問い合わせフォームからたくさんの迷惑メールが届いたら、自動返信メールを悪用したスパムかも

公開日:

Webサイトに設置された問い合わせフォームから非常に大量の迷惑メールが届くことがあります。

脆弱性を探るためのアクションである場合(例:【sample@email.tst】WordPressサイトで、問い合わせフォーム(Contact form 7)から大量のスパムメールが届いたら)もあるのですが、実は問い合わせフォームを悪用してスパムメールを配信しているケースもあります。

自動返信メールを悪用するスパムメール

問い合わせフォームの多くは、自動返信メールで問い合わせ内容をユーザーにも送信しています。

例えばユーザーのメールアドレスがexample@example.comなら、ユーザーは問い合わせフォームのメールアドレス欄にexample@example.comを入力します。

そして問い合わせ内容を送信すると、example@example.comへ自動返信メールで問い合わせ内容が届きます。

送信元のメールアドレスはWebサイト運営者のメールアドレスになります。

これ自体はよくある仕組みですが、もし悪意のあるユーザーが、example1@example.com とメールアドレス欄に入れたらどうなるでしょうか?

自動返信メールは、example@example.comではなく、example1@example.com へと届くことになります。

この仕組みを悪用し、メールアドレス欄に送りたい先のメールアドレスを入力して自動返信メールを使ってスパムメッセージを送るわけです。

これを機械的に実行するため、Webサイトの運営者側には問い合わせフォームから英語やスペイン語のスパムメッセージが入ったたくさんのメールが届くことになります。

自社ドメインやサーバーIPがスパムのブラックリスト入りすることも

「たくさんの迷惑メールが届く」というだけであれば、まだ被害は少ないと言えます。

しかし、問題は自社ドメインやサーバーIPがスパムのブラックリスト入りすることがあるという点です。

スパムメールを配信する第三者は、それぞれのメールアドレスが生きているか死んでいるかを完全には把握していません。

リストとしてまとめて手に入れている場合が多いからです。

すると、既に存在しないメールアドレスにもメールを送ることになります。

その中には、例えばGmailやYahoo!メールのようなフリーのメールアドレスも多くあるでしょう。

すると、GmailやYahoo!メールのサーバーに存在しないアカウントで、たくさんのメールが届くことになります。

結果として、それが原因でWebサイト運営者のメールアドレス、ドメイン、もしくは運用されているメールサーバーがスパム配信元と認識され、ブラックリスト入りしてしまうことがあるわけです。

このように、自分たちは一切スパムメールを配信していなくても、外部からのこうしたやり方でブラックリスト入りしてしまうリスクがあり、こうなると例えば通常の業務でメールを送っても相手側のスパムフィルターで引っかかってメールが到達しなかったりすることも起こり得ます。

reCAPTCHAを設定して防御しよう

ユーザー数が1秒間に1000回(1ヶ月に100万回)未満のサイトであれば、reCAPTCHAの利用は無料です。

利用にはGoogleのアカウントを使って登録をする必要があります。

サイトに設置すると、サイト内でボットによると思われる不審な動きを検知し、reCAPTCHAを登録しているGoogleアカウントへ通知がされます。

お問い合わせフォームの定番プラグインである、Contact Form 7を使っている場合、reCAPTCHAを登録し、CF7のインテグレーションモジュールに設定することで簡単に設定ができ、お問い合わせフォームを悪用したスパムメールを遮断することができます。

reCAPTCHAの設定方法(WordPress+Contact Form 7の場合)

まずGoogleアカウントにログインします。

そのあと、以下のURL(GoogleのreCAPTCHA公式ページ)へ。

https://www.google.com/recaptcha/about/

ここで登録を行います。

赤枠内、v3 Admin Console をクリックします。

ラベルは自分が分かりやすいものであればなんでも構いません。

このケースでは単純にドメイン名を記入しています。

次に、reCAPTCHAタイプはv3を選択。

ドメイン名は設定する対象のwebサイトのドメインです。

この場合、https://等はいりません。

「reCAPTCHA利用条件に同意」にチェックを付けて送信ボタンを押します。

すると、このようにサイトキーとシークレットキーが表示されます。

この画面を開いておくか、あるいはメモしておくかしてWordPress側の設定に移ります。

WordPress側(Contact From 7)の設定

ダッシュボードのログインしたのち、お問い合わせ→インテグレーションをクリックします。

reCAPTCHAの「インテグレーションのセットアップ」をクリックすると、

先程のサイトキーとシークレットキーを入力する欄があります。

入力後、変更を保存のボタンを押せば完了です。

関連記事

カテゴリ:,
タグ:,,,,

関連記事

スパム

RU: Transaction notice という、ロシア・ウクライナの戦争を利用した海外送金詐欺メール

スパム フィッシング

Your card temporarily suspended.という三井住友カードを騙るフィッシング詐欺メールを解析する

スパム フィッシング

Amazonアカウントが異常で、ログイン制限があります。というメールがフィッシング詐欺か検証する

スパム フィッシング

LINEにご登録のアカウント(名前、パスワード、その他個人情報)の確認というフィッシング詐欺メールを解析

スパム フィッシング

「ドメイン名 expiration」という、ドメインを取るとやってくる詐欺メール