(2017/02/14タイトルと本文を更新しています)
先日メールソフトのThunderbird(サンダーバード)が出す警告で、「このメッセージは詐欺メールの可能性があります」というものがあるのですが、これが詐欺でもなんでもないHTMLメールにも警告が出てしまう現象がありました。
上記のような警告バーですが・・・正当なHTMLメールの発信者にとっては、Thunderbirdがもし警告を出しているとしたら、かなり痛い話です。
そもそもThunderbirdの警告の仕様ですが、「このメッセージは詐欺メールの可能性があります」を表示する基準として、「フィッシング詐欺メールでよく使われる偽装手法が含まれているメッセージ」がある場合とのこと。
そういう視点で警告が出てしまったメールを確認すると、共通点がありました。
それは、HTMLメールに表示されたURLに、そのURLとは異なるURLがリンク設定されている場合に警告が表示されるということです。
私が確認したHTMLメールは、表示されたURLのドメインとは異なる集計用のサーバにリンクがしてあり、そのURLをいったん経由してから、表示URLにリダイレクトさせていたようです。
ランディングさせるページは1つでもメールごとに中間の計測用のCGIのパラメータを変えているか、アナログ的にページそのものを変えているのかと思います。
私のような素人考えでは中間ページがPing方式だとリダイレクトが早すぎて計測が間に合わなさそうですが・・。
それはともかく、警告が出るパターンをテストしてみましたが、例えば、表示は「http://example.jp」ですが、設定されたリンクが異なるドメイン「http://example.co.jp」や「http://google.co.jp」のように異なる場合、出るようです。
ただ、表示されたURLと設定されたリンクが不一致であれば必ず警告が出るとは限らず、例えば下記のサブドメインや同一ドメイン上のURLの違いは警告が出ませんでした。
表示は「http://example.jp」で、そのサブドメインへリンクする場合
例:http://test.example.jp
同一ドメインの異なるDirやパラメータ付きの場合
例:http://example.jp/test/、http://example.jp/?xxxx=yyyy など。
表示URLとリンクURLが異なるというのは上記のようなHTMLメールでは偽装かもしれないけれど、Webページではよくある話で、アフィリエイト広告だって、表示は「example.jp」でも、リンクは広告会社サーバに飛ばしてからリダイレクトで「example.jp」に行ってますよね。
しかし、HTMLメールの場合は警告の対象になるなら避けなければなりません。
対策としては、データ収集的な目的で別のサイト経由になる場合は、URLはあえて表示せずに「株式会社○△□」とか「資料請求はこちら」にリンクを設定することで防ぐことができます。
どうしてもURLを出したいということであれば、警告がでないよう同一ドメインもしくはサブドメインにリンクさせてし、そこからリダイレクトで別ドメインに飛ばして計測等の目的を果たすのが良策かと思います。
必要があればさらにそこから表示されたURLにリダイレクトさせれば問題ないはずです。
このように、HTMLメールの作成者はフィッシング詐欺メールでよく使われる偽装手法にならないように注意すべきかと思います。
(追伸)
今日(2015.07.30)届いた正式なペイパルのメールにも出ていました。
原因は同じく、表示したURLとリンクURLのドメインが違っていました。
表示上のドメインは、https://www.paypal.jp
リンク先のドメインは、https://email-edg.paypal.com
一瞬、wwwつきのドメインとサブドメインと思いましたが、よく見ると上はJPドメイン、下はCOMドメイン。
紛らわしいですね。
JPドメインを表示しながら実際はCOMドメインにリンクさせ、最終的にJPドメインにリダイレクトさせているとはいえ、これでは警告が出てしまいます。
https://www.paypal.jpと書いておいて、https://www.paypal.jp/****** にいったんリンクして、そこからhttps://email-edg.paypal.comに行き、計測を終わらせて、最後にhttps://www.paypal.jpに再度リダイレクトさせれば良かったのではないかと思います。