AI要約
WordPressのメールスプーフィングとは、適切な認証なしにドメインから送信されたように見えるメールが発生し、配信失敗やセキュリティリスクを引き起こすことです。
連絡フォームが訪問者のメールアドレスを送信者として設定していたり、サーバーが認証されていないメールを送信していたり、単にドメインの正当な所有権を証明するDNSレコードが不足している可能性があります。
なりすましは、WordPressでは主に2つの方法で発生します。1つは、ご自身のメールが認証に失敗してブロックされたり、スパムとして分類されたりする場合です。もう1つは、攻撃者が保護されていないドメインを悪用して、ご自身から送信されたように見えるフィッシングメッセージを送信する場合です。どちらの問題も同じ認証設定で解決できますが、どちらの問題に対処しているかを把握することで、修正の優先順位を付けることができます。
このガイドでは、WP Mail SMTPを適切な認証で設定し、DNSレコードをSPF、DKIM、DMARCで構成し、お問い合わせフォームが送信者アドレスを処理する方法を修正して、メールが確実に届き、ドメインのなりすましが困難になるようにします。
WordPressでメールなりすまし問題を修正する方法
まず、WordPressでメールなりすましがどのように見えるか、そしてなぜ発生するのかを理解することから始めます。次に、なりすまし問題を解消し、メールを確実に配信するための最も信頼性の高い方法である、WP Mail SMTPを適切な認証で設定します。
ご自身が抱える問題がどれに当てはまるかわからない場合は、以下の表で症状とそれを修正する手順を対応させています。
| 表示されている症状 | 最も可能性の高い原因 | 開始場所 |
|---|---|---|
| スパムフォルダに届くメール | 送信メールに認証がない | ステップ3 + ステップ4 |
| お問い合わせフォームの送信が届かない | 訪問者のメールが差出人アドレスとして使用されている | ステップ4(送信元メールを強制) |
| 自分が送信していないメールのバウンスバック | ドメインが積極的になりすまされている | ステップ3(DMARC p=reject) |
| ドメインに関するフィッシングレポート | DMARCの強制がない | ステップ3(DMARCポリシー) |
| Gmailでの「未確認の送信者」警告 | SPFまたはDKIMの欠落 | ステップ2 + ステップ3 |
| WP Mail SMTPのテストで配信可能性に関する警告が表示される | 1つ以上のレコードが誤って設定されている | ステップ2 + ステップ6 |
ステップ1:WordPressのメールなりすましを理解する
WordPress におけるメールスプーフィングとは、サイトが正当に見えるメールを送信するものの、受信メールサーバーに対してその正当性を証明できない状態を指します。
これは、WordPress がデフォルトで PHP の基本的なメール機能を使用しており、適切な認証プロトコルなしにメッセージを送信するため発生します。
最も一般的なスプーフィングのシナリオは、お問い合わせフォームに関連するものです。誰かがお問い合わせフォームに入力すると、多くのプラグインは自動的に そのメールアドレスを「From」送信者として設定します。
もう 1 つの頻繁な問題は、WordPress がドメイン名を使用してシステムメール(パスワードリセット、ユーザー登録、注文確認など)を送信するものの、メッセージが実際にサーバーから送信されたことを証明する暗号署名がないことです。
Gmail や Outlook などのメールプロバイダーは、これらの認証されていないメッセージをますます拒否するようになっています。これは、メール到達率の理解に関するガイドで取り上げられている問題です。
根本的な原因は常に同じです。それは、メールに最新のメールセキュリティが必要とするデジタル署名と DNS レコードが欠けていることです。
修正は 2 つの部分からなります。送信を認証済み SMTP に移行し、DNS に適切なメール認証レコードを発行します。これらは両方とも以下のステップで説明します。
ステップ2:現在のメール認証ステータスを診断する
スプーフィングの問題を修正する前に、現在のメール設定で何が失敗しているのかを正確に理解する必要があります。まず、ドメインにすでにメール認証レコードが設定されているかどうかを確認することから始めます。
