こんばんは。先日、総務省から各組織のSPF及びDMARCの導入率について公表されていました。ScanNetSecurityとSECURITY-NEXTの記事からです。

scan.netsecurity.ne.jp

www.security-next.com

　後者の記事では「半数弱」とありますが、前者の記事の表（画像）を見ると、ドメイン全体を分母にするのか、MXレコードを有するドメインを分母にするのかで変わってきます。MXレコードを持たないので、メール送信・受信をしないことを明示的に宣言しているドメインも存在します。そう考えると、前者（ドメイン全体）を分母として考えるのが妥当です。そして、分子は全ドメインにおけるSPF設定数に設定するのが妥当であると考えられます。

　そうすると、SPF設定を行っている組織の割合が41%程度になります。SPFを設定するのは、「うちのドメインではメールを送信しません！」とか、「うちはこのメールサーバからしかメールは送信しません！」と宣言するケースがあります。そして、「うちはDNSサーバでSPF設定をしてますし、受信時もメールサーバでSPF判定しています」という組織も多いかと思います。

　また、少ないかもしれませんが、「うちは宣言はしないけども、SPFを用いてメールサーバでSPF判定はします」というケースもあるかもしれません。

　単に宣言だけであれば、DNSサーバのTXTレコードに記述するだけでいいので、比較的ハードルが低いことも作用しているのかなと考えられます。

　そして、DMARCについても考察してみます。こちらは0.5%程度になりますね。こちらも（全ドメイン中のDMARC設定ドメイン数）/（全ドメイン）*100で計算します。

　こちらはSPFに比べると、まだ浸透してないということなのでしょうか。まずはSPFの普及ということかなという気もします。

　それにしても、goドメインのSPF導入率はぶっちぎりですよね。