[WordPress]Contactform7などメールフォームの自動返信機能を悪用した迷惑メールが多発しています

 この記事は最終更新から1年以上経過しています。内容が古くなっている可能性があります。

Contactform7などのメールフォームの自動返信機能を悪用した迷惑メールが多発しています。

多くのサイトのメールフォームでは、お客様に送信内容の控えのメールが届くように設定されているかと思いますが、このパターンのスパムメールでは、悪意ある第三者がメッセージ欄にスパムの内容を入力し、更に「お客様のメールアドレス」を入力する場所に第三者のメールアドレスを入力してフォームから送信することで、控えとして届くはずのメールがスパムメールになってしまうというものです。

この迷惑メールの厄介な点は、たまたまスパム送信者に選ばれてしまったメールフォームが「スパムの送信元」という扱いになってしまうため、そのフォームを設置しているサイトのドメインがブラックリストに登録されてしまったり、サーバー側からの措置としてメールフォームを強制的に停止されてしまうことがあります。

実際、弊社がお手伝いさせていただいているお客様のサイトでも同様の事象があり、さくらインターネット(さくらのレンタルサーバー)を利用しているサイトでは、サーバーからの警告によってメールフォームを停止されてしまうといった事例が複数ありました。

以前から各レンタルサーバー会社などから注意喚起されていましたが、ここ数ヶ月で再び増加している傾向が見られます。

これまでに確認できた事例ではContactform7を導入しているサイトが標的になっていましたが、Contactform7は利用しているサイトが多いため相対的に被害も多いというだけで、自動返信メールの悪用という性質上、Contactform7に限らずメールフォームを設置している全てのサイトが被害を受ける可能性があります。ご自身のサイトが加害者にならないために、事前の対策をお勧めします。

悪用される前にぜひ対策を!
サーバーからの警告が届いた場合は直ちに対策を!

さくらインターネットなどでは、自動返信機能を停止することを推奨していますが、サイトの利用者に不便を強いることになってしまうため、できれば避けたいところ。

一般的な対策としてはスパム対策のプラグインを導入することや「reCAPTCHA (v3) 」を導入することなどが考えられますが、ご利用のWordPressのバージョンや環境などで導入が難しい場合もあります。

そのような場合は、ContactForm7ならばカスタムバリデーションを利用して「条件に合致しないものは送信させない」ようにカスタマイズするのが有効です。

制限の例としては「電話番号の形式」を守らないと送信できないようにしたり、「日本語を含まないメッセージの送信を許可しない」ようにするといったものが考えられます。

多くのスパムメールは外部サイトに誘導することが目的であることから、「URLを含むものは送信を許可しない」といった条件を追加することで、自社サイトのメールフォームが悪用されてスパムメールが送信される可能性をぐっと減らす事ができます。

ContactForm7 をお使いで、「自動返信機能を悪用した迷惑メール」にお困りの方はどうぞお気軽にご相談ください。
状況に合わせて適切な対策を御見積させていただきます。

コーディングの代行、デザインを含めたオーダーメイドでのサイト制作、完成後の運用・保守を行うWebメンテナンスプランもご用意しておりますので、お悩みに合わせてお気軽にお問い合わせください。

03-5950-0525平日10:00〜19:00