SPF レコードが存在するかどうかを確認するには、SPF レコード検索ツールを使用します。ドメイン名を入力して「SPF レコード検索」をクリックするだけです。以下のスクリーンショットのようにレコードが見つからない場合は、問題です。
次に、MXToolbox の DKIM 検索を使用して DKIM レコードを確認します。DKIM セレクターを知る必要があります。これはメールプロバイダーによって異なります。一般的なセレクターには、「default」、「google」、「selector1」、またはプロバイダー固有のセレクターが含まれます。
その後、MXToolbox の DMARC 検索で DMARC ポリシーを確認します。DMARC レコードの欠落は、メールスプーフィングの脆弱性の最も一般的な原因の 1 つです。
実際のメッセージでメール認証をテストする
メール認証ステータスをすばやく確認する別の方法は、Gmailにテストメールを送信し、メッセージヘッダーを確認することです(3つのドットをクリックし、次に元の表示をクリックします)。
ステップ3:メール認証レコード(DNSレベル)を設定する
メール認証はDNSレベルで行われ、受信メールサーバーがドメインからのメールをどのように検証するかを伝えるレコードを発行します。
なりすましを防ぐために3つのプロトコルが連携して機能します。SPFは送信サーバーを承認し、DKIMはデジタル署名を追加し、DMARCは認証失敗の処理ポリシーを設定します。それぞれの役割は次のとおりです。
| プロトコル | 機能 | 欠落した場合に何が問題になるか |
|---|---|---|
| SPF | ドメインからメールを送信できるサーバーをリストします | どのサーバーでもあなたになりすましてメールを送信できます |
| DKIM | 受信者がメッセージが改ざんされていないことを確認できるように、暗号署名を追加します | 受信者は、メッセージがあなたのサーバーから送信されたか、または破損せずに到着したかを確認できません |
| DMARC | SPFまたはDKIMが失敗した場合に受信サーバーに何を行うかを指示し、レポートを送信します | なりすましメールは引き続き配信され、誰があなたになりすまして送信しているかについての可視性がありません |
3つすべてが必要です。SPFだけではなりすましを停止できません。転送時に機能しなくなり、DKIMだけでは失敗をどう処理するかを誰も教えてくれません。DMARCがそれらをまとめます。
SPFレコードの設定
SPF(Sender Policy Framework)レコードは、ドメインに代わってメールを送信することを承認されたメールサーバーを指定します。SPFレコードがない場合、どのサーバーでもあなたのドメインからメールを送信していると主張できます。
ほとんどのWordPressサイトでは、複数の送信元を承認する必要があります。システムメール用のWebホスト、認証済み送信用のSMTPプロバイダー、およびマーケティングプラットフォームなどのサードパーティサービスです。
これにより、複数のSPFレコードが作成され、認証が壊れることがよくあります。鍵は、すべての正当な送信者を含める単一のSPFレコードを作成することです。
これはドメインのDNSのTXTレコードとして追加され、通常は v=spf1 で始まり、不正な送信者を拒否するために ~all で終わります。
DKIM認証の設定
DKIM(DomainKeys Identified Mail)は、メールに暗号署名を追加し、受信サーバーはDNSに保存されている公開鍵に対して検証できます。
SMTPプロバイダーがDKIMキーを生成しますが、結果のDNSレコードが単一のTXTエントリには長すぎる場合があります。
この場合、メールサーバーが期待する適切な形式を維持しながら、DKIMレコードを複数のDNSエントリに分割する必要があります。
DKIMレコードにはプロバイダーの公開鍵が含まれ、通常は selector1._domainkey.yourdomain.com のようなサブドメインのTXTレコードとして公開されます。
DMARCポリシーの実装
DMARC(Domain-based Message Authentication, Reporting, and Conformance)は、SPFとDKIMを連携させ、メールが認証に失敗した場合に受信サーバーに何を行うかを指示します。
これはドメインなりすましに対する主要な防御策です。DMARCレコードは、疑わしいメールを隔離したり、完全に拒否したり、単にアクションなしで監視したりできるポリシーを設定します。
