迷惑メール/スパム対策

メルマガ登録画面から不正に連続登録するスパムが起きた場合の対処方法はダブルオプトイン機能が有効です

この記事は約6分で読めます。

ダブルオプトイン機能を有効にするメールマガジン(いわゆるメルマガ)を運営していると、不正な連続登録を受けることがあります。攻撃者がハッキング先サイトを探すさいにも実施されるようです。
登録されるメールアドレスは存在しないドメインやアドレスだったり、不正に取得した他人のアドレスだったりします。
このようなアタックを受けたら、メルマガ運営者はシステム側でなんらかの防御対策をしたほうがいいです。

ダブルオプトイン機能

ACmailerで「ダブルオプトイン機能」を有効にしました

運用しているACmailerで設定できる対策を検討した結果、「ダブルオプトイン機能」が最善のようなので設定しました。

ダブルオプトイン ダブルオプトイン機能を使う

削除時の動作 削除
※空メール機能を使う場合、空メールでの削除処理も同様の処理が適用されます
確認画面を表示する
※空メール削除には適用されません。

再登録拒否設定 再登録拒否機能を利用する 拒否期間
4320時間  ※1~4320(6ヶ月)、0=無期限
※この機能を利用するとメールアドレス削除(解除)後、一定期間再登録できなくなります。

ダブルオプトインとは

ダブルオプトインとは、登録完了までに確認のもう1ステップがある二段階認証のような登録のしくみです。登録したいメールアドレスを入力した後に仮登録完了の画面が表示され、登録しようとしたメールアドレスに確認メールが届きます。その届いたメール内にあるURLをクリックしないとメルマガ登録が完了になりません。

このしくみだと機械的に登録しようとするスパムサイトからの連続登録はかなり困難になります。

上記は、どもどもカフェ専用メルマガの仮登録完了の画面です。

なお、ACmailerについては
https://www.acmailer.jp/

にて機能紹介がされています。サーバーに登録するCGI型で無料でも運営可能なメルマガシステムです。

メルマガ運営のセキュリティ対策

今回は、「ダブルオプトイン機能」を選択しましたが、他にも対策案はいくつかあります。

スパム登録を抑止する対策案

・登録のハードルを上げる
氏名の入力を日本語で必須にする
登録完了の前に確認画面を入れる

・リキャプチャ(reCAPTCHA)認証を使う
Googleの迷惑投稿抑止のしくみでとても有効ですが、メルマガシステムによっては使えません(ACmailerでは設定不可です)

・特定のIPアドレスからの登録を禁止する
スパム行為をする相手が特定できる場合は、そのIPアドレスを登録禁止にすることができます

ただし、これらの方法はメルマガのシステムによってはできない場合もあります。

OpenAIのChatGPTにメルマガのスパム対策を聞いてみました

メルマガのスパム対策についてGoogle検索で調べてもなかなか要領よく最善の回答がみつかりませんでした。

こういうときはChatGPTにたずねてみます。

質問
メルマガ運営をしていますが、突然多数のメルマガ登録が増えました。これはなにかあやしい気配がしています。なにかのスパム手法ですか?

回答

おそらく、これはスパム手法の一種である「自動登録」か「サイバー攻撃」の可能性があります。自動登録を行うソフトウェアがあなたのサイトから自動的にメールアドレスを収集し、登録させます。また、サイバー攻撃によって、他人のメールアドレスが悪用されている可能性もあります。メルマガ運営に際しては、常にセキュリティを強化して、不正な登録を防ぐことが大切です。

質問
多数登録されたメールアドレスはすべて別でした。これがスパムだとするとどのような抑止対策をすればいいですか。

回答

以下のような対策を考慮することができます。

メルマガ登録フォームにキャプチャを追加する: 画像またはテキストでの認証を要求することで、自動登録ソフトウェアを防止することができます。

IPアドレスやドメイン名のブロックリストを作成する: 過去にスパム行為があったIPアドレスやドメイン名をリストアップしてブロックすることができます。

受信者の確認手続きを行う: 登録されたメールアドレスの所有者が手動で確認することを要求することで、不正な登録を防止することができます。

メールマーケティングプラットフォームの利用: メールマーケティングプラットフォームはスパムフィルタリングツールや、登録手続きを強化する機能を備えていることが多いので、これらのツールを利用することができます。

これらの対策を適用することで、スパムの発生を抑制することができます。

質問
メルマガにメールアドレスを登録するというスパム攻撃者は、メルマガ登録の後にどのような攻撃をしてくる可能性がありますか?

回答

スパマーがメルマガ登録したメールアドレスを利用して攻撃することがあります。以下は、一般的なスパム攻撃の種類です。

フィッシング詐欺: 偽のサイトや偽のアカウントを作成して、ユーザーの情報を盗むことを目的とした詐欺です。

マルウェア: メールを通じてマルウェアをダウンロードさせ、コンピューターやデバイスを乗っ取ったり、個人情報を盗むことを目的とします。

広告スパム: 広告やマーケティング用のメッセージを大量に送信します。

フォローアップスパム: 前回のメールからの続きとして、関連のある(または関連のない)メッセージを送信します。

これらの攻撃を防止するために、メールマーケティングプラットフォームを使用して、常に高いセキュリティとアンチスパムツールを備えていることが大切です。また、受信者が望まないメールを送信しないように、自分のメールマーケティングポリシーを明確にすることも大切です。

質問
ACmailerというメール配信プログラム(サーバーインストール型のCGI)を利用していますが、今後注意すべき運用上の問題点があればおしえてください。

回答

ACmailerというメール配信プログラムを使用する際に、以下のような運用上の問題点がありますので、注意する必要があります。

セキュリティリスク: ACmailerはサーバー上にインストールする必要があります。そのため、サーバーへの不正アクセスや脆弱性に対するリスクがあります。

スパムフィルタリング: ACmailerにはスパムフィルタリングの機能が搭載されていない場合があります。そのため、スパムメールが配信される可能性があります。

メールマーケティングポリシー: ACmailerを使用する際には、メールマーケティングポリシー(受信者のプライバシーなど)を明確にすることが大切です。受信者が望まないメールを送信すると、配信先のユーザーからの信頼を失い、ブロックされる可能性があります。

配信の失敗: ACmailerはサーバー上にインストールする必要があります。そのため、サーバーのトラブルや混雑などの問題がある場合、配信に失敗する可能性があります。

なんだかもっともらしい回答を得ることができました。

ChatGPTの回答には嘘くさいというか間違っていることもありますが、なかには有用なことも示唆してくれます。そのことも踏まえた上で対策案や考えを整理するときに、一回は使ってもいいのかなと思います。

ChatGPTについては
https://www.dm2.co.jp/blog/16847

にて紹介していますので興味ある方は参考にどうぞ。