ロリポップからのお知らせ
【注意喚起】お問い合わせフォームの自動返信を悪用したスパム配信にご注意ください
「この度、ロリポップを利用されているWebサイトにて、設置されているお問い合わせフォームの自動返信機能が悪用され、第三者によりスパムメールの不正配信が行われているケースが多く確認されております。」
ようはフリープログラムの設置型メールフォームを使うと危険らしい。
危険な理由
1.スパムメールの踏み台
フォームにバリデーションが不十分だと、To:やBcc:ヘッダーを挿入されて大量のスパムを送信される「メールヘッダインジェクション」が可能になる。
サーバーがスパムの発信源と判断され、IPがブラックリスト入りすることも。
2.フォーム経由での攻撃(XSS、CSRFなど)
設置型のフォームでは、入力チェックやサニタイズが甘いことが多い。
スクリプトが埋め込まれたり、他サイトの操作をされる危険。
3.メール内容が暗号化されていない
通信がHTTP(SSLなし)の場合、フォーム送信内容が盗聴されるリスク。
個人情報を扱う場合は致命的。
4.古いスクリプトの放置
一度設置してそのまま使い続けていると、脆弱性が放置されたまま。
(特に更新されない無料配布スクリプトなど)
対応策
無料でダウンロードできるメールプログラムの使用を辞める。
自分もよく利用していたな・・(PHP 無料 メールフォーム、などで検索して)
そのかわり、外部でサービス提供しているものを利用する。
たぶんそのほうが断然安全だと思う。
①Googleフォーム
②Formzu(フォームズ)
たぶん初心者でも簡単に使えるのは②のフォームズだと思う。
自分もこれを使ってサイトに設置したが、簡単だった。
お客様目線でも、形が通常のメールフォームなので迷わない。
Googleフォームは見慣れないので、少し抵抗があるかも?
コメント