配信に影響を与えることなくデータを収集するために、まず監視ポリシー(p=none)から始め、正当なメールが認証を通過することを確認したら、徐々にp=quarantine、最終的にp=rejectに移行します。より厳しいポリシーが実際のメールをブロックし始める前に、少なくとも2週間はp=noneに設定しておくことをお勧めします。複数の送信元がある場合や定期的なマーケティングキャンペーンを実行している場合は、さらに長く設定してください。DMARCの集計レポートは、厳格なポリシーが実際のメールをブロックし始める前に、承認し忘れたものをすべて表示してくれます。
ステップ4:WP Mail SMTPをインストールして設定する
WP Mail SMTPは、WordPressの信頼性の低いデフォルトのメール機能を、認証されたSMTP送信に置き換えます。これは、メールのなりすましを防ぐために不可欠です。
WP Mail SMTP Proをお持ちの場合は、アカウントにログインし、ダウンロードタブに移動して最新のプラグインファイルを入手してください。Proバージョンには、配信の問題を特定して解決するのに役立つ高度な機能とメールログが含まれています。
WordPressダッシュボードで、プラグイン » 新規追加 » プラグインをアップロードに移動し、zipファイルをアップロードして、今すぐインストールをクリックします。インストールが完了したら、すぐにプラグインを有効化してください。
セットアップウィザードは有効化後に自動的に表示され、なりすまし問題を修正するために不可欠です。この手順をスキップしないでください。
開始するをクリックして、なりすまし脆弱性を排除する設定プロセスを開始します。
速度と信頼性のために、SendLayer、SMTP.com、またはBrevoのようなトランザクションプロバイダーを選択することが多いです。これらは、基本的なWebメールよりもキューとレート制限をうまく処理します。
メールプロバイダーを選択したら、下のリンクをクリックしてドキュメントを開いてください。すべてのメーラーに対応した完全なガイドを用意しているため、WordPressサイトを簡単に接続できます:
画面の指示に従ってアカウントを接続し、メーラーが要求するフィールドを完了します。選択に応じて、APIキーを貼り付けたり、OAuthでサインインしたり、ドメインからの送信を承認したりします。
WP Mail SMTPの設定中、メインの差出人メール設定フィールドの下にある差出人メールを強制設定に遭遇します。
WordPressは通常、サイトの管理者のメールアドレスを送信メッセージに使用しますが、異なるプラグインがさまざまな送信者アドレスを使用しようとすると、認証の問題が発生します。
お問い合わせフォーム、ユーザー登録メール、eコマース通知は、それぞれ異なる差出人アドレスを使用しようとする場合があります。異なる差出人アドレスは認証を破り、なりすましフラグをトリガーします。
差出人メールを強制設定は、すべての送信メッセージを、差出人メールフィールドで設定した認証済みドメインアドレスを使用するように標準化します。
ステップ 5: BIMI 設定 (上級)
BIMI(Brand Indicators for Message Identification)は、高度ななりすまし防止プロトコルであり、メッセージが認証チェックを通過した場合に、受信者のメールクライアントに直接ブランドロゴを表示します。
この視覚的な確認は、既に設定した認証の上に、迅速な確認を追加します。受信者は正規のメッセージの横にあなたのロゴを見るため、ロゴのないなりすましメッセージがより明らかに偽物に見えます。
詳細な実装手順、ロゴの要件、DNSレコードのフォーマット、およびVerified Mark Certificateの設定については、BIMIとは何か、およびその実装方法に関する包括的なガイドをご覧ください。
ステップ 6: メール設定のテスト
すべてが設定されたら、WP Mail SMTPに組み込まれたテスト機能を使用して、メールの到達可能性を評価します。ツールに移動し、メールテストタブをクリックして開始します。
この画面で、テストメールの受信者アドレスをカスタマイズし、メール送信をクリックします。
すべて正しく設定されていれば、緑色のメッセージが表示されます。
WP Mail SMTPが問題を見つけた場合は、警告が表示されます。
