このブログでは WordPress という無料の CMS（Contents Management System、専門知識がなくてもカンタンにサイト構築や更新ができるやつ）を使っているのだが、最近自動更新したり、記事にコメントされたときに届くはずの通知メールが届かなくなってしまった。宛先を Gmail に設定しているので、迷惑メールに分類されてしまったかな？　と思ったのだが、その痕跡すら見当たらない。

なんでだろーなんでだろー、と腕をクロスさせながら悩んでいたのだが、ようやく原因が分かった。

DMARC だ！

DMARC（ディーマーク）とは Domain-based Message Authentication, Reporting, and Conformance という、覚えられないぐらい長ったらしい正式名称の略で、要はなりすましメール防止技術のこと（→Wikipedia）。ずいぶん前から企業を騙った詐欺メールが横行しているが、DMARC を導入したサーバーは第三者がドメイン偽装できなくなる。仕組みは複雑だが、迷惑メール防止策の決定版らしい。でも日本じゃ普及が遅れているが（ＳＢＩ●券、お前だよッ）。

詳しくは検索してもらえばいいが、DMARC の流れをカンタンに説明すると、

【メール受信サーバー】
info@example.com（IP アドレス XXX.XXX.XXX.XXX）からメールが来たけど本物？
　　　　　　↓
【ドメインネームサーバー】
example.com ドメインの IP アドレスは YYY.YYY.YYY.YYY だが？
　　　　　　↓
【メール受信サーバー】
マジかよ、偽装じゃん。じゃあ example.com はどうしたい？
　　　　　　↓
【example.com サーバー】
拒否（Reject）していいぜ！
　　　　　　↓
【メール受信サーバー】
メール破棄！　example.com にレポート送るぜ。
　　　　　　↓
【example.com サーバー】
サーバー管理者にレポートメール届けたよん。

と、こんな感じ（違うかも）。つまり、WordPress のメールは Gmail 側で破棄されていたってわけ。ぴえん。

実は最近、利用中のレンタルサーバー（シンレンタルサーバー）で DMARC ポリシーを全部「配送しない（reject）」に変更したのだが、このブログで使っているサブドメイン blog.mezzo.jp にはメール設定を全然していなかった。なので他のなりすまし防止技術の DKIM（ディーキム、DomainKeys Identified Mail）と SPF（エスピーエフ、Sender Policy Framework）が有効になっていなかったのだ。DMARC は DKIM と SPF の合わせ技にしないとならないので、メールが有効になっていないサブドメインは reject されまくっていた！　なんてこったい！

致し方なく、DKIM と SPF を有効にするため、blog.mezzo.jp の捨てメールアカウントを追加。

DMARC はすでに mezzo.jp で「メールを配送しない」に設定してあったので変更なし。なお DMARC ポリシーは「何もしない（none）」「迷惑メールとして配送する（quarantine）」「配送しない（reject）」の３段階で設定可能。

あと Gmail の方でも迷惑メール判定されないようフィルタを設定しよう。フィルタ設定はなぜかスマホの Gmail アプリではできないので、PC のブラウザから Gmail にログインし、右上の歯車マーク（設定）を開き [すべての設定を表示] をクリック。

「フィルタとブロック中のアドレス」を開いて「新しいフィルタを作成」をクリック。

「From」に WordPress の通知用メールアドレスを入力して「フィルタを作成」。

「迷惑メールにしない」にチェックを入れて、「フィルタを作成」で完了。

これでスマホの Gmail にやっと WordPress の通知が届くようになった…通知受け取りたいだけなのに、何でこんな手間かかるんだYO！

というか、DMARC のレポートが届き過ぎな件。

私の所有するドメインを偽装メールに利用しようとする輩が多すぎ。たまにレポート開いて確認すると、だいたい送信元は中国だし…

攻殻機動隊みたいに攻性防壁使えんかなぁ！

攻殻機動隊（１） (ヤングマガジンコミックス)

created by Rinker

¥1,650 (2026/05/16 01:55:36時点 Amazon調べ-詳細)

• Kindle
• Amazon
• 楽天市場

11,496？ ちょっと異常すぎるだろ！

何やら最近 WordPress の改ざんを狙ったブルートフォースアタックが流行っているそうなのだ。このブログはユーザー名が admin のデフォルトのまま。パスワードが一般的なワードでないとはいえ、これはマズイ。対策のためにプラグインを探したら以下のが良さそうなので入れてみた。

　Force Email Login　　　作者：Takayuki Miyauchi 氏

データベースやユーザー名に変更を加えずに、ログインユーザー名を WordPress のユーザーメールアドレスに変更するプラグイン。ログインに失敗すると10秒おかないとログイン画面が表示されないので、ロボットに有効だ。

さあて、これでまずは一安心と思っていたのだが、今日になったらデータベースサーバーが不安定なのかブログが表示されにくい。もしやと思いリアルタイムログを覗いたら、どうやらクラッカーに目をつけられたのか、IPアドレスを変えて何度も wp-login.php に数秒おきにアクセスされている。ひい。

