Cloudflare Email ServiceのActivity logで、送信済みメールの内容を画面上から確認できるようになった。表示対象は、レンダリング済みHTML、プレーンテキスト、ヘッダー、添付ファイル、完全なRFC 5322原文である。配送失敗や文字化けの調査は容易になるが、ログ画面が「配送状態を見る場所」から「実際のメッセージ内容を閲覧できる場所」へ変わった点が重要だ。

何が変わったか

従来のActivity logは、送信、配送、バウンス、認証などのメタデータを中心に扱っていた。今回のPreviewセクション追加後は、受信者に送られた内容を管理画面で再確認できる。プレビュー対象になるのは、送信ドメインでEmail previewを有効にしている間に送信したメールで、Cloudflareは保持期間を「約7日」と説明している。

2026年7月2日以降にオンボードした送信ドメインでは、Email previewが自動的に有効になる。既存ドメインと新規ドメインで初期状態が異なるため、全ドメインを同じ前提で監査してはいけない。

影響を受ける運用

影響はデバッグ担当だけに限られない。パスワード再設定リンク、ワンタイムコード、注文内容、請求情報、問い合わせ内容、本人確認書類などをメールで送る組織では、管理者が本文や添付へアクセスできる経路が増える。管理画面の権限が広すぎれば、メール送信システム本体のデータベースを閲覧できない担当者でも、Activity logから機密情報を確認できる可能性がある。

一方で、レンダリング崩れ、誤った差し込み、添付漏れ、ヘッダー不備を迅速に調べられるため、障害対応の平均復旧時間は短縮できる。したがって、機能を一律に無効化するのではなく、必要なドメインと閲覧者に限定する設計が妥当である。

導入前に決めること

まず、送信ドメインごとに初期状態を確認する。次に、Cloudflareアカウント内でEmail Serviceを閲覧できるロールと、監査ログで追跡できる操作を確認する。特に、サポート委託先や一時的な運用担当者へ広いダッシュボード権限を付与している場合は、本文閲覧を含む前提で再評価が必要になる。

メール本文へ秘密鍵、長寿命トークン、完全な本人確認情報を埋め込まない原則も再確認する。短時間で失効するリンクやコードを使い、添付には必要最小限の情報だけを含める。プレビュー保持が約7日でも、受信者側や別のログ基盤にはより長く残るため、「7日後に完全消去される」と解釈してはいけない。

検証とロールバック

ステージング用ドメインでPreviewを有効にし、HTML、テキスト、ヘッダー、添付が想定どおり表示されるか確認する。同時に、権限の異なる複数アカウントで閲覧可否を試験し、監査担当以外から本文が見えない状態を確認する。

問題があればEmail previewを無効化し、以後の送信がプレビュー対象にならないことを確認する。ただし、無効化前に保持されたプレビューの扱いは、公式説明と実画面で確認し、即時削除を前提にしない。重大な誤送信が起きた場合は、機能の無効化だけでなく、リンク失効、資格情報のローテーション、受信者通知を別途行う。

実務チェックリスト

  • 2026年7月2日以降に追加した送信ドメインを洗い出す
  • Email previewの有効・無効をドメイン単位で記録する
  • Activity logを閲覧できるロールと外部委託アカウントを確認する
  • ワンタイムコード、署名URL、添付ファイルの機密度を分類する
  • ステージングで閲覧権限と無効化後の挙動を検証する
  • 誤送信時のリンク失効、資格情報ローテーション、通知手順を整備する

編集部の見解

これは小さなデバッグ機能ではなく、メール本文の新しい管理経路である。利便性は高いが、機密情報を送る組織では、設定の初期値と管理者権限がデータ保護の実効性を左右する。新規ドメインで自動有効になる点を見落とさず、本文を見られる人を最小化することが優先事項になる。

一次情報