DMARC forensic 対応縮小の動向 2026
目次
この記事でわかること
- DMARC forensic (RUF) レポートの歴史と縮小の背景
- 2026 年時点で対応している(と公表されている)主要プロバイダの傾向
- forensic がなくても運用できる 3 つの代替手段
forensic レポートとは何だったか
DMARC(ディーマーク)には集計レポート rua と失敗レポート ruf(Forensic / Failure Report)の 2 種類があります。ruf は SPF または DKIM が fail した個別メールについて、ヘッダや本文の一部を「リアルタイムに」送信元ドメインへ転送する仕組みでした。導入当初はなりすまし攻撃の現物を即時把握できる強力な手段として期待されました。RUF の詳細仕様は DMARC ruf と fo タグの実用ガイド に整理しています。
しかし 2026 年現在、ruf を実際に送ってくる受信プロバイダは少数派になりました。設定しても「ほぼ届かない」のが標準的な状態です。本記事では業界動向としてその背景と現状をまとめます。
縮小の 3 つの理由
理由 1: プライバシー懸念とメール内容の外部転送
ruf は AFRF(RFC 5965)形式で、元メールのヘッダ全体と本文の一部を含みます。送信者・受信者・件名・Message-ID は個人情報に該当しうる情報で、これを外部ドメインへ転送する設計自体が現代のプライバシー基準に合わなくなってきました。
理由 2: GDPR と国内個人情報保護法の抵触リスク
2018 年の GDPR 施行以降、欧州系プロバイダは「受信者の同意なくメール内容を第三者ドメインへ転送する」運用の停止を進めました。日本でも改正個人情報保護法の議論と並行し、大手プロバイダは順次 ruf 送信を縮小しています。
理由 3: 送信元 SaaS / ISP 側の運用負担
ruf はメールが fail するたびに発行される性質上、生成・配信の負荷が高く、誤送信や情報漏えいのリスク管理コストも大きくなります。費用対効果の観点から「やめる」判断をするプロバイダが増えました。
2026 年時点の対応傾向
以下は 2026 年時点の公開情報・実運用観測に基づく傾向です。プロバイダ側の方針変更で状況は変動するため、最新情報は各社公式ドキュメントを必ず参照してください。
| プロバイダ | RUF 送信の傾向 | 補足 |
|---|---|---|
| Gmail / Google Workspace | ほぼ送信せず | 早期から方針として未対応 |
| Microsoft 365 / Outlook.com | ほぼ送信せず | 2019 年前後に停止が広がった |
| Yahoo!(日本・米国) | ほぼ送信せず | GDPR 期に縮小 |
| docomo / au / SoftBank | ほぼ送信せず | そもそも実装されていない領域 |
| Comcast | 一部送信、縮小傾向 | 過去は主要送信元の 1 つ |
| 商用セキュリティゲートウェイ | 製品により送信あり | Proofpoint 等の一部製品 |
「設定しても届かない」のは設定不備ではなく、上記の通り受信側のポリシーによるものです。rua が届かない場合は別の原因(DNS タグの記述ミス、レポート送信者の問い合わせ不達、メールフィルタ)が考えられるため、切り分けの順番を間違えないでください。rua が届かないケースは DMARC レポートが届かない原因 に整理しています。
forensic に頼らない代替 3 手段
ruf が届かない前提で、なりすまし調査と運用改善は次の 3 つの組み合わせでカバーできます。
代替 1: rua + 解析ツール(中小企業の現実解)
集計レポートの XML を SaaS で可視化する方法です。月額 0 円〜数千円で導入でき、送信元 IP の傾向や fail の集中箇所が 1 画面でわかります。中小企業の運用ではこれだけで十分カバーできるケースが大半です。読み解き方は DMARC 集計レポート(rua)の読み方 を参照。
代替 2: parsedmarc + ELK の自社運用
OSS の parsedmarc で XML を取り込み、Elasticsearch + Kibana で可視化する構成です。月数千円のサーバ費と半日〜1 日の構築工数で、生データを自社内に保持できます。詳細は parsedmarc セルフホスト を参照。
代替 3: 商用 DMARC 分析 SaaS
中堅以上の組織や規制業向けには、商用 SaaS で監査ログとサポートを含めて運用する選択肢があります。月額は数万円から十数万円。製品の比較観点は DMARC レポート解析ツールの比較 に整理しています。
rua と ruf の役割整理
「結局 ruf は書く意味があるのか?」という質問が多いので整理します。
- 書いても害はない(
fo=1推奨) - ただし届く前提で運用しない
- 攻撃の生データが必要なときは、商用 SaaS や脅威インテリ製品で別途確保
rua と ruf の機能差そのものは rua と ruf の比較 に整理してあります。
よくある質問
Q. forensic が届かない場合、なりすまし攻撃は検知できない?
検知自体は rua でも十分可能です。fail の集中する送信元 IP・Header From の組み合わせで攻撃の存在は捉えられます。
Q. プロバイダ側が方針を変えて再開する可能性は?
プライバシー規制の方向性を考えると、再開の可能性は低いと見られています。今後も「rua 中心」を前提に運用設計するのが安全です。
Q. fo タグはどれを指定すべき?
届く可能性を最大化するなら fo=1(SPF または DKIM のいずれかが fail で生成)が現実的です。デフォルトの fo=0 は条件が厳しすぎます。
まとめ
- forensic (RUF) はプライバシー規制と運用負担で対応プロバイダが縮小し続けている
- 2026 年時点で主要受信プロバイダはほぼ送信せず、設定しても届かないのが標準状態
- 代替は
rua集計レポートの継続観測が現実解、必要に応じて parsedmarc / 商用 SaaS で補強
まずは現状を把握しましょう
自社のドメインがどのような状態にあるか、無料の ドメイン診断 でチェックできます。 DMARC や rua / ruf の運用判断に迷う場合は お問い合わせ からお気軽にご相談ください。 専門家がわかりやすくサポートいたします。