こりゃアカンと思って色々考えた挙句、.htaccess で wp-login.php 自体のアクセスを規制することにした。Wordpress をインストールしてあるディレクトリ直下にある .htaccess ファイルを一旦ダウンロードし、以下の文を挿入して上書き。

　
私の使っている ISP やスマホは全部 .jp ドメインなので、.jp ドメイン以外は wp-login.php へのアクセスを全部禁止するという乱暴なやり方。クラックしようとしているのはウクライナやらロシア、中国ばかりなので、とりあえずこれで問題ないだろう。もし .jp ドメイン以外の ISP も使っている場合は、allow from のあとに ISP のルートドメインなり、固定IP を入れればいい。

本来はこんな大雑把でなく、あくまでも自分が使っているISPに絞って規制するのが一番安全だが、出先のフリースポットで更新したいとか、自宅サーバーでやってるという人は以下のように色々設定しないとならないかも。

　
.htaccess にドメイン参照させるとパフォーマンスが落ちるのであまりやりたくなかったのだが、固定IPじゃないから仕方ない。でも設定した途端、データサーバーへのアクセスがなくなり効果てきめん。

– [Thu Sep 12 22:59:41 2013] [error] [client 5.234.78.117] client denied by server configuration: /*****/wp-login.php
– [Thu Sep 12 22:59:41 2013] [error] [client 5.234.78.117] client denied by server configuration: /*****/wp-login.php
– [Thu Sep 12 22:59:43 2013] [error] [client 5.234.78.117] client denied by server configuration: /*****/wp-login.php
– [Thu Sep 12 22:59:43 2013] [error] [client 5.234.78.117] client denied by server configuration: /*****/wp-login.php
– [Thu Sep 12 23:03:08 2013] [error] [client 95.78.221.63] client denied by server configuration: /*****/wp-login.php
– [Thu Sep 12 23:03:08 2013] [error] [client 95.78.221.63] client denied by server configuration: /*****/wp-login.php
– [Thu Sep 12 23:11:39 2013] [error] [client 177.108.34.225] client denied by server configuration: /*****/wp-login.php
– [Thu Sep 12 23:11:39 2013] [error] [client 177.108.34.225] client denied by server configuration: /*****/wp-login.php
– [Thu Sep 12 23:11:44 2013] [error] [client 108.214.134.32] client denied by server configuration: /*****/wp-login.php
– [Thu Sep 12 23:11:44 2013] [error] [client 108.214.134.32] client denied by server configuration: /*****/wp-login.php
– [Thu Sep 12 23:12:21 2013] [error] [client 95.78.221.63] client denied by server configuration: /*****/wp-login.php
– [Thu Sep 12 23:12:21 2013] [error] [client 95.78.221.63] client denied by server configuration: /*****/wp-login.php
– [Thu Sep 12 23:13:35 2013] [error] [client 222.166.214.38] client denied by server configuration: /*****/wp-login.php
– [Thu Sep 12 23:13:35 2013] [error] [client 222.166.214.38] client denied by server configuration: /*****/wp-login.php
– [Thu Sep 12 23:13:40 2013] [error] [client 222.166.214.38] client denied by server configuration: /*****/wp-login.php
– [Thu Sep 12 23:13:40 2013] [error] [client 222.166.214.38] client denied by server configuration: /*****/wp-login.php
– [Thu Sep 12 23:19:30 2013] [error] [client 31.192.129.159] client denied by server configuration: /*****/wp-login.php
– [Thu Sep 12 23:19:30 2013] [error] [client 31.192.129.159] client denied by server configuration: /*****/wp-login.php
– [Thu Sep 12 23:19:40 2013] [error] [client 213.87.141.209] client denied by server configuration: /*****/wp-login.php
– [Thu Sep 12 23:19:40 2013] [error] [client 213.87.141.209] client denied by server configuration: /*****/wp-login.php

しかし生ログは見ていると心臓に悪い･･･

で、何か設定がおかしくなっているのかと思い見てみたら、[ツール]＞[設定…]（Ctrl＋F12）から設定画面の左メニュー「閲覧」＞「描画のタイミング」の項目が「１秒後に描画する」になっていた。ここを「すべてが読み込まれてから描画する」にし、一度 [ツール]＞[個人情報の削除…] でcookieとすべてのキャッシュを削除したら解決。使い慣れたブラウザをおさらばしないとならんかな、と思っていたがなんとか回避。ふう。

動的ページを描画処理するのに時間がかかるサーバーとか、回線の遅い環境では１秒で描画するのに追いつかず、ソースを全部読み込む前にOperaが描画してしまうからこういう現象が起こっていたらしい。開発側が描画を体感的に速く見せたいがために、Operaのアップデート時に勝手に設定が変えられたのかもかもしれない。いらんことするなぁ･･･

なお、Operaのメジャーアップデート後に動作が不安定になったり、妙に遅い時はクリーンインストールがオススメ。ブックマークを任意の場所にエクスポート後、Operaをアンインストールし、ユーザーフォルダや設定ファイルを全部削除後に再インストール。設定したパスワードなどは消えてしまうが、以前の軽快なOperaが甦るので、バージョンが11から12に上がった時などは面倒だけどやっている。

･･･と、こんな更新している場合じゃなかった。さあ仕事、仕事･･･