怪しくないメールを確認してみる話

HappyFabricではログインにメール送信を使っていることを前回お話ししました。今回は、そのメールを安心して受け取れるようにするための取り組みについてご紹介します。

あなたがHappyFabricからメールを受け取ったとします。それが本当にHappyFabricから送られたものかどうかをどうやって判断すればよいでしょうか。

まず最初に考えられるのは、差出人がHappyFabricかどうかを見ることです。例えば、HappyFabricのシステムから送られるメールは、必ず no-reply@happyfabric.me が差出人になります。サポートなどは別のメールアドレスになりますが、今回それは置いておいてください。

email-from-happyfabricこの差出人は、残念ながらインターネットのメールシステムではすぐに偽装できてしまいます。悪意を持った誰かあなたのメールアドレスに no-reply@happyfabric.me を騙ってメールを届けることが簡単にできます。だとすると、HappyFabricから来たメールといえども、本当かどうかいつも疑ってかからなければなりません。それでは受け取る方も大変です。

しかし、いくつかそういったことをやりにくくする仕組みがあります。

まずはメールの内容です。悪意のあるメールにはIDやパスワードを盗み取るためのURLを書いてあるものが多くありますが、no-reply@happyfabric.meから送られたメールの本文に記載されているクリック可能なURLは、必ずhappyfabric.me ドメイン (happyfabric.me だけでなく blog.happyfabric.me などのサブドメインと呼ばれるものが含まれることもあります)のみとなっています。(Facebook, Twitterなど、メールの末尾に記載されたURLは除きます) また、URLの最初の部分は必ずhttps:// で始まります。つまり、 http://arienai-name.dom/ というような happyfabric.me ドメインではなく https:// でもないものはHappyFabricのシステムから送られたメールではありません。メール本文の例は以下のようになります。

20151102164808

また、HappyFabricのシステムから送られるメールには添付ファイルがありません。添付ファイルがあった時点でそれは悪意を持ったメールなので捨てても大丈夫です。

ただ、これだけではメールを読む人にとって負担になりますし、サポートなど人が送るメールの場合は必ずしも上記のルールにあてはまらないことがあります。メールのシステムとして対応できることもいくつかあるため、HappyFabricではそれらの対策も合わせて行っています。

今のところ、HappyFabricを騙ったメールが届いたという話はありませんが、もし怪しいと思うメールが届いたら、hello<at>happyfabric.me までお知らせください。(<at>の部分を@に変えてお送りください)

Subscribe HappyFabric Bblog