2024 年 2 月の Google の送信者要件発表から 2 年が経った。.jp の事業者がどれくらい DMARC を入れたか、当社で観測している.jp ドメイン約 165 万件のうち MX レコードを持つ 121,772 件 (= 自分のドメインからメールを送る運用をしている事業者) を対象に集計した。
全体: 17.5% が DMARC、reject 到達は 1.6%
| 状態 | 件数 | 割合 |
|---|---|---|
| MX を持つ.jp 全体 | 121,772 | 100% |
| DMARC 設定済 (何らか) | 21,287 | 17.5% |
| うち p=reject | 1,947 | 1.6% |
| うち p=quarantine | 2,449 | 2.0% |
| うち p=none (監視のみ) | 16,852 | 13.8% |
| DMARC 未設定 | 100,485 | 82.5% |
正直に言うと、想像より低い。DMARC を設定していてもその 79% が p=none で、なりすまし対策としては「監視ログを取っているだけで、実際にメールは弾いていない」状態。reject まで到達しているのは MX を持つ事業者の中で 1.6%、つまり 60 ドメインに 1 つ程度。
米国の調査 (例: Valimail の年次レポート) では、reject 到達率は 10-15% で推移しているので、日本はまだ 1 桁オーダー遅い。グローバルメール基盤を持つ大企業は対応済みだが、その下の中規模・地方企業まで降りていくにはまだ時間がかかる、という見方。
co.jp が最も先行、ac.jp / go.jp が同水準で遅れている
| カテゴリ | 対象数 | DMARC 設定数 | 導入率 |
|---|---|---|---|
| co.jp (企業) | 29,284 | 7,404 | 25.3% |
| ne.jp (ネットワーク事業者) | 7,626 | 1,119 | 14.7% |
| go.jp (中央政府) | 2,435 | 239 | 9.8% |
| ac.jp (大学・高専) | 7,325 | 669 | 9.1% |
co.jp が 25.3% で先行。Google の要件はクレジット決済等の B2C 通知メールを送る事業者に直接刺さるので、合点はいく。DMARC 導入支援の問い合わせも、ここ 1-2 年は B2C SaaS / EC 事業者からが主だった。
意外だったのが go.jp と ac.jp が 10% 弱で並んでいること。中央政府機関も大学・高専も、いずれも DMARC 導入率は co.jp の半分以下。go.jp 2,435 ドメインのうち DMARC が入っているのは 239 件。総務省が 2023 年に「政府機関の DMARC 設定推奨」を出していることを考えると、政府の中でも本省以外は手が回っていない印象。
ac.jp は学術機関で、もともと .ac.jp は厳格に審査される TLD。研究室や学部単位でドメインを持つ習慣があるため、組織的にメール認証を統一して管理する体制になっていない。「研究室のサーバから送るメールが SPF/DKIM/DMARC に揃っていない」状況は珍しくない。
「未設定 82.5%」の中身
残り 100,485 件 (82.5%) には種類がある。当社で メールセキュリティ診断 を回している経験から、ざっくり以下の 4 パターンに分かれる。
(1) SPF だけは入っている: ホスティング契約に付いてくる include があるが、DMARC まで明示設定していない層。比率としては最大。SPF は 41,520 件 (33.9%) が設定済みなので、そこから DMARC を引いた 20,233 件はこの層に該当する可能性が高い。
(2) SPF も DMARC もない: 自社のドメインから能動的にメールを送らない、もしくはお問い合わせフォームのみで実際の運用が薄いドメイン。送信していないなら DMARC 不要という意見もあるが、なりすましメールを送られるリスクは残るので、本来は p=reject + null MX 推奨。
(3) SPF はあるが DMARC は外している: DMARC を入れたら正規メールまで弾かれた経験で意図的に外した、または運用負荷を理由に none にしている層。
(4) 持株会社の IR ドメインで実態として送信していない: 日経 225 トラッカーでも観測される構造。MX があるのに送信実体が無いケース、もしくは MX が無く送信していると宣言する RFC 7505 null MX 構成の対応が混在している。
運用者として何を読み取るか
個人的な持ち帰りは 3 つ。
一つ目、17.5% は底。 24 ヶ月でこの数字なら、Google の二次の規制 (例: 5,000 通以下も対象化) や、Yahoo! Japan の同等要件強化が来ると一気に 30% を超える可能性。今のうちに p=quarantine か p=reject に持っていける支援は事業として伸びる領域。
二つ目、政府機関は逆に「これからの市場」。9.8% は低いが、自治体が次の年度に予算を組む文脈はあるはず。総務省や IPA からの推奨が「義務」に近いトーンに変わると、地方自治体・教育機関の DMARC 案件はまとまった量が動く。当社のDMARC 導入支援でもこの層の問い合わせが増え始めている。
三つ目、p=none で止まっている 16,852 件は中間層。DMARC を入れる気があり、入れる作業まではしたが、レポート分析と段階移行 (none → quarantine → reject) のフェーズで止まっている。RUA レポートを読んで送信元を分類する工数が捻出できないのが実態。当社で DMARC 監視運用伴走プランを提供しているのはここを支援するため。
自分のドメインのDMARC状況を確認するには: メールセキュリティ診断またはDMARCチェッカーで example.co.jp を入力すると、SPF / DKIM / DMARC 設定が即座に確認できる。「設定はあるが p=none」の場合、RUA レポートを読んで段階移行するのが次のステップ。
集計データソース: 当社で独自に解決した.jp ドメイン 1,664,899 件のうち、MX レコードを持つ 121,772 件を対象とした 2026 年 5 月時点の DMARC TXT/SPF TXT スキャン結果。週次バッチでの再スキャンによる時系列の動きは /stats/jp-email-auth を参照。同様の集計を業界別に切り出した記事: .jp ドメイン DMARC 設定状況 (2026 年 4 月)。連絡: /contact.html。著者: Inoue (DNSJP, 個人事業)。
