こんにちは。ubrosの上本です。
企業サイトの場合、多くのホームページに問い合わせフォームが置かれています。
以前、「問い合わせフォーム経由で毎週末、英語のスパムメールが送られてきてどうにかしたい」という問い合わせがありました。
実際に見てみると、Wordpressの問い合わせフォームプラグインをそのまま利用されていて、スパム対策は何もされていない状態でした。
今回は、そういうスパムメールについての対策をご紹介していきます。
結論は何かしらの認証を導入する
先に結論を書いておきますが、最も安価で手っ取り早い方法が問い合わせフォームに認証を設けることです。
私自身効果が高いと感じた認証方法は、Googleが提供する「reCAPTCHA」です。
reCAPTCHA
reCAPTCHA: Easy on Humans, Hard on Bots – Google
会員登録時や問い合わせなど利用者がフォームを送信する際によく見ますよね。
チェックボックスにチェックを入れるだけで、お手軽にフォームの送信者が人間であるかどうかを判断してくれます。
プログラムなどで機械的にフォームを送信するスパムの場合は、これ一つで対策ができます。
また、ホームページ以外にもAndroidアプリは正式サポート、iOSはサードパーティ製のライブラリにて導入が可能なようです。
アプリ開発でも使用できるので汎用性は高いのではないでしょうか。
もちろん、reCAPTCHA以外にも、文字認証や画像認証などいろんな認証方式があります。
ご利用中のホームページの様式に合わせて柔軟に変えていくと良いですね。
その他の対策について考えてみる
企業によっては、上記のようなサードパーティ製のライブラリが使用できない場合があるかと思います。
そんな特殊なケースの場合のスパム対策について考えてみましょう。
私がぱっと思いついた対策内容は下記のとおりです。
- 文字あるいは画像認証のシステムを自前でプログラムする
- フォームにワンタイムパスワードを設け2段階認証のような仕組みを作る
- フォームに入力されたメールアドレスのブラックリストフィルタリング
- IPフィルタリングで日本国外からのIPを遮断する
- 会員登録が完了したユーザーのみフォーム送信を許可する
色々と挙げましたがどれも手間がかかりますね。
IPフィルタリングなんてしたらグローバルなホームページには全く使えないですし、
会員登録済みのユーザーに限定させる方法は、一見さんお断りと言っているようなものなので、
そもそも新規顧客獲得のための問い合わせフォームでは使えません。
まとめ
ここまでスパム対策について考えてきましたが、ホームページ立ち上げ初期からスパム対策をする必要はないと考えています。
※あるに越したことはないですが・・・。
そもそも初期のホームページはアクセスが少ないですし、広告を打たなければ問い合わせ件数も微々たるものです。
運用していく中で、スパムメールが目立つようになってきた段階で導入することがベストな導入タイミングではないかなと思います。