本記事のデータは、2026年4月17日時点でDNSJPが保有するデータベース内の.jpドメインを対象にスキャンした結果です。.jpドメインの全数調査ではなく、DNSJPの収集範囲内での計測値である点にご留意ください。
調査サマリー — DMARC導入率17.5%
結論から言うと、DNSJPが保有する.jpドメインデータベース内で、DMARC導入率は17.5%だった。
メールを利用している(MXレコードが存在する).jpドメイン121,772件に対して、_dmarc.ドメイン名のTXTレコードを引いた結果がこの数字だ。大手調査会社のレポートが日経225やFortune 1000を対象にしているのに対して、この調査はco.jpから汎用.jp、go.jp、lg.jpまで幅広い属性をカバーしている点が特徴だ。.jpドメインの完全な全数調査ではないが、中小企業、個人事業主、大学、自治体、ISPまで含んでおり、日本のメール認証の傾向を把握するには十分なサンプルだと考えている。
SPFの導入率は34.1%(41,520件)。DMARCの倍近くあるが、裏を返せば65.9%のドメインはSPFすら設定していない。
DMARCポリシーの内訳
DMARCレコードがあっても、ポリシーがp=none(監視のみ)なら、なりすましメールは素通りする。実際にメールを止められるのはp=quarantine(隔離)とp=reject(拒否)だけだ。
DMARC導入済みドメインの79.2%がp=noneのまま。enforcement(quarantine + reject)に進んでいるのは20.7%にとどまる。p=rejectまで到達しているドメインは全体の1.6%(1,947 / 121,772) しかない。
つまり、.jpドメインの98.4%はなりすましメールを技術的に拒否できない状態にある。DMARCを入れていても、8割は「見てるだけ」だ。
属性別の導入率 ── co.jpが最も高く、lg.jpが最も低い
.jpドメインにはco.jp(企業)、go.jp(政府機関)、lg.jp(自治体)などの属性型があり、それぞれ性格が違う。サブカテゴリ別にDMARC/SPFの導入率を出した。
| カテゴリ | メール利用 | DMARC導入率 | SPF導入率 |
|---|---|---|---|
| co.jp(企業) | 29,284 | 25.3% | 43.7% |
| or.jp(財団・社団等) | 7,864 | 21.9% | 45.0% |
| 汎用.jp | 61,581 | 15.5% | 32.2% |
| ne.jp(ISP) | 7,626 | 14.7% | 27.0% |
| gr.jp(任意団体) | 1,683 | 12.7% | 33.4% |
| go.jp(政府機関) | 2,435 | 9.8% | 14.4% |
| ed.jp(学校法人) | 1,820 | 9.6% | 29.7% |
| ac.jp(大学) | 7,325 | 9.1% | 20.0% |
| lg.jp(自治体) | 2,154 | 7.8% | 13.8% |
co.jpが25.3%で首位
co.jp(企業ドメイン)のDMARC導入率は25.3%。全体平均の17.5%を8ポイント上回っている。Googleの送信者ガイドライン(2024年2月)やPCI DSS v4.0のDMARC要件化を受けて、企業が先行して対応を進めた結果だろう。ただし、4社に1社。まだ道半ばという印象が正直なところ。
go.jp・lg.jpの低さが目立つ
政府機関(go.jp)が9.8%、自治体(lg.jp)が7.8%。行政ドメインのなりすましは住民への被害に直結するにもかかわらず、民間企業より対応が遅れている。SPFも13〜14%台で、メール認証そのものへの関心が薄いことが伺える。
総務省は2023年に「政府機関等の対策基準」でDMARCを推奨しているが、数字を見る限り浸透には至っていない。
大学(ac.jp)も9.1%
ac.jpは7,325ドメインと母数が大きいが、DMARC導入率は9.1%。学生・教職員を標的としたフィッシングが増加している中で、この数字は心許ない。大学はIT部門のリソースが限られるケースが多く、設定が後回しになりやすい構造的な問題がありそうだ。
SPFの施行姿勢 ── 79%が「~all」のまま
SPFレコード末尾のメカニズムは、認証失敗時の扱いを決める。
| メカニズム | 意味 | 件数 | 割合 |
|---|---|---|---|
~all(softfail) |
失敗は「疑わしい」扱い | 32,814 | 79.0% |
-all(hardfail) |
失敗は「拒否」を明示 | 8,028 | 19.3% |
?all(neutral) |
判定しない | 312 | 0.8% |
+all(pass) |
全て許可(誤設定) | 2 | 0.0% |
| その他 | 構文エラー等 | 364 | 0.9% |
~allが大多数。ホスティング事業者がデフォルトで~allのSPFレコードを設定しているケースが多いためだ。~all自体が悪いわけではなく、DMARCと組み合わせれば~allでもenforcement可能だが、DMARCが入っていなければ受信サーバーの裁量任せになる。
+all(全送信元を許可)が2件存在する。これは明確な設定ミスで、SPFとして機能していない。
海外との比較
