっており、適用ポリシーに到達したのはわずか 10.59%(27,640,987)だ。

もう一つの理由はアライメントだ。DMARC は、SPF または DKIM が合格し、かつ表示上の From ドメインとアライメントしている場合のみ合格する — SPF は Return-Path(RFC5321.MailFrom)ドメインに対して、DKIM は署名の d= に対して。サードパーティの送信者はたいてい自社ドメインで SPF を合格させるが、自ドメインでは合格しない。だから「すべての送信元を修正する」段階は、主に各ベンダーのカスタムドメイン DKIM を有効にする作業になる — 詳細は DMARC が失敗するが SPF と DKIM は合格するで説明している。

4段階のロールアウトとは?

段階ポリシーレコードpct失敗メールの扱い終了基準
1. 監視p=none; rua=mailto:…通常通り配信、アグリゲートレポートを受信2〜4 週のレポート、全送信者を正規か否か特定済み
2. 送信元修正p=none(変更なし)引き続き通常配信すべての正規送信元が DMARC アライメント合格(送信者ごとにカスタムドメイン DKIM)、残る失敗は不明/なりすましのみ
3. quarantine 漸増p=quarantine10 → 25 → 50 → 100サンプル対象分はスパムフォルダへ、サンプル外分は p=none 扱い(配信)正規メールがスパム判定されない状態で pct=100 が 1〜2 週続く
4. rejectp=reject100SMTP 段階でバウンス、送信者はバウンスを受け取り受信者は何も見ない継続 — 新規送信者を検知するため rua を永続的に維持

データは 2026-06-29 時点、ポリシー挙動は RFC 7489 に基づく。

段階3がドメインが行き詰まるか慌てる場所だ。スパムフォルダ行きは回復可能 — ユーザーがメールを見つけ、pct を緩め、送信元を修正できる。拒否は回復不可能なため、pct=100 でクリーンな状態が続くことが段階4への入場条件だ。

ロールアウトのステップバイステップ

  1. DNS を変更する前に defaults.exposed で無料スキャンを実行する。 現在のポリシーと、SPF・DKIM が適用の土台として揃っているかを確認できる。
  2. まだなら監視を開始する。 rua= 付きで p=none を公開する手順は 「DMARC ポリシーが有効になっていない」の5分手順にある。2〜4 週レポートを収集する — 請求メールなど月次送信者を把握するのに十分な期間だ。
  3. レポート内のすべての送信元を洗い出す。 送信者を「自社」「ベンダー」「不明」に分類する。生のレポートは XML で届く — レポート処理ツール(またはプロバイダーのダッシュボード)が読みやすい送信者インベントリに変換してくれる。
  4. 正規の送信元をすべてアライメント合格にする。 各ベンダーのカスタムドメイン DKIM(通常はダッシュボードで CNAME レコードを2件追加)を有効にし、署名が自ドメインを示すようにする。アライメントには DKIM を優先する:転送に耐えられるが、SPF は耐えられない
  5. クリーンな2週間を待つ。 報告される失敗がブロックしたい不審トラフィックのみになったら段階2を終了する。
  6. p=quarantine; pct=10 に移行する — 既存の _dmarc TXT レコードを編集し(設定例:IONOS DMARC 設定)、構文に注意する:ポリシータグのタイポでレコード全体が無効になる場合がある。2〜4 週かけて pct を 25、50、100 に引き上げながら、レポートとヘルプデスクのチケットを監視する。スパムに入った正規メールがあれば:pct を下げ、送信元を修正し、再開する。
  7. pct=100 でクリーンな状態が 1〜2 週続いたら p=reject に移行する。 rua= を永続的に維持する — 新しく採用するツールはすべて将来の失敗送信者候補だ。

pct は実際に何をするか?RFC 7489 の細かい挙動

pct は、失敗したメールのその割合にポリシーを適用するよう受信側に求める。RFC 7489 §6.6.4 の細かい点:サンプルから外れたメールは「通常配信」にフォールバックするのではなく、一段階緩いポリシーが適用される。p=quarantine; pct=25 の場合、残り 75% は p=none として配信される。しかし p=reject; pct=50 の場合、残り 50% は配信ではなくquarantineされる。緩やかな reject は存在しない:レコードが reject を示した瞬間、すべての失敗メールは対応する受信側では最低でもスパムフォルダ行きになる。

意図的に使えばこれは機能だ — p=reject; pct=1 は「ほぼすべてを quarantine し、ごく一部を reject する」として機能し、最終的なオンランプとして有効だ。2点注意:受信側はサンプリングの実装が必ずしも同一ではないので、pct は大まかなダイヤルとして扱う;また段階4が安定したらタグを削除(または pct=100 に設定)して、レコードが意図を正確に示すようにする。

