"Shade検索"Wiki

迷惑メール対策/biglobeのsendmail仕様変更

2007年6月13日、biglobeのサーバー工事でsendmailコマンドの仕様が変更されました。これによって困った問題が起きてしまいました。メールヘッダの問題です。

Shadeプラグイン・スクリプト検索、Shade Web検索では、スパムメール対策のため、サイト管理人、掲示板への投稿者、検索サイトの登録者のメールアドレスは一切表示せず、メールはフォームメールから送信するようにしています。このフォームメールから送られるメールのヘッダは

From:フォームメール送信者のアドレス(記載ない場合はフォームメール受信者のアドレス)
To:フォームメール受信者のアドレス

としていました。これが sendmail仕様変更によって

From:当サイト管理人のアドレス
To:フォームメール受信者のアドレス

と変わってしまいました。
また、フォームメール送信者が自分のメールアドレスを記入した場合は、そのアドレスへ控えのメールを送れるようにしています。そのメールのヘッダは

From:フォームメール送信者のアドレス
To:フォームメール送信者のアドレス

From:もメール送信者のアドレスにしたのは、フォームメールが万一スパム業者などに利用されることを警戒してのことです。この控えメールのヘッダもsendmailの仕様変更により、

From:当サイト管理人のアドレス
To:フォームメール送信者のアドレス

となってしまいました。フォームメールの送信元はすべて当サイト管理人である私のメールアドレスになってしまったということです。CGIで書いたヘッダのFrom:部分が勝手に書き替えられてしまっているようです。
sendmailを使って送信元を偽ったスパムメールを送るのに使われることのないようにということかもしれませんが、こちらにとってはセキュリティ上非常にまずいことになります。不特定多数とまではいきませんが、だれでも利用できるフォームメールの使用者すべてに私のメールアドレスが知られてしまうということになるからです。
biglobeからは、サーバー工事前にsenmailの仕様変更についてのお知らせが来ていましたが、一部オプションが制限されるようになるという説明しかなく、具体的にこのような現象が起きるという説明はありませんでした。

そのせいか、メールアドレス変更以来1件もなかったスパムメールが1日数通来るようになりました。sendmail変更後、私あてに直接スパムメール業者からフォームメールが送られてきたことはありませんが、検索サイト登録者や掲示板投稿者へそうした業者からのメールが送られたかどうかは確認のしようがありません。その際に業者が自らのメールアドレスを記載して控えメールを受け取る設定にしていたら、送信元が私のメールアドレスのメールが送られることになります。この場合でも、検索サイト登録者や掲示板投稿者のメールアドレスが漏れる心配はありません。

biglobeに問い合わせても、具体的な説明は得られませんでした。フォームメールはすべて停止することも考えましたが、試しにこれまで使っていなかったsendmailの-fオプションを使ってみたところ、希望の送信元に変更することができました。

$sendmail = (sendmailパス);
$to = (管理人メールアドレス);
$from (メール送信者メールアドレス);
if (!open(MAIL,"| $sendmail -t")) { &error("メール送信に失敗しました。");}
print MAIL "X-Mailer: $head MAILER\n";
print MAIL "To: $to\n";
print MAIL "From: $from\n";
:
:
close(MAIL);

$sendmail = (sendmailパス);
$to = (管理人メールアドレス);
$from (メール送信者メールアドレス);
if (!open(MAIL,"| $sendmail -f $from -t")) { &error("メール送信に失敗しました。");}
print MAIL "X-Mailer: $head MAILER\n";
print MAIL "To: $to\n";
:
:
close(MAIL);

のように変更するということです。特にややこしい変更ではありませんが、すぐにはわかりませんでした。また、CGIが全く動作しなくなったということなら異常にすぐ気づくかもしれませんが、一応メールは送られているということになると、メールヘッダが変わったことにも気づきにくいと思います。biglobeからもう少し適切な説明があっても良かったと思います。

しかし、-fオプションで送信元を変更できるとなると、送信元を偽ったスパムメールの対策に効果があるのかなという疑問は残ります。個人的には、これもできないとなると、本当にフォームメールの使用をあきらめざるを得ないのですが・・・

通常、フォームメールはホームページ管理者へ送信者が限定されている場合がほとんどのようです。当サイトのように、掲示板への投稿者や、検索サイト登録者へフォームメールで送るという使い方をしているのを他で見たことがありません。実は何か問題があるのでしょうか。



2123


>>2010/01/25 01:27:00更新>>