新潟 ホームページ制作「ZANMAI株式会社」ホームページ修正・更新代行サービス「サブスクメンテ」

スキルブログ

Webフォームの送信元メールアドレスに要注意

2023年10月、GoogleはGmail宛にメールを送信する際のガイドラインを強化することを発表しました。一部の未対応者に対するエラーレスポンスはすでに始まっており、2024年6月にはGmailユーザーへのメールが届かなくなるかもしれない、と波紋を呼んでいます。

1日5000通以上のメールを送信者がGmail宛てに送る場合、新ガイドラインに対応していないと、受信者に届かなくなってしまうということなのですが、どうも5000通以上に関係なく届かなくなるのが、ホームページについている「Webフォーム」の設定で送信元がGmailの場合です。

企業のホームページには「お問い合わせフォーム」や「資料請求」などがついています。ほとんど独自ドメインでサイトを開設してあり、そしてその独自ドメインのメールも使っていて、その独自ドメインメールが送信元になっていれば全く問題ないのですが、企業によっては普段はGmailを使っているから、問い合わせ内容はGmailに送って欲しいと言われ、送信元だけでなく送信元にGmailを使っている場合があります。

これは、独自ドメインのサーバーから「Gmail」のドメインメールが配信されるため、別のドメインから送信されているとなり、なりすましメールと捉えられてしまいます。
昔はこれでも全く問題はありませんでした。昔は「なりすましメール詐欺」が多くなかったからです。
ですが、最近は大企業を装った「なりすましメール詐欺」が横行しています。
「イオン」「〇〇銀行」「Amazon」「郵政省」などなど。
送信元のアドレスを見ても、本当のドメインを使っているため、ブラックリストに登録することもできません。
(登録すると、本当のメールも来なくなってしまいますので)

この「なりすましメール詐欺」を防止するために、サーバー側でいろいろ設定するようになってきました。

たとえば「SPF(Sender Policy Framework)」という設定は、「ドメイン」のDNSでメール送信を許可するサーバーを登録しておき、それ以外のサーバーから配信されたメールは「なりすまし」かもしれないと疑ってもいいとなっています。

先ほどのGmailで言うと、Webフォームの送信先・送信元のメールアドレスが「hogehoge@gmail.com」だとします。
「gmail.com」のドメインは、Googleが許可したサーバーがDNSに書き込まれていますので、それ以外のサーバーから送信元「hogehoge@gmail.com」で送信されると、許可されてないサーバーから送られているとなり「なりすましメール」と疑われます。

よって、そのメールを受け取る相手のメールサーバーは、これは「なりすましメール」かもと疑い、受信を拒否する場合もあります。
それを積極的にやりますよ!というのがGmailです。

今までは、それぞれのドメインを管理しているサーバーの設定で、それらのなりすましと思われるメールを受け取るかを決めていましたが、今後はGmailに右習えで、それぞれのサーバーでもSPF情報と異なるところから配信されたメールは受け取らないとする設定は、これから増えていくと思います。

なんせ、これだけなりすましメールが横行していると、世界中のサーバーでこのような設定をしていかないと、防げないからです。

私としては、なりすましメールの多さに嫌気がさしているので、今回のGmailのガイドライン強化の発表は大歓迎です。

Webフォームの「送信元」の落とし穴

Webフォームの「送信元」に、そのサイトで使っている独自ドメインと同じ独自ドメインメールを入れればいい。それはその通りです。
ただ、1つ落とし穴があります。それは、Webフォームのメール入力欄に「Gmail」を入れるユーザーの場合です。

「お問い合わせフォーム」の場合、そこに記入した人には「控えのメール」が送信されてきます。
これの送信元は、そのサイトの独自ドメインメールを入れていれば、そこから送られることになり問題はありません。

しかし、管理者の方にもその問い合わせ内容のメールは送られるわけですが、その送信元が入力したユーザーのメール、Gmailを使っていたら、そのGmailが送信元になってしまうメールフォームのプログラム、もしくはそのような設定になっている場合があります。

フォームの内容は、ユーザーが入れているので、送信元が「ユーザーのメール」というもの不思議ではありません。
ですが、これも「なりすましメール」となるわけです。

最近「お問い合わせフォーム」からの内容が、管理者に届かない場合がある。
お客様から催促をもらって、ようやく気づいた。調べてみたらお客様はGmailで入れていた。
というのは、このパターンが多いです。

メールフォームのプログラムの設定で、その場合の送信元もWebフォームで使っている独自ドメインと同じ、独自ドメインメールを設定することもできますので、設定できるものはそうしておいた方がいいです。
それができないメールフォームのプログラムをお使いの場合は、プログラムを改良するか、それができるものに変更するしかないですね。

SPF・DKIM・DMARCによるメール認証はしておきましょう

SPF/DKIM/DMARCによる送信ドメイン認証を導入するということは、これは「なりすましメール(Fromアドレスを詐称したメール)」ではないことを証明するための設定となります。

  • SPF(Sender Policy Framework):送信元のドメインが公式であることを示す設定
  • DKIM(Domain Keys Identified Mail):メールが改竄されていないことを証明する設定
  • DMARC(Domain-based Message Authentication, Reporting and Conformance):SPF/DKIMの設定が正しくされていないメールをどう処理するのか、送信元が指示する設定

これをしておけば、独自ドメインメールからGmailへメールが届かなくなるということはありません。

使用しているサーバーによっては、上記に対応していないというところもあります。
ただ、Gmail のガイドライン強化が発表されたことで、ほとんどのサーバーが対応を急ぎ、これらができるようになってきています。

これらの対策をしておかないと、2024年6月にはGmailユーザーへのメールが届かなくなるかもしれない、とういうことですので早めに対応しましょう。