NW屋的日常徒然日記

ネットワークを専門にする元社内SEの日常とITネタ諸々を綴って行きます。

総務省からSPF導入に関する統計資料発表

 こんばんは。先日、総務省から各組織のSPF及びDMARCの導入率について公表されていました。ScanNetSecurityとSECURITY-NEXTの記事からです。

scan.netsecurity.ne.jp

www.security-next.com

 後者の記事では「半数弱」とありますが、前者の記事の表(画像)を見ると、ドメイン全体を分母にするのか、MXレコードを有するドメインを分母にするのかで変わってきます。MXレコードを持たないので、メール送信・受信をしないことを明示的に宣言しているドメインも存在します。そう考えると、前者(ドメイン全体)を分母として考えるのが妥当です。そして、分子は全ドメインにおけるSPF設定数に設定するのが妥当であると考えられます。

 そうすると、SPF設定を行っている組織の割合が41%程度になります。SPFを設定するのは、「うちのドメインではメールを送信しません!」とか、「うちはこのメールサーバからしかメールは送信しません!」と宣言するケースがあります。そして、「うちはDNSサーバでSPF設定をしてますし、受信時もメールサーバでSPF判定しています」という組織も多いかと思います。

 また、少ないかもしれませんが、「うちは宣言はしないけども、SPFを用いてメールサーバでSPF判定はします」というケースもあるかもしれません。

 単に宣言だけであれば、DNSサーバのTXTレコードに記述するだけでいいので、比較的ハードルが低いことも作用しているのかなと考えられます。

 そして、DMARCについても考察してみます。こちらは0.5%程度になりますね。こちらも(全ドメイン中のDMARC設定ドメイン数)/(全ドメイン)*100で計算します。

 こちらはSPFに比べると、まだ浸透してないということなのでしょうか。まずはSPFの普及ということかなという気もします。

 それにしても、goドメインSPF導入率はぶっちぎりですよね。