警告の下に、改善するために必要な手順に関する情報が表示されます。
一般的なWP Mail SMTPのトラブルシューティングガイドでは、一般的なセットアップの問題に対する解決策を説明しています。
起動後の監視を継続する
一度のテストを通過することは、今日のレコードが有効であることを意味します。来週、新しいプラグインがメールを送信し始めた場合や、忘れていたマーケティングプラットフォームがDKIMの欠落でフラグ付けされた場合に何が起こるかはわかりません。設定後最初の1か月間は、週に2回チェックする価値のある無料ツールが2つあります。
DMARC集計レポートは、DMARCレコードのrua=タグに設定したアドレスにXMLファイルとして届きます。これらは、過去24時間にあなたのドメインになりすましてメールを送信したすべてのIPをリストし、それぞれのSPFおよびDKIMのパス/フェイル結果を示します。生のXMLは読みにくいですが、PostmarkのDMARC Digestやdmarcianのツールのような無料のパーサーは、レポートを読みやすい形式に変換します。認識できないIPから認証されたメールが届いている場合は、承認が必要な忘れられたサービスか、あなたのドメインを積極的になりすましている誰かです。
Google Postmaster Toolsは、Gmailがあなたの送信ドメインをどのように見ているかを示します—スパム率、IPレピュテーション、認証パス率、そしてバルク送信者の要件違反をフラグ付けする新しいコンプライアンスステータスダッシュボードです。Google Postmaster Toolsの設定に関するガイドでは、ドメインの検証とレポートの読み取りについて説明しています。
WordPressのメール詐称の修正方法に関するFAQ
WordPressのメール詐称の修正は、読者の皆様の間で関心の高いトピックです。それに関するよくある質問への回答を以下に示します。
WordPressにおけるメール詐称とは何ですか?
WordPressにおけるメール詐称とは、メールが自分のドメインから送信されたように見えても、適切な認証がなく、配信失敗やセキュリティリスクを引き起こす状況を指します。
これは、WordPressがデフォルトでPHPの基本的なメール関数を使用しており、メールの正当性を証明するSPF、DKIM、またはDMARC認証プロトコルなしでメッセージを送信するためです。
自分のWordPressメールが詐称されているかどうかはどうすればわかりますか?
以下の兆候を確認してください:
- お問い合わせフォームの送信が受信者に届かない
- メールが常にスパムフォルダに届く
- 認証失敗に関するバウンスバックメッセージを受信する
- メールプロバイダーが「未認証の送信者」という警告を表示する
- 自分が送信していないフィッシングレポートに自分のドメインが表示される
Gmailにメールを送信し、元のメッセージを表示でSPF、DKIM、DMARCのPASS/FAIL結果を確認してテストしてください。
自分のドメインが詐称されているかどうかはどうすればわかりますか?
最も明確な兆候は、自分が送信していないメールに対するバウンスバックメッセージや不在通知です。自分からの不審なメッセージに関する顧客からの報告も、もう一つの危険信号です。最終的な答えはDMARCの集計レポートから得られます。これは、自分のドメインの下でメールを送信しているすべてのIPをリストアップします。認識できないIPからの認証済みメールが見つかった場合、あなたのドメインは詐称されています。すべての正規の送信者が認証を通過していることを確認したら、DMARCポリシーをp=rejectに移動してください。
ハッキングされたメールと詐称されたメールの違いは何ですか?
ハッキングされたメールアカウントとは、攻撃者が通常は盗まれたパスワードを通じて、実際にあなたのメールボックスにアクセスできたことを意味します。送信済みフォルダに見慣れないメッセージや、行ったことのない場所からのログインアラートが表示されます。詐称には一切アクセスは必要ありません。攻撃者は自分のサーバーから送信するメッセージのFromアドレスを偽装するため、あなたのアカウントは決して触られることはありません。詐称されたメッセージが送信済みフォルダに表示されることはありません。認証レコード(SPF、DKIM、DMARC)は詐称を防ぎます。強力なパスワードと二要素認証はアカウントのハッキングを防ぎます。
WordPressのメール詐称の問題をどのように修正しますか?
