Q&A
いくつか気になりました。
・フォームからのメールなのか、直接お使いのアドレスに送られてきているか
・サーバに送信されたログは存在するのか
・フォームを解析するとアドレスが載っている
・送信時に何らかの方法で宛先がわかるようになってるか
お問い合わせを使ったスパムが増え、困っています。
何かアドバイスなどいただければ幸いです。。
#状況説明
・フレームワークSymfony(v1.4)で作ったシステム
・お問い合わせフォームを送信→登録メールアドレスにメールが届く
・Google reCAPTCHA v3 を入れている
・reCAPTCHA実装により、多くのスパムはなくなったので機能はしている
・ある時期から特定パターンのスパムメールが来ており、困っている
#スパムの形式
名前:
例)PNnMsgRpeqQTesaC
意味不明なアルファベットの羅列。半角英字。毎回異なる。
内容:
例)YuLQVwypKSMeXsaqa
名前と同様。毎回異なる。
メールアドレス:
例)
milsniocgidlrl@gmail.com
wislmfsafdre@bol.com.br
jfgsigpas@yahoo.com
毎回異なる。
その他特徴:
名前や内容に使われる文字は8~20字(現状)。
送信元のIPアドレスは毎回異なる
#実施した対策
・JSで「内容」の部分が半角英字のみである場合に送信ボタンが押せないようにした
フロント側の処理
JQuery
1$(function() { 2 $("textarea[name='inquiry']").change(function() { 3 var inquiry = $("textarea[name='inquiry']").val(); 4 if (!inquiry.match(/[^A-Za-z0-9s.-]+/)) { 5 if (inquiry !== '') { 6 $('input.button_submit').prop('disabled', true); 7 alert('内容には全角文字が必須です。'); 8 } 9 } else { 10 if (inquiry !== '') { 11 $('input.button_submit').prop('disabled', false); 12 } 13 } 14 }); 15});
HTML
1<!-- // Google reCAPTCHA v3 --> 2<?php if(/*サイトキーの登録があるとき*/): ?> 3<script> 4grecaptcha.ready(function() { 5 grecaptcha.execute('<?php echo $google_recaptcha_site_key ?>', {action: 'inquiry'}).then(function(token) { 6 var recaptchaResponse = document.getElementById('recaptchaResponse'); 7 recaptchaResponse.value = token; 8 }); 9}); 10</script> 11<?php endif; ?> 12<!-- // Google reCAPTCHA v3 --> 13<form action="save_inquiry" id="form_input" name="form_input" method="post"> 14 <input type="hidden" name="csrf_token" id="csrf_token" value="(csrf_token)"> 15 <table> 16 <tbody> 17 <tr> 18 <th>内容</th> 19 <td> 20 ご質問・ご希望などをご記入ください。 21 <textarea name="inquiry" id="inquiry"></textarea> 22 </td> 23 </tr> 24 </tbody> 25 </table> 26 <table> 27 <tbody> 28 <tr> 29 <th>お名前<span class="require">必須</span></th> 30 <td> 31 <input type="text" name="name" id="name" value=""> 32 </td> 33 </tr> 34 <tr> 35 <th>メールアドレス<span class="require">必須</span></th> 36 <td> 37 <input type="text" name="email" id="email" value=""> 38 </td> 39 </tr> 40 </tbody> 41 </table> 42 <input type="hidden" name="recaptchaResponse" id="recaptchaResponse" value=""> 43 44 <div class="form_button_holder"> 45 <input type="submit" class=" button_submit" data-sitekey="(recaptcha_site_key)"> 46 </div> 47</form>
サーバーサイド
PHP
1// Google reCAPTCHA v3 Validate 2 public function reCaptchaValidate($recaptchaResponse) 3 { 4 if ("/*サイトキーの登録があるとき*/") { 5 if (!empty($recaptchaResponse)) { 6 $secret = $shop_site['google_recaptcha_secret_key']; 7 $verifyResponse = file_get_contents('https://www.google.com/recaptcha/api/siteverify?secret='.$secret.'&response='.$recaptchaResponse); 8 $reCAPTCHA = json_decode($verifyResponse); 9 10 if ($reCAPTCHA->success && $reCAPTCHA->score >= 0.2) { 11 echo "送信しました"; 12 } else { 13 // ボットかも 14 die('エラーが発生しました。'); 15 } 16 } else { 17 die('エラーが発生しました。'); 18 } 19 } 20 } 21private function _inquiry_save($params) 22 { 23 //Google reCAPTCHA v3 24 if ($_POST['recaptchaResponse']) { 25 $this->reCaptchaValidate($_POST['recaptchaResponse']); 26 } 27 /*データ保存処理*/ 28 /*/メール送信処理*/ 29 }
・reCAPTCHAの判定スコアを上げてみた
$reCAPTCHA->success && $reCAPTCHA->score >= 0.2
を0.3 ~ 0.5まで引き上げる
いずれも上記パターンのメールに関しては効果がなく、困っております。
何か良い対策はありますでしょうか?
宜しくお願い致します。
スパムメールのメールヘッダも確認してみて下さい
回答1件
0
お使いの CMS が何かわかりませんが、本当にフォーム経由でのアクセスなのでしょうか?
実施した対策というのが、どのように対策したかがわからないので、なんとも言えませんが、フォームデータ送信先の URL に postman 等のツールで、直接フォームの項目を POST したら送信できてしまうということはないでしょうか?
投稿2021/06/26 05:46
総合スコア25218
回答ありがとうございます。CMSはPHPフレームワークSymfony 1.4で作った独自のCMSです。情報不足すみませんでした。
実施した対策についても、質問内容を編集して追加します。
直接フォームの項目をPOST送信する…検証してみます。
あなたの回答
tips
プレビュー
