札幌Web制作のシンクグラフィカ

問い合わせフォームへの攻撃急増　詐欺メールの“送信元”にという記事がITmediaに掲載されておりまして、メールフォームを踏み台にさせないための対策・機能を改めてご紹介します。比較的あたらしいバージョンでしか対応できないものもありますので、古いバージョンをご利用の方はこの機会に最新版へのアップデートをご検討ください。

Javascript無効時の制限

かなり大部分のスパム攻撃をブロックすることができます。Javascriptが正常に動作していない場合にメール送信を行わない設定です。
Javascript無効時の制限

連続送信防止機能

短い間隔で大量にメールを発信してくる攻撃に有効な機能です。前述のITmediaの記事で紹介されているような、いわゆる踏み台攻撃に利用される場合、短時間に極めて大量の送信を行われる事があります。本機能では同一IPアドレスからの送信を一定時間経過していない場合はブロックすることで、短時間で大量に送信される攻撃を軽減・緩和することができます。
連続送信防止機能

ワンタイムトークン機能

クロスサイトリクエストフォージェリ攻撃対策としてフォームを開く毎にワンタイムトークンを発行し、メール送信時にトークンの内容を照会する、というようなものです。これにより何がどーするかっつーと、攻撃者によってメールフォームの送信プログラムだけを利用される確率が極めて低くなる、ということになります。ボットによる攻撃をある程度防いでくれる確率を上げるための機能ですね。

ワンタイムトークン機能

URL送信の制限

この設定は場合によって利用を躊躇われることも少なくないと思いますが、httpやhttpsなどからはじまるURLの送信をすべてブロックします。これにより本当に大部分の迷惑メールや踏み台攻撃を未然に防ぐことが可能です。すくなくとも当サイトから迷惑メールを受けたことはいまのところありません。「URLをフォームに入力できないとちょっと不便・・・」と思われるかもしれませんが、ようはhttpという文字列が含まれていなければOKなので、何かしらURLのような文字列を入力してもらうことは可能です。これは運用の問題になりますが、スパマーにとってはhttpからはじまるURLがとても大事ですが、実際の運用はその限りではないため、うまく運用を行うことで大部分の迷惑メールは防ぐことが可能です。

URL送信の制限

ということで、前述の通りこのサイトからは迷惑メール的な攻撃を受けたことが無いため、いつも皆さんからのご報告で事後対応しているというのが現状です…。こんな迷惑メールきたぞー！対応してー！みたいな情報がございましたらどしどしご連絡ください。また、上記の各種設定に関してもご活用いただければ幸いです。

メールフォームプロではなくメールフォームCGIをご利用の場合、自動返信メールを無効に設定されるのが一番確実です。ただ攻撃が激増しているということなので近い将来バージョンアップできるとよいなーと考えています。