今時のメールアドレス正規表現

概要

• メールアドレス入力フォームの検証に正規表現でチェックしています。
• このたび、メールアドレスの検証に使っている正規表現が書かれているgemにて、メールアドレスの検証ロジックに大幅な変更が入ったので調査してみました。

背景

• きっかけ
  • Webアプリケーションