フィッシング対策協議会（東京都中央区、会長：岡村 久道）の証明書普及促進ワーキンググループ（主査：田上 利博）は、送信ドメイン認証技術の導入状況について、一般財団法人日本データ通信協会（東京都豊島区、理事長：黒田 𠮷広）の迷惑メール相談センターが実施した「送信ドメイン認証実施状況」をもとに、各プロバイダ（ISP）、CATV（ケーブルテレビ）、モバイル事業者、フリーメール事業者における導入・設定状況について集計した結果を公表します。

送信ドメイン認証技術導入状況

迷惑メール相談センターでは、毎年 ISP、CATV 、モバイル事業者、フリーメール事業者における送信ドメイン認証実施状況について調査した結果を公表しています。証明書普及促進ワーキンググループでは、この送信ドメイン認証実施状況の 2023 年ならびに 2024 年の調査結果をもとに、SPF / DKIM / DMARC / BIMI の導入率について集計しました。
※2025年9月16日に公開した全体導入率の算出方法に誤りがありましたので、修正しました（修正：2025年10月23日）。

2024 年の全体導入率は、以下の結果となっています。

2023 年の調査結果と比較した前年対比は、以下の結果となっています。

SPF の導入率は 98.1% と高水準となっており、また、DKIM の導入率は 63.4 %、DMARC 導入率は 54.5 %と、それぞれ着実に普及が進んでいることが示されています。

2024 年 2 月に Google が Gmail の DMARC 要件を強化し、その後 iCloud、Outlook 、国内の携帯キャリアにおいても同様に強化したことで、結果的に DMARC 導入が増加した可能性があると推測できます。

	適用時期	対象	要件
Gmail	2024 年 2 月	5,000 通/日以上送信するドメイン	SPF / DKIM / DMARC の設定必須。 未設定や認証失敗は迷惑メール扱いの可能性。
NTT ドコモ	2025 年 1 月	全送信元	SPF / DKIM / DMARC の設定必須。 DMARC 未設定または認証失敗のメールに警告表示。
iCloud	2025 年 2 月	全送信元	SPF / DKIM / DMARC の設定必須。 未設定や認証失敗は迷惑メール扱いの可能性。
Outolook.com	2025 年 5 月	5,000 通/日以上送信するドメイン	SPF / DKIM / DMARC の設定必須。 未設定や認証失敗は迷惑メール扱いの可能性。

※情報元
Google Workspace 管理者ヘルプ「メール送信者のガイドライン」」
NTT ドコモ「ドコモメールへメールを送信する際の注意事項」
Apple「iCloud メールの postmaster 情報」
マイクロソフト「Strengthening Email Ecosystem: Outlook's New Requirements for High‐Volume Senders」

DMARC のポリシー強度ごとの設定状況を見ると、「拒否（reject）」の導入率は前年比で 93.1 %となっていますが、2024 年の DMARC 導入率全体の前年比率が 217.1 %と大幅に増加していることから、導入母数が拡大した結果、「拒否（reject）」の割合が相対的に低下する結果となりました。この状況は、DMARC 導入事業者の多くが「隔離（quarantine）」や「監視のみ（none）」を選択していることが影響していると見られます。

フィッシング対策をより効果的に推進するためには、ポリシー強度を「拒否（reject）」へ引き上げる取り組みが引き続き求められます。

また、DKIM および DMARC の導入は増加傾向にあるものの、「拒否（reject）」に設定されていないため、DMARC 導入の効果が発揮できていない状況下にあります。

受信設定においては、PCY（ポリシー）および RPT（レポート）は前年より増加している傾向にあるため、今後 DMARC 送信設定の強度は徐々に増加していくものと推測しています。

※一般財団法人日本データ通信協会 迷惑メール相談センター「各プロバイダ（ISP）、CATV（ケーブルテレビ）、モバイル事業者、フリーメール事業者における送信ドメイン認証実施状況」をもとに集計

ディレクティブ	メールがなりすまされているかどうかを判断する仕組みで、SPF（Sender Policy Framework）、DKIM（DomainKeys Identified Mail）、DMARC（Domain-based Message Authentication, Reporting and Conformance）などがある。
PCY（ポリシーに基づく処理）	送信ドメイン認証の技術において、ポリシーに基づいて処理を行うこと。
RPT（レポートの送信）	送信ドメイン認証の技術において、レポートを送信すること。
BIMI（Brand Indicators for Message Identification）	正規メールへのブランドアイコンやロゴをメーラーに表示するメール規格のこと。

DMARC 導入後の適切な設定の必要性

『送信ドメイン認証技術「DMARC」の導入状況と必要性について』で解説しましたように、DMARC 導入と設定は適切に行う必要があり、迷惑メール対策推進協議会 技術ワーキンググループが公表する「送信ドメイン認証技術 DMARC 導入ガイドライン」が参考になります。同ガイドラインには、段階的に「隔離（quarantine）」「拒否（reject）」とポリシー強度を上げていくことを推奨しています。

また、2025 年 9 月 1 日に総務省より、関係団体を通じて電気通信事業者に対してフィッシングメール対策の強化に関する要請を行いました。本要請のなかでは、下記のように DMARC ポリシーの設定について、「隔離」「拒否」を行うこと、送信側だけではなく受信側についても適切な DMARC ポリシーに基づく処理やレポート送信を設定することを要請しています。加えて、ドメインレピュテーション、BIMI、踏み台送信対策等の更なる対策の導入を積極的に検討していくことが示されています。

BIMI について

DMARC のポリシー強度を「隔離」や「拒否」に引き上げることによって可能となる正規メールへのブランドアイコンやロゴをメーラーに表示するメール規格であります BIMI（Brand Indicators for Message Identification）の併用によって、DMARC 対応状況をメールのヘッダー情報から確認しなくても正規のメールを視覚的に認識できることは利用者に安心してメールを開くことができる効果が期待されています。対応メーラーは、Gmail、iCloud メール、au メール等であり、今後も BIMI に対応するメールサービスが増加していくことが予測されています。
なお本調査において、CATV、ISP、フリーメールでは BIMI 対応が可能なメールサービスを提供していません。

まとめ

DMARC ポリシー強度を「隔離（quarantine）」「拒否（reject）」に引き上げていくことが必要であり、「監視のみ（none）」や「隔離（quarantine）」のままでは、フィッシング対策としては効果が出ていないことが指摘されており、「拒否（reject）」にあげることにより初めてフィッシング対策となります。ポリシー強度を引き上げることによって可能となる正規メールへのブランドアイコンやロゴをメーラーに表示する規格である「BIMI」との併用も増えています。DMARC 対応状況をメールのヘッダー情報から確認しなくても正規のメールを視覚的に認識できることは利用者に安心してメールを開くことができる効果が期待されています。
しかし、企業・組織内には複数のメールシステムが存在する可能性が高いため、結果的に「拒否（reject）」に設定できないという事情があるように推測します。今後、メールシステムの統合やポリシーの統一化を進め、ポリシー強度を「拒否（reject）」に設定移行できれば、結果的に効果が期待できると考えています。

関連情報