本文へスキップ
今すぐ購入

認証メール

The Readdle Team
作成日:

定義

💡  確認メール: 入力されたメールアドレスの所有者であることを確認したり、これから行うアクションを承認したりするために送信される自動化されたメールのこと。 これらのメールは、誰もが日常的に目にしているはずです。 サービスに登録し、メールを確認してリンクをクリックすれば、あっという間に認証完了です。

確認メールが重要な理由

確認メールはシンプルな問題を解決します。入力されたメールアドレスが本当にその人のものであるかを、どう確認すればよいのでしょうか? タイプミスは起こります。 ボットも存在します。 そして時には、ニュースレターを受け取らずに割引だけを得るために、わざと偽のアドレスを入力する人もいます。

確認プロセスを行うことで、メールを受け取ることに前向きで、関心の高い連絡先だけがリストに残ります。 リンクをクリックする人こそ、あなたからの情報を本当に求めている人たちです。 クリックしない人は? どのみち届いていなかったでしょう。 

もう一つの大きな理由はセキュリティです。 パスワードリセットメールは、最も一般的な顧客接点の一つであり、確認プロセスによって本当のアカウント所有者がリクエストを行ったことを確認できます。 これがなければ、誰かがあなたのメールアドレスをパスワードリセットフォームに入力し、あなたのアカウントにアクセスできてしまう可能性があります。 

Sparkのようなメールクライアントでは、アカウント設定時に自動的に認証が行われますが、その原理はどのプロバイダーでも同じです。 この確認ステップは、あなたと利用するサービスの両方を守ります。

確認メールの種類

アカウント登録の確認メールは、新しいサービスにサインアップしたときに届きます。 ユーザーはメールアドレスを送信し、確認リンクをクリックして承認します。 これがダブルオプトインです。 偽のアドレスをふるい落とし、メーリングリストに登録される前に意思を確認できます。 

パスワードリセットの確認メールは、本当にあなたがリセットをリクエストしたかどうかを確かめます。 リンクの有効期限を設けることは、受信トレイに届いた後もリンクが長時間有効であることを防ぐ重要なアカウントセキュリティ対策です。 通常は15分から1時間で期限切れになります。 一度しか使用できません。 

アクション確認メールは、メールアドレスの更新、支払い方法の登録、アカウントの削除など、重要な変更を確認するためのものです。 つまり、許可なく誰かに実行されたら本当に困るような操作のことです。

二要素認証コードも、技術的には確認メールの一種です。 メールで6桁のコードが届き、それを入力すると認証完了です。 アプリベースの2FAよりは安全性が劣りますが、何もないよりはるかにましです。

確認メールの仕組み

あなたがメールアドレスを送信すると、サービスは一意のトークンを生成します。 そのトークンが確認リンクに埋め込まれ、あなたにメールで送信されます。 リンクをクリックするとシステムがトークンを検証し、認証が完了します。

トークンは、暗号学的に安全な乱数生成器を用いて、総当たり攻撃に耐えられる十分な長さで生成され、データベース内で個々のユーザーに紐付けられている必要があります。 優れたトークンは、すぐに期限が切れ、一度しか使えません。 

確認ページとは、リンクをクリックした後に表示されるページのことです。 最良の確認ページはシンプルです。「メールアドレスが確認されました」「パスワードのリセットが完了しました」などです。 次のステップや役立つリンクを含むものもあります。 最悪なのは、何が起きたのか説明もせずに、ただリダイレクトするだけのものです。

舞台裏では、システムは使用後すぐにトークンを無効化します。 すべてのトークンは安全に保管され、使用後は無効化されるべきです。 これにより、メール履歴に残っている古い確認リンクが再利用されることを防ぎます。 

確認メールのベストプラクティス

すぐに送信しましょう。 ユーザーは通常、アクセスが必要になった瞬間にパスワードリセットをリクエストします。つまり、メールが早く届くほどよいということです。 30秒以上かかると、何か問題があるように感じられてしまいます。

分かりやすい件名を使いましょう。 「メールアドレスを確認してください」は効果的です。 「要対応:アカウントを確認してください」も効果的です。 「ようこそ!」では、何をすればよいか伝わりません。

ボタンは大きくしましょう。 モバイル対応は重要です。 一般的なダブルオプトインのフローでは70~80%の確認率がありますが、わずかな摩擦も確認数を減らしてしまいます。 大きなボタン、短い文章、分かりやすいアクションが重要です。

有効期限を設定しましょう。 有効期限を設定することで、リンクが使用できる時間を制限し、不正アクセスの可能性を減らすことができます。 パスワードリセットは15分、メール確認は24時間が目安です。 

無視した場合に何が起こるかを説明しましょう。 ユーザーは、自分が依頼していない確認メールを受け取ると不安になります。 自分で操作していない場合は無視しても安全であることを伝え、不安なときのためにサポートへのリンクを用意しましょう。

返信を求めないようにしましょう。 確認メールにはno-replyアドレスを使用しましょう。 アプリケーションにとってセキュリティが重要な場合は、no-replyアドレスを使用するのがよいでしょう。 サポートは返信スレッドではなく、明確にラベル付けされた問い合わせリンクで提供するべきです。 

関連コンテンツ

関連用語

 

The Readdle Team
Spark

集中力を維持。スマートなメールアプリ。

高速かつクロスプラットフォームなメールアプリは、重要なことに集中できるように設計されています。

ダウンロード