GMO互联网集团旗下的GMO Brand Security株式会社(代表取缔役社长:中川 光昭),针对日本国内338所大学(国立85校、公立93校、私立160校)持有的网域,就其导入电子邮件伪冒对策技术『SPF』及『DMARC』的状况进行了调查。 调查结果显示,将SPF与DMARC皆设置为有效状态的「适当」比例,在338所大学中仅占4.1%。此比率与GMO Brand Security于2026年4月公布的国内Top50品牌的4.8%适当率相当,凸显了日本教育机构在邮件安全对策方面的延迟。处于非「适当」状态的网域,因SPF/DMARC未设置或设置不全而呈现脆弱状态,显然已处于容易被他人冒用大学名义发送伪冒邮件的「高风险」状态。 【调查结果摘要】 1. 国内338所大学的适当率为4.1%,国立、公立、私立大学均处于低水准。 适当设置的大学仅有14所,无论设立类别为何,水准都极低。 2. DMARC设置多为「仅监视」,无法有效阻挡威胁。 真正能阻挡邮件的「reject」政策仅1.5%,「quarantine」为2.7%,过半数采用无阻挡效果的「none(仅监视)」。这凸显了即使导入了DMARC,也未能转换至有效设置的现况。 3. 27所大学处于完全无防备状态,未设置SPF及DMARC。 有27所大学(8.0%)完全未设置SPF及DMARC,其网域极易被利用于针对学生、家长及合作伙伴的钓鱼诈骗,风险极高。 4. 确认设置有效的大学名单(截至2026年4月): 【国立】北海道大学、山形大学、东京大学、一桥大学、横滨国立大学 【公立】国际教养大学、横滨市立大学、大阪公立大学、长崎县立大学 【私立】学习院大学、芝浦工业大学、日本大学、玉川大学、同志社女子大学 【分析与建议】 本次调查明确地量化了日本大学在伪冒邮件对策上的严重延迟。虽然SPF的设置率高达91.4%,但具有实际阻挡效果的DMARC政策(reject/quarantine)设置率仅4.1%,显示形式上的导入与实际效果之间存在巨大落差。 大学的网域受到学生、家长、考生及研究机构的日常信赖与使用。若这些网域被恶意用于伪冒,不仅会导致个资外泄和金钱损失,更会从根本上损害大学的品牌与信誉。这已不仅是信息系统部门的问题,而是大学应承担社会责任的管理层级课题。 GMO Brand Security提出以下对策建议: 1. 尽速强化DMARC政策:建议采用「none」政策的178所大学,应尽快转移至「quarantine」或「reject」。 2. 对无防备网域立即采取行动:强烈建议尚未设置的27所大学,立即实施至少「SPF: v=spf1 -all」和「DMARC: p=quarantine」的设置。 3. 利用DMARC报告持续监控:创建一个利用DMARC报告持续监控和分析诈欺性使用的体系至关重要。 4. 导入BIMI以可视化信赖:在适当设置DMARC的前提下,取得BIMI的验证标记证书(VMC),可以向收件人可视化地展示邮件的合法性。 【调查背景】 近年来,冒充大学的钓鱼邮件及针对学生和教职员的目标式攻击邮件急剧增加。SPF虽然能检测未经授权的来源,但必须与DMARC结合才能有效「阻挡」伪冒邮件。本次调查旨在将日本大学的对策现状可视化,并阐明现存的挑战。