サブドメインについて — sp= タグ

デフォルトでは、サブドメインは組織ドメインのポリシーを継承する:yourdomain.comp=rejectmail.yourdomain.com にも適用される。sp= タグを使うと分離できるが、有用な方向にも危険な方向にも機能する。有用な場合:p=quarantine; sp=reject は、ドメイン頂点がまだ漸増中の間、メールを送らないサブドメインを完全にロックダウンする — なりすまし攻撃者は意図的に監視中ドメインのサブドメインを狙う。危険な場合:忘れた sp=none が、6週かけて獲得した reject ポリシーからすべてのサブドメインを暗黙的に除外する。段階4でチェックする;あるサブドメインが本当に緩いポリシーを必要とするなら、すべてを緩めるのではなく、そのサブドメインに _dmarc レコードを個別に公開する。

NIS2 は EU 企業にこれを義務付けるか?

DMARC の動作は世界中で同一だ — このランブックに EU 境界での変更点はない。変わるのはコンプライアンス上の圧力だ。NIS2 第21条(2)(j)は、対象エンティティに通信のセキュリティ確保を義務付けており、欧州委員会実施規則(EU)2024/2690 は対象のデジタルインフラエンティティに対して技術要件を規定している — その附属書(ポイント 6.7.2(k))は、国際的に合意された最新のメールセキュリティ標準を導入する実施計画を要求し、ポイント 6.7.2(l) は DNS セキュリティのベストプラクティスを要求する。SPF と DKIM を土台とした適用済み DMARC ポリシーは、なりすましに対する監査可能なコントロールとして認められている;p=none は明らかに「監視」であって「保護」ではない。顧客が対象範囲に入っている場合、取引先アンケートでもまさにこれが求められるようになってきている。

よくある質問

ロールアウト全体にどれくらいかかるか? 6〜10 週が典型的:2〜4 週の監視、1〜3 週の送信元修正、2〜4 週の quarantine 漸増、そして reject。これは工数ではなくカレンダー時間だ — 主に各変更を確認するレポートを待つ時間だ。データ(2026-06-29 時点)によると、適用ポリシーのない採点済み 261,086,232 ドメインの 89.41% のほとんどはロールアウト中ではなく、そもそも始めていない。

quarantine を省略して低い pct の p=reject を使えるか? 可能だ — RFC 7489 §6.6.4 により、p=reject; pct=10 は 10% が reject、90% が quarantine を意味し、おおよそ段階3の終盤に相当する。ただし p=quarantine を先に使う方が推論しやすく、受信側でのサンプリングの忠実度にも差がある。いずれにせよ、段階1〜2は省略不可:正規の送信元がまだ失敗している間は、どの適用方式も安全ではない。

修正できないメール — 転送やメーリングリスト — はどうするか? 転送は設計上 SPF を破り、一部のメーリングリストはコンテンツを書き換えて DKIM も破る。アライメントされた DKIM は通常の転送に耐える(これがほとんどのケースをカバーする);残る小さな部分のために quarantine 段階が存在する — スパムフォルダ行きのメールは評価しながら回復可能だ。詳細は転送メールが SPF に失敗するを参照。

p=quarantine で止めれば十分か? 大部分の価値はそこにあり、p=none に止まっている 37,312,637 ドメイン(採点済み 261,086,232 件、2026-06-29 時点)よりはるかに良い — しかし、なりすましメールはスパムフォルダには届き、人々がそこから拾ってしまう。Reject が終着点だ:採点済みドメインのうち適用ポリシーに到達しているのは 10.59% のみであり、完了することがチェッカー、保険会社、取引先アンケートが評価するものだ。

オーナーにレポートを送る

このロールアウトをクライアントや雇用主のために実施している場合、ゴールラインは見せられる。p=reject が解決したら無料スキャンを再実行し、採点レポートを転送する:ドメインが適用ポリシーに移行したことが、タイムスタンプ付きで平易な言葉で示される。そのページ1枚が、サイバー保険更新やNIS2主導の取引先アンケートのメールセキュリティ欄に、DNS パネルのスクリーンショットより的確に答えてくれる — そして6週間の慎重で目に見えない作業を、費用を払う人に見せることができる。

DMARC ポリシーを無料でチェックする

現在のポリシーが何か、そして SPF と DKIM が適用を支えられるかどうかを — プライベートかつオーナー限定で確認する。

ドメインをチェックする → · DMARC を修正する → · 「DMARC ポリシーが有効になっていない」— 正直な最初のステップ → · 集計データのみ使用。データは EU 内で保存・処理。