19時37分15秒 [Web関連]
Web上に「お問い合わせフォーム」みたいなページを用意しているサイトがよくあります。企業サイトでは特に必要でしょうね。たいていは、入力されたメッセージをメールの形で担当者へ送信する仕組みになっているのではないかと思います。
さて、Googleは、GMailのスパム対策を2024年2月からすごく強化すると発表しました。
その結果、『Web上の問い合わせフォームから実際に送信される宛先メールアドレス』として『GMailを指定している』場合には、迷惑メールに分類されてしまう問題が起きるケースがありそうな気がしました。(迷惑メールに分類されるだけで、メール自体が届かなくなるわけではないとは思うのですが。少なくとも今は。)
※GMailヘルプ「メール送信者のガイドライン」:1日5千通という数字が目に付きますが、「すべての送信者に適用される条件」と「1日5千通以上送信する場合に適用される条件」との2種類がありますので、そこまで大量に送らない小規模ユーザにも影響はするようです。
※お問い合わせフォームからのメールの送信先が『自前の独自ドメインを使ったメールアドレス』になっている場合でも、それらを一括してGMail宛に転送しているなら同じ問題があります。
また、さらに「問い合わせた本人にも確認メールを自動送信する仕組み」を設けている場合で、問い合わせた本人がGMailのメールアドレスを使っている場合にも同じ問題が起きそうです。
以下はその話です。
を書きました。
なお、Googleがどのようにスパム対策を強化するのかについての話は、「Gmailの新スパム規制対応全部書く」の説明が分かりやすくて詳しいので、そちらを読んで頂くと良いと思います。
※Web上のお問い合わせフォームに限った話ではなく、独自ドメインのメールアドレスを使ってGMail宛にメールを送る可能性があるなら、(たとえ送信件数の少ない個人ユーザでも)若干の対処が必要です。概ね、SPFさえ設定してあれば問題ないと思っていて良いのではないかとは思いますけども。SPFの登録については、昨年の夏に「送信メールで偽物(なりすまし)警告を避けるには、DNSにSPFレコードを登録すると良い」という記事を書きましたのでそちらもご参照下さい。(DKIMでも良いですが、SPFの方が簡単でしょう。今回のアナウンスでは、SPFとDKIMの両方が必要になるのは1日5千通以上送信する大規模事業者だけだという制約になっていますが、もしかしたら将来的には誰でも両方必須にするよう制限が厳しくなるのではないかと予想している意見もちらりと目撃しました。)
※SPFと比べてDKIMは対応が難しそうだな……と思っていたのですが、さすがにGMail(Google)が言い出した影響は大きかったようで、例えばさくらインターネットやロリポップも、2024年1月末までにDKIMにも対応するとアナウンスしていました。(※さくらアナウンス、ロリポップアナウンス)
GMailのスパム対策強化によって問題が起きそうな「お問い合わせフォーム」は、以下のような条件で運用している場合です。
上記➋の仕様だと、受信した担当者は、直接メーラの「返信」ボタンを押せば問い合わせた人に返信できるので楽です。
ただ、この仕様だと(Web上のお問い合わせフォームからは)常時「なりすまし」のメールを送信することになります。(※それ自体が悪いわけではありませんが。)
GMailでは、このような「なりすまし」の形になっているメール(例えばSPFのメール認証が通らないメール)には、従来でも警告を表示はしていました。
が、今回発表されたスパム対策強化によって、それらを最初からスパムだと断定して迷惑メールに自動分類するようになるのでしょう。
特に、一番マズそうなパターンは、
だと思います。
この場合、「差出人が gmail.com ドメインであるメールを、GMailとは全く関係ないWebサーバから GMail 宛に送信する」……という動作になりますから、確実に迷惑メール扱いされるようになるでしょう。(^_^;;;
上記のような問題があるわけですが、思いついた対処方法は2つあります。
シンプルな解決策というか、身も蓋もない感じですけども。(^_^;)
GMailのセキュリティはあくまでも「GMailで受信する場合」の話ですから、お問い合わせフォームから送信されるメールの送信先をGMailにしなければ、何も問題はありません。
例えば、自前の独自ドメインを使ったメールアドレスなどで受信しているなら、それで問題ありません。
ただ、
……という運用形態の場合は、②→③のステップで同様の問題が発生しますので、解決にはなりませんから注意が必要です。
もしメインのメールアドレスとして GMail を使いたい場合は、「お問い合わせフォーム」用だけを別にして、以下のような2つのメールアドレスを併用する運用形態にしておく方が無難かもしれません。
要は、GMailに送らなければ何も関係ないわけですからね。(^_^;)
まず、お問い合わせフォーム(Webサーバ)から送信されるメールの差出人が詐称(なりすまし)状態になってしまうのがいけないわけですから、お問い合わせフォームから送信されるメールの差出人を contact-form@example.com みたいな感じで、自前の独自ドメインを使った専用メールアドレスに固定してしまえば良いでしょう。
実際に入力された顧客(=問い合わせ者)のメールアドレスは、メール本文に記載するだけに留めておきます。
その場合、お問い合わせ担当者は、
とはいえ、まあ、さして問題ではないでしょう。直接返信しないよう気をつければ良いだけですし。
もしかしたら、
……というような仕組みにすれば、「なりすまし」状態になるのを防ぎつつ、メーラの「返信」ボタンで返信可能な運用にできるかもしれませんが。(ただ、Reply-toならGMailのスパム対策的に大丈夫なのかどうかは試してみないと分かりませんけども。)
なお、その場合でも、送信に使われるサーバのIPアドレスがSPFに登録されていなければ、Webサーバ(お問い合わせフォーム)から送信されたメールが迷惑メールに分類される問題はありますので、何にしてもSPFの登録は必須でしょうね。
また、Google側のガイドラインを読むと「メールの送信に TLS 接続を使用」することも条件になっていますから、お問い合わせフォームからメールを送信するスクリプトがTLS接続でメールを送信できる仕様である必要もありそうです。
なので、その辺の対処がすぐには難しい場合は、先の対処方法1を取るのが手っ取り早いのではないかと思います。(^_^;)
レンタルサーバの場合は1つのサーバ(IPアドレス)を多数のユーザで共用するので、たまたま同じIPアドレスを使っているユーザから送信されるメールの迷惑メール率が高い場合には、何をどうやっても影響を受けてしまう(=自分のところから送信されるメールも迷惑メールに判定されてしまう)という問題もありそうですけども。そうなるとどうしようもないですよね……。サーバを変えるしか。(変えたからといって、変えた先が大丈夫とは限らないですけども。)
まあ、あくまでも「迷惑メール扱いになる」というだけで、届かなくなるわけではないのなら、『迷惑メールフォルダを常に確認するようにする』という対応方法もあるかも知れませんが。(笑)
※ただ、将来的にもっと対策が厳しくなることがあれば、迷惑メールフォルダにすら分類されずに、問答無用で消される、という可能性もあるのかもしれませんけども。
何にしても、2024年2月からGMailのスパム対策は強化されるわけですから、それまでに何らかの対処をしておく必要があります。
私が過去に仕事で関わってきたWebサイトでも、
……という運用になっているケースがちらほらありますので、向こう1ヶ月間くらいのうちに確認して(必要なら)何らかの対処をしないといけないな……と思ったのでした。
この日記へのコメントはお気軽に! コメント数:0件
コメント数: 0件
