(スパム対策)もうHTML形式でメールを読むのはやめませんか?

牧瀬ねう

みなさんはメールを読むとき、HTML形式をお使いでしょうか。
もしそうであれば、スパマーにカモだと思われてしまっているかもしれません。

そもそも、HTML形式のメールって何?

今や当たり前になっていますが、メールの本文に画像を挿入したりスタイルを適用したり、一般のWebページと同じようなリッチな見た目を実現するための仕組みです。

たとえば以下のようなメールです。

画像1

これはindiegogo社(クラウドファンディング会社)から送られてくるメルマガの一部です。
段組みやフォントなどのスタイルが適用されており、また画像も添付されています。

HTML形式以外では、昔ながらのテキスト形式のメールがあります。

画像2

これはETCマイレージサービスからのメールの一部です。
全て文字ベースであり、画像はおろかフォントサイズすらも設定できない、とてもシンプルなものです。


なぜHTML形式のメールがスパマーにとって得になるの?

HTML形式の方が見た目きれいだし読みやすいし楽しいじゃん!なんでダメなの?

その見た目のリッチさを実現する技術を悪用される可能性があるからです。


1. 見た目の詐称ができてしまう

HTML形式で記述ができるということは、見た目の詐称が容易です。

たとえば、メールのソース(生のHTMLコード)に下記のように記述されていた場合はどうでしょうか:

<p>下記URLから登録情報を確認してください!!!!<p>
<a href="https://malcious.example.com/">https://www.amazon.co.jp/gp/css/homepage.html</a>

表示上は下記のようになります:

画像4

見た目はAmazonの正規のURLなので問題ないように見えますが、リンク先は悪意あるサーバ(malcious.example.com)になっています。

万が一、リンク先でアカウント名などを入力してしまった場合、情報漏洩を起こしてしまいます。
これはフィッシングメールの常套手段です。

なお、これをテキスト形式で読むとたとえばこうなります。

画像5

本当のリンク先が見えるようになり、フィッシングであると気づきやすくなります。


2. メールアドレスの存在確認・開封確認ができてしまう

たとえば、例示したindiegogo社のメールのソース(生のHTMLコード)を見てみましょう:

画像3

メール本文に大きく映っている、自転車の写真を読み込む部分がここです。

ここで注意して頂きたいのが「外部サーバのリソースを読み込んでいる」ことです。
上記の例だと「c1.iggcdn.com」というサーバ上にある画像を読み込もうとしています。

たとえば同じようなHTMLメールで、読み込む画像のURLが以下のようであった場合、どうなるでしょうか:

https://malcious.example.com/some_great_image.jpg?yourmail@examlple.com

この画像が読み込まれた場合、画像が置いてあるサーバ(malcious.example.com)のログには下記のような情報が記録されます:

203.0.113.50 - - [12/May/2021:09:03:56 +0900] "GET /some_great_image.jpg?yourmail@examlple.com HTTP/1.1" 200 84231 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/90.0.4430.93 Safari/537.36" -

「どのIPアドレスから」「いつ」「どの画像が」「どんなパラメータ付きで」「どんなユーザエージェントで」読み込まれたか一目瞭然です。

例では分かりやすくパラメータに生のメールアドレスを埋め込みましたが、一意になる値であれば何でもよいです。

つまり

そのメールアドレスの存在確認ができるだけでなく、開かれたことが明確に分かる ≒ 迷惑フィルタをすり抜けており、今後も開いてくれる可能性が高い ユーザだと分かるため
「これはいいカモだ」と思われてしまい、どんどん迷惑メールが送られてくる結果になります。


番外編:メールが送達できなければエラーメールが返ってくるじゃん、帰ってこなかったものが届いたと思っていいのでは?

一般的に、メール送達に失敗した場合は、MAILER-DAEMON等から配送できなかった旨のメールが送られてきます。
しかし、スパマーから見たとき、そのエラーメールはさして意味をなしません。

理由1)送信元・リターンパスも詐称しているから
メール配送にエラーが発生した場合、メールサーバはメールの「From」「Return-Path」ヘッダーに指定されたメールアドレスに返送します。
スパマーは正規のメールに見せかけるためにそれらも偽装することが多いため、不達メールはスパマーに届きません。

理由2)送信メールが多すぎていちいち見てられないから
スパマーは一日に想像を絶する数のメールを送信しているはずです。となれば不達メールについても相当な数が返ってくるはずで、いちいち見てられないと想像できます。

理由3)エラーメールが返ってくるまで時間がかかる、あるいはまったく返さないサーバがあるから
メールをリレーする際、宛先メールサーバで何らかのエラーが発生した場合、しばらく時間をおいてからリトライしようとします。それでもダメなら諦めてエラーメールを返します。
メール送達プログラムやその設定によって諦める期間がさまざまですが、一週間以上頑張るものもあるようです。
また、スパムと判断されたメールについてはエラーメールを返さないメールサーバもあるようです。

メールをHTML形式で読むのはやめませんか?

見た目こそ地味になりますが、フィッシング詐欺に遭わないために、またスパマーにカモだと思われないために、メールをHTML形式で読むのをやめてみませんか?


代表的なメーラの設定方法のリンクを置いておきます:

Microsoft Outlook:テキスト形式で電子メール メッセージを閲覧する



あまり関係のないぼやき

世間の会社、「名刺交換した方にお送りしています」みたいなスパムメールもやめてくれませんか?迷惑以外何物でもないですマジで。

いいなと思ったら応援しよう!