WP Mail SMTPプラグインをインストールし、SendLayerのようなプロフェッショナルなSMTPプロバイダーで設定し、DNSにSPF、DKIM、DMARCレコードを設定し、「Fromメールを強制」設定を有効にして認証されたドメインアドレスを使用し、WP Mail SMTPのテスト機能を使用してメール認証をテストしてください。
WordPressのメール詐称の修正にはどのくらい時間がかかりますか?
プラグイン側は30分ほどかかります。WP Mail SMTPのインストール、メーラーの接続、およびFrom Emailの強制の有効化は、テスト送信を含めて通常30分以内に行われます。DNS側は時間がかかります。SPFおよびDKIMレコードは通常数時間で伝播しますが、最大48時間かかる場合があります。DMARCの実施はより長期的なプロセスです。p=noneから開始し、少なくとも2週間レポートを確認してからp=quarantineに移行し、さらに2週間後にp=rejectに移行します。設定不備からDMARCの完全実施までの全工程は、通常4〜6週間です。
SPFのみでメールのなりすましを停止できますか?
いいえ。SPFは、受信サーバーに対して、どのIPアドレスがドメインからメールを送信することを許可されているかを伝えるだけです。転送(誰かがあなたのメッセージを転送した場合、新しい送信サーバーはSPFに失敗します)には対応しておらず、チェックが失敗した場合に受信者に何をするかを指示しません。メッセージに暗号署名するにはDKIM、失敗時のポリシーを設定するにはDMARCが必要です。これら3つが連携して機能することで、なりすましが実際に防止されます。
WordPressの問い合わせフォームはメールのなりすましを引き起こす可能性がありますか?
はい、問い合わせフォームは、訪問者のメールアドレスを送信者のFromとして使用すると、なりすましを引き起こすことがよくあります。これにより、ウェブサイトがメッセージを転送したのではなく、訪問者が直接メールを送信したように見えます。
WP Mail SMTPでFrom Emailの強制を有効にし、代わりに訪問者のメールをReply-Toフィールドに設定することで、これを修正してください。
どのSMTPプロバイダーがWordPressのメールなりすましを防ぎますか?
SendGrid、Mailgun、Amazon SES、Postmark、SMTP.comなどのプロフェッショナルSMTPプロバイダーは、適切な認証、DKIM署名、および配信インフラストラクチャを提供することで、なりすましを防ぎます。
WordPressからの送信に必要な認証機能が不足している、個人のGmailアカウントのような基本的なウェブメールプロバイダーは避けてください。
共有ホスティングはWordPressのメールなりすまし問題を引き起こす可能性がありますか?
はい、共有ホスティングは、複数のウェブサイトが同じサーバーIPアドレスを共有しているため、SPF認証が困難になり、ほとんどの共有ホストはDKIMを設定しないか、適切なメール認証を提供しないため、なりすましを引き起こすことがよくあります。
ホスティングプロバイダーのメールサーバーに依存するのではなく、WP Mail SMTPと専用のメールサービスプロバイダーを使用してこれを修正してください。
次に、WordPressでメールの遅延を修正する方法を学びましょう
WordPressのメールが20分遅れて届きますか?あるいは、誰かがフォームを送信したり、チェックアウトを完了したりしてから数時間後に届くこともありますか?このガイドをチェックして、サイトでの遅延の実際の原因と、メールが即座に送信されるように修正する方法を学びましょう。
メールの修正準備はできましたか?今日から始めましょう WordPressの最高のSMTPプラグインで。メールを修正する時間がない場合は、追加購入で完全なWhite Glove Setupアシスタンスを利用でき、すべての有料プランで14日間の返金保証が付いています。
この記事がお役に立った場合は、WordPressのヒントやチュートリアルについては、FacebookとTwitterでフォローしてください。
