#130 メールの送信元を非表示にする？

以下の記事（#129）で触れた、

以下 URL で紹介されていた「返信不可アドレスから送付」という手法について、扱い方について説明を追加しておきます。

GASでメール送信する際の各種オプション – TD SYNNEX BLOG

どんな機能？

前述の「返信不可アドレスから送付」という手法は、GAS のプログラムでメールを送信する際に、noReply というオプションを設定することで、送信元のメールアドレスが noreply@… という感じに設定されるというものです。

この機能は、Google Workspace で発行されたアカウントでのみ利用可能な機能で、個人の Google アカウントでは指定しても無視されてしまうようです。

この機能にはリスクもある

便利なように感じられるものの、冒頭の記事（#129）のようなプログラムの中で利用した場合に次のような条件にあてはまると、組織のメールアドレスを利用してメールを送信できてしまう点に注意が必要です。

1. 「メールアドレスを収集する」で「回答者からの入力」が選択されている

2. フォームに入力された内容を、そのままメールの本文に記載している
   また、自由記述の回答項目が存在している

「メールアドレスを収集する」で「回答者からの入力」が選択されている

「メールアドレスを収集する」の設定

「メールアドレスを収集する」の設定が「確認済み」に設定されている場合、そのメールアドレスは回答している人のものですが、「回答者からの入力」で手入力されたメールアドレスは、誰のメールアドレスなのかは確認できません。

フォームの回答を表示、管理する - Google ドキュメント エディタ ヘルプ

「確認済み」が設定されていれば、回答者自身のメールアドレスであることが確認できますが、Google アカウントでログインしていなければ回答できなくなってしまいます。

何が問題？

この設定を用いることで、noreply@… といった組織のドメインのメールアドレスからメールが送信されますが、前述の 2つの条件がそろった場合に、自分のメールアドレスを隠して、他人にメールが送信できてしまいます。
それも、組織のメールアドレスから送信されてしまうのです。

前述の 2つの条件のどちらかを満たしていなければいいのですが、両方を満たしていれば、第三者に匿名でメールが送信できるフォームとなってしまいます。これは、望ましい形ではないように感じます…

ちなみに、「返信不可アドレスから送付」を利用していない場合には、GAS のプログラムを実行しているユーザーのメールアドレスでメールが送信されてしまうので、より問題と言えるでしょう。

GAS だけの問題なのか？

この問題は、GAS のプログラムによって応答メールを送信した場合には限りません。そもそも、Google フォームで以下のように設定して、「回答のコピーを回答者に送信」が有効になっていた場合にも、同様に回答者以外にメールが送信できてしまいます。

「回答のコピーを回答者に送信」の設定次第で…

• 厳密には、Google フォームでこのようなメールが送信された場合には、フォームの所有者に同じメールが BCC: で送信されるようなので、悪用された場合には気付けるのかもしれません。

このようなフォームでの入力に対して、メールで返信を返すことは、丁寧な対応に見えて、適切ではない利用ができてしまう脆弱性を秘めているとも言えます。

管理側では確認できるか？

このような適切ではないフォーム（というかメール）の利用は、Google Workspace のしかるべき権限を有していれば、チェックが可能です。

管理コンソールで「レポート」→「メールログ検索」と選択して、下図のような画面が表示されたら、「件名」や「メッセージID」が確認できれば、せれらのメールを特定でき、組織内のどのユーザーによって送信されたものなのかが特定できます。

「レポート」→「メールログ検索」と選択

「メッセージID」をどのように確認するかは、以下のヘルプ記事でも説明されています。

詳細ヘッダーからメールの経路を確認する - Gmail ヘルプ

結論として…

Google フォームや、その回答にともなってメールを自動返信する場合は、

• 手入力されたメールアドレスが、回答している人のメールアドレスとは限らない

• メールを代理送信してしまうことのないように注意

という辺りに注意が必要です。

心配であれば、Google フォームの「確認メッセージ」で対応すると、回答者の手元には何も残りませんが、問題にはならないと思います。

「表示設定」→「確認メッセージ」