迷惑メール対策について│東京のweb制作会社のシステム開発関連コラム

Columnコラム

システム

WEB制作 システム開発と迷惑メール対策について

WEB制作 システム開発と迷惑メール対策について

2015/04/16
このエントリーをはてなブックマークに追加

こんにちはサーバーエンジニアの橋本です。

最近携帯電話のメール宛に迷惑メールが多く届くようになりました。
「○○さんがあなたからの連絡を待っています・・・」というよくありがちな誘惑メールから、「1000万円を貴方に提供します・・・」など奇特な方からのメールまで(実際そんなことはありませんので注意しましょう)、中には、うなってしまうほどうまい文章で書かれたものもあり、この様なメールは誰が考えるんだろう、このスキルをもっと別のことに役立てればよいのにな、と思ったりしています。

1日に数件であれば特に気にもしないのですが、1日に何十件も来るようになると話は別です。
大事なメールが埋もれてしまいますし、削除するのにもすごく時間が掛かります。
しかし最近ではどこの携帯キャリアも迷惑メール対策をしているようで、しばらく経つと同じメールが来なくなるようになるなど、一昔前ほど多くのメールに悩まされることはなくなったと思います。
それだけ迷惑メールに対する対策が進んできているといえるのですが、WEBシステム開発の現場から見てみると、実はこれは大変なことになります。
もし、自身の作成したサーバー(システム)が迷惑メールを送信する不正なサーバーと認識されてしまったら、どこにもメールが送れなくなり、全く使えないシステムになってしまうのです。
つまり昨今はメールを送信するシステムを構築する際には必ず、迷惑メールを送信する不正なサーバーとレッテルを貼られないように対策を打つ必要があります。

今回は自身の作ったサイトが不正なサイトと判定されないための対策についての話になります。

spam15040701.png

不正サーバー判定

大量にメールを配信するシステムを開発している場合を除き、通常WEBシステムを開発している際はあまりメールについて意識していないと思います。
しかし、気付いたら自身の作ったサイト、システムが入っているサーバーが迷惑メールを配信する不正なサーバーと判定されてしまった経験をされた方もいるのではないでしょうか。では、どんな迷惑メールを送る不正なサーバーと判定されてしまうのでしょうか?

メールサーバーを管理している管理団体によって、いろいろと判定される仕組み(アルゴリズム)は異なりますが、
どの仕組みにも共通しているのは、「身元がはっきりしていないサーバー」から送られてくるメールは、迷惑メールと判定され、そのメールを送っているサーバは迷惑メールを送る不正なサーバーと判定されるということです。

ここで疑問になるのが、一般的にインターネット上にサービスを公開しているサーバーは身元がはっきりしているのに、何故身元がはっきりしないサーバーと判定されてしまうのか、ということです。
インターネットにサービスを公開するには固定のIPアドレスを取得し、自身の作ったサービスとその固定IPアドレスを結びつけて公開する必要がありますが、IPアドレスを取得する際は身元を明かした上で管理団体を通じて取得することになります。
また、IPアドレスと関連付けるドメインも取得する際に個人情報を入れる必要があります。
身元がはっきりしておらず、不正なことに利用していれば管理団体やサーバー会社より契約が取り消されるのが普通です。

そのような状況でありながら何故、身元をはっきりしていないと判定されてしまうのでしょうか。
それは迷惑メールを送っている人たちが身元を隠すために、他社のサーバーをのっとって大量にメールを送信していたり、メールに残すべき情報(ヘッダー情報といいます)を不正に改竄して、あたかも問題のない企業が配信しているように見せかけたりしてきたからになります。
きちんとした手続きをしてサーバー・ドメインを契約しインターネット上でサービスを展開しているだけでは十分に身元を明かしているとはいえず、場合によって、そのままでは不正なサーバー、サービスと判定されてしまうことがあるのです。

spam15040702.png

身元を明確にするには

では、自身の作ったサービスをインターネット上で迷惑メールを送るサーバーと判定されないためにはどのような対策をとればよいのでしょうか。

私は以下の3つの対策を必ず行うようにしています。

・自身のサーバーの不正リレー対策チェックを行う
・IPアドレスの逆引き設定を行う
・SPFレコードを設定する

この3つを行うことで不正なサーバーと判定されることを防ぐことができます。

■自身のサーバーの不正リレー対策チェックを行う

簡単に説明すると、メールサーバーの脆弱性をチェックし、のっとりを防ぐための対策になります。
外部から自身の構築したサーバーに対して直接攻撃してもらい、脆弱性があった場合は警告が表示されるので、その内容に応じた対応を行います。こういったチェックツールはほとんどが無償で提供されているため、自分の使いやすいサービスを探すのが良いと思います。

■ドメイン(IPアドレス)の逆引き設定を行う

ドメインの正引きとはドメインから関連しているIPアドレスを調べることです。
[www.aaa.bbb]→[111.111.111.111]
逆引きとは反対にIPアドレスから関連しているドメインを調べることです。
[111.111.111.111]→[www.aaa.bbb]
ドメインの正引き設定がされていないとWEBサイトを公開できないため、公開されているサイトは必ず設定されているのですが、逆引き設定は、設定していなくてもWEBサイトを公開できるため、意外と設定されていないサーバーが多くあります。しかし、この設定がされていないと、かなり高い確率で不正なサーバーと判定されます。

■SPFレコードを設定する

このSPFレコードとは「そのドメインを使ってメールを送信しているサーバーを定義したもの」になります。
ドメインの設定の一つになるのですが、昨今サーバーの身元を確認するために利用するサービスが増えてきたため、この設定を追加する必要がないと不正なサーバーと判定されることがあります。

以上3つの対策を上げましたが、上記は最低限の対策ですので、他にも専用のセキュリティ対策ソフトを導入したり、日頃から自身のサーバーが不正に利用されていないかアクセスログをチェックしたりすることをオススメします。spam15040703.png

まとめ

いかがでしたでしょうか。
今回はメールサービスについてまとめましたので、WEBシステムの構築に携わらない人にとっては少し難しい内容だったかもしれません。
しかし、インターネットでサービスを行うためにはメール配信は切っても切れないもののため、WEB制作の現場に関わる人であれば、概要は把握しておく必要はあると思います。
自身の作ったサービスを展開しているサーバーが不正なサーバーとレッテルを貼られないように、どのようなことをすればよいのか最低限のことは抑えておいたほうが良いと思います。

関連するサービス

ホームページ制作 システム開発

text_totop