総務省からSPF導入に関する統計資料発表
こんばんは。先日、総務省から各組織のSPF及びDMARCの導入率について公表されていました。ScanNetSecurityとSECURITY-NEXTの記事からです。
後者の記事では「半数弱」とありますが、前者の記事の表(画像)を見ると、ドメイン全体を分母にするのか、MXレコードを有するドメインを分母にするのかで変わってきます。MXレコードを持たないので、メール送信・受信をしないことを明示的に宣言しているドメインも存在します。そう考えると、前者(ドメイン全体)を分母として考えるのが妥当です。そして、分子は全ドメインにおけるSPF設定数に設定するのが妥当であると考えられます。
そうすると、SPF設定を行っている組織の割合が41%程度になります。SPFを設定するのは、「うちのドメインではメールを送信しません!」とか、「うちはこのメールサーバからしかメールは送信しません!」と宣言するケースがあります。そして、「うちはDNSサーバでSPF設定をしてますし、受信時もメールサーバでSPF判定しています」という組織も多いかと思います。
また、少ないかもしれませんが、「うちは宣言はしないけども、SPFを用いてメールサーバでSPF判定はします」というケースもあるかもしれません。
単に宣言だけであれば、DNSサーバのTXTレコードに記述するだけでいいので、比較的ハードルが低いことも作用しているのかなと考えられます。
そして、DMARCについても考察してみます。こちらは0.5%程度になりますね。こちらも(全ドメイン中のDMARC設定ドメイン数)/(全ドメイン)*100で計算します。