メールシステムのインフラ構築やサポートを行う「TwoFive」社は、なりすましメール対策に関わる実態調査レポートを公表している。
調査対象は、日経225企業が管理・運用する8,545ドメインで、2023年11月から2024年2月までの期間に実施されている。

調査によれば、Gmailの新ガイドラインに対応し、日経225企業のDMARC(Domain-based Message Authentication, Reporting, and Conformance)導入率が急増していることが明らかになっている。
DMARCは送信ドメイン認証技術であり、なりすましメールを防ぐために使用される。
ポリシーの設定により、認証失敗時の取り扱いを指定でき、集約レポートを通じて認証の状況をモニタリングが可能となっている。
新ガイドラインでは、大量送信者だけでなく、小規模な送信者も対象になり、DKIM / SPFの設定、TLSの使用、メッセージ形式などの条件も示された。

2024年2月時点で、日経225企業のうち193社(85.8%)が少なくとも1つのドメインでDMARCを導入しており、3ヶ月で17.8ポイントの増加との結果だった。
新ガイドラインにより、大量送信者はDMARCの導入が必須とされ、企業はこれに迅速に対応していると考えられるという。
一方、初めてDMARCを導入した企業が40社となり、技術セクターを筆頭に電気機器・自動車・通信など10社が挙がっている。

DMARCポリシー設定に関する調査では、導入済みの2,825ドメインのうち、DMARCのポリシー設定で「none(何もしない)」は85.3%を占め、「quarantine(隔離)」・「reject(拒否)」は14.7%に留まっている。
またDMARC集約レポートの設定率は、91.3%で高いものの、DMARC失敗レポートの方は21.8%となっており、効果的な活用という観点では課題が残るとされている。

【参考記事】
TwoFive なりすましメール対策実態調査 2024年2月版