Valimail社の2025年レポートによると、米国ドメインのDMARC enforcement率は約46%。.jpドメインの20.7%とは倍以上の開きがある。Google/Microsoft/Yahooの送信者要件が先行した米国市場と、対応がこれからの日本市場で大きな差が出ている。
ただし、この比較には注意が必要だ。Valimailの調査対象はメール送信量の多いドメインに偏っており、母集団が異なる。今回の調査はMXレコードを持つ全.jpドメインを対象にしているため、メールをほとんど使っていない小規模ドメインも含まれる。条件を揃えた場合の差はもう少し縮まる可能性がある。
この数字が意味すること
1. 「DMARCを入れた」だけでは不十分
DMARC導入済みの79.2%がp=noneということは、多くの管理者が「とりあえずレコードを入れた」段階で止まっている。p=noneは監視フェーズとして正しいステップだが、そこから先に進めていないドメインが大半だ。RUAレポートを分析し、正規メールのアライメント通過を確認した上で、p=quarantine → p=rejectと段階的に進める運用が必要になる。
2. SPF単独では防御として弱い
SPF導入率34.1%に対してDMARC導入率17.5%。SPFだけ入れてDMARCを入れていないドメインが約2万件ある。SPF単独では、ヘッダFromの詐称(表示名の偽装)を防げない。DMARCのアライメントチェックがあって初めて、エンベロープFromとヘッダFromの整合性が担保される。
3. 行政・教育機関の遅れは社会的リスク
go.jp(9.8%)、lg.jp(7.8%)、ac.jp(9.1%)の低さは深刻だ。これらのドメインは「信頼されやすい」からこそ、なりすましの標的になる。自治体を騙った還付金詐欺メール、大学を騙った奨学金フィッシングなど、被害は実際に報告されている。
自分のドメインを確認する
Google/Yahoo/Microsoftのメール送信者要件、PCI DSS v4.0、総務省の推奨と、DMARCを求める圧力は強まっている。にもかかわらず.jpドメインの実態は「SPFすら入っていない」が過半数。入れていても「p=noneで止まっている」が大半。現時点でp=rejectに到達している1.6%のドメインは、むしろ先進的と言っていい。
この調査は定期的に更新する予定だ。次回は属性別のポリシー内訳(co.jpのうちrejectは何%か)や、MTA-STS/BIMIの対応率も加える。
SPFレコードの中身をさらに掘り下げた記事も書いた。includeパターンからメールサービスの利用実態が見える。 → .jpドメインのSPFレコード4万件を分析した
まとめ
- メール利用.jpドメイン121,772件のDMARC導入率は17.5%
- DMARC導入済みのうちenforcement(quarantine + reject)は20.7%
- p=rejectまで到達しているのは全体の1.6%
- SPF導入率は34.1%、うち79%が~all
- co.jp(企業)が25.3%で最も高く、lg.jp(自治体)が7.8%で最も低い
- 米国のenforcement率(約46%)とは倍以上の差
よくある質問
- 日本のDMARC導入率はどのくらいですか?
- 2026年4月17日時点のDNSJP調査では、メールを利用している.jpドメイン121,772件のうちDMARCレコードを設定しているのは21,287件(17.5%)です。
- DMARC enforcementとは何ですか?
- DMARCのenforcement(強制適用)とは、ポリシーをp=quarantine(隔離)またはp=reject(拒否)に設定し、認証失敗メールを実際にブロックしている状態です。.jpドメインではDMARC導入済みドメインの20.7%がenforcementに到達しています。
- co.jpドメインのDMARC導入率は?
- co.jp(企業)ドメインのDMARC導入率は25.3%で、.jpサブカテゴリの中では最も高い数値です。SPF導入率は43.7%です。
- 自治体(lg.jp)のDMARC導入率は?
- lg.jp(地方自治体)のDMARC導入率は7.8%で、.jpサブカテゴリの中で最も低い水準です。SPFも13.8%にとどまっています。
- SPFの~allと-allの違いは?
- ~all(softfail)は認証失敗を「疑わしい」と扱い、-all(hardfail)は「拒否」と明示します。.jpドメインではSPF設定済みの79.0%が~all、19.3%が-allです。~allのままだと受信サーバーの裁量に依存するため、DMARCと組み合わせた運用が推奨されます。
調査方法
- 調査日: 2026年4月17日
- 対象: DNSJPが保有する.jpドメインデータベースから、MXレコードが存在する(メール利用中の)121,772ドメイン
- 方法: 各ドメインに対してDNS TXTレコード(SPF: ドメイン直下、DMARC: _dmarc.ドメイン名)をスキャンし、レコードの有無とポリシー値を集計
- データソース: 複数の公的・商用データソースから独自収集した.jpドメインリスト(全266,583件、うちDNS解決済み168,698件)
- ツール: zdns(高速DNSスキャナー)によるバルクTXTレコード取得
- 制限: DNSレコードの有無のみを確認しており、実際のメール送信量やSPF/DKIM/DMARCの認証通過率は計測していない。また、.jpドメインの完全な全数調査ではなく、DNSJPの収集範囲内でのデータに基づく
