外部サービス「Brevo」の無料アカウントを使って後悔したこと
当初、WordPressのメール送信機能を安全に利用する目的で、プラグインWP Mail SMTPをインストールしたあと、AI(Gemini) に教わったまま疑いもせず外部のメール配信システム「Brevo」を連携させていて、この時点では設定も正常に完了し、完璧にメール送信環境が整っていました。と、言うのは簡単ですが、その過程も結構大変でした💦そして、その後、ブログのサーバー移転作業を行うことになります。
新サイト(移転先)へデータを移行する際、「記事データをインポートするより先に、コメント通知プラグインをインストールして有効化する」という一番やってはいけないミスをしでかしてしまいました。
ちょうど今から8年前にも、全く同じ失敗をしていたのに、まるで教訓にできず反省以外ありません><
「検証のためコピーサイトを作ったら、プラグインを先にインストールしたため、記事のインポートと同時にコメントにまで返信通知を送ってしまったようです。」
そんなわけで、大量の記事データとともに過去のコメントデータをインポートしたタイミングで、裏側のシステムが「コメントに対して返信があった」と勘違いし、一斉に読者に向けてメールを送信するという「爆弾」が発動してしまいました。
さらに不幸なことに、データのインポート作業自体に失敗したため、同じインポート操作を複数回繰り返してしまいました。これにより、裏側で生成された通知メールの数は倍々ゲームで膨れ上がり、手に負えない数へと肥大化していきました。
ところが、管理人である自分には一通もメールが送られてこないので、事態の深刻さにその時点ですぐに気付くことができませんでした。
私がようやく異変に気づけたのは、新サイトでお問い合わせフォームのテストを行った際でした。なぜかメールが送信できないんです。そればかりか、すでに稼働して正常に動作していたはずの別のサイトでもフォームからメールが送信できなくなっていました。さんざん原因を考えた挙句、ようやく、Brevoの無料プランにおける「1日の送信上限数:300通」という枠を完全に使い果たしていることがわかりました。そしてここで初めて、「自分の意図しないメールが裏で大量に送信されている」という異常事態にも気づくことになります!😨
どうしていいかわからない私はGeminiに相談しました。そこで教えられたのは、「WP-Optimize」プラグインを使い、データベース内に蓄積されていた「期限切れの transient(一時データ)オプション」を削除すること。さらに、WordPress側でのメール送信を大元で強制ロックする「Disable Emails」プラグインを有効化すること。これで、WordPress側からこれ以上の新しいメールが送信される心配がないから大丈夫だと言われました。ただ、その時点ですでに900通ものメールが送信されていました。
本当に一安心なのか?と一抹の不安を覚えながら翌日「Brevo」の管理画面を確認しに行くと、送信されたメールの総数が1,200件に増えていました!また前日から300通新しく送られているではありませんか!そうなんです、WordPress側をいくらロックしても、すでに外部システムである「Brevo」のサーバー側に送られてしまっていた「未送信キュー(爆弾)」は消えないんです。しかも、Brevoの無料プランの制限があるため、ユーザー側からこの送信待ちキューを削除したりコントロールする術は一切ありません。このままでは、一日の制限が解除されるごとに読者の元へメールが誤爆送信され続けるという最悪のループが止まらないということがわかりました!(この時点でもう手が震えていました)
これいったいどうするの!?ですよね。前日、LINEでつながりのあった一人の読者さんから「昨日からこんなメールが大量に届きますがなにかされましたか?」とスクショ付きのメッセージが届いていました。お詫びをして対策をしたのでもう大丈夫と返事をしておきながらのこの再暴走劇です!
ヤバいですよね。爆弾メールを受け取った人は私のメールアドレスを「受信拒否」にしたんじゃないかと思っています。いや冗談抜きで。それぐらいの大迷惑をおかけしてしまいました。
とにかくこの「Brevo」の暴走をどうにかしてシャットアウトしなくてはいけません!考えて考えて考え抜いて、やっと(未送信キューを抱えている)「Brevoのアカウント自体を削除」すれば解決する!と気づきました。そうして外部の送信元そのものを消滅させることで、ようやく1,200通以降の爆弾の送信を水際で阻止することができました。
この絶望的なトラブルを経て学んだことは、利便性を求めて安易に外部メール配信システムと連携してはいけないということと、データ移行時には絶対に移行先で先にプラグインを有効化してはならないという二つの教訓です。
最終的に辿り着いた「コアサーバー直結」の設定は、自分が管理している手の届く範囲で、最も高いセキュリティ(DKIM/DMARC)を構築できる最善の手段でした。もし、同じようにWordPressのメール送信環境やセキュリティ設定で迷っている方がいれば、有料化しないとすべての機能が使えないような外部サービスに頼るのではなく、こちらの記事で紹介した「サーバー直結+DNS設定」の正解ルートを強くお勧めします。
ただ一つ不安なのは、10年後に、万が一、またこの手順を忘れてインポート作業をしてしまわないかということでしょうか。そのために、自分への備忘録としても大切な記録となります。もし、ご迷惑をおかけした読者の方がこの記事をお読みいただけていたら、この場を借りて深くお詫び申し上げます。

コメント Leave a Comment