国内EC上位30社のDMARCの設定状況を調べてみた

日本には様々なECサイトがありますが、ECサイトはフィッシング詐欺で狙われやすい分野としても有名です。
そこで今回は国内のECサイトの売上上位30社のサービスのDMARCの設定状況を調べてみました。

調査の項目としては
・DMARCのポリシーが設定されているかどうか？
・RUAが設定されているかどうか？
の２点です

なお、上位30社は以下のURLの「第22回ネット販売白書」での順位を利用させていただいております。
また、一つの会社で複数のECサイトを運営している場合は、可能な限りDMARCが設定できているドメインを選んでおりますが、各社の全てのサービスを確認したわけではないので、一部確認漏れはあるかもしれないです。

【EC売上ランキング2022年版】1位はアマゾン、2位はヨドバシ、3位はZOZO | 通販新聞ダイジェスト

国内ECサイトトップ30のDMARCの設定状況

まず、DMARCのポリシーとしては、30社中19社(63.3%)が設定されていることがわかりました。
そして19社のポリシーを見ていくと、
- none：14社
- quarantine：1社
- reject：4社
とほとんどのポリシーがnoneであることがわかります。

また、RUAの設定状況としては、19社中16社が設定されておりましが、
一部でDMARCポリシーの設定をしているのに、RUAの設定ができていないドメインも確認されました。
RUAを設定し、DMARCレポートを解析しないと、本来は自社から送っている「正しい」メールなのに、設定不備により認証失敗したと判断され、ユーザーに届かない事態も発生しうるので、特にポリシーがquarantine以上の場合は注意が必要です。

各社の調査結果としては以下になります。

国内オンラインマーケットプレイス企業では？

ECに近いところでの「オンラインマーケットプレイス」の3社も調べてみました。
3社ともにDMARCはレコードはあり、RUAもありましたが、ポリシーの状況はそれぞれ違いました。

海外では？

アメリカの主要なECサイトも調べてみましが、
・DMARCレコードは設定されている
・ポリシーがquarantine以上のものが多い
・RUAも設定されている
ということが確認されました。

まとめ

国内のECサイト上位30社のDMARCの設定状況を調べてみましたが、30社中19社(63.3%)でまだまだ設定ができていないところも目立ちました。

DMARCを設定しquarantine以上の強いポリシーを設定することは、利用者をなりすましメールから守る事にもつながりますので、日本のECサイトでのDMARCの運用と強いポリシーの設定が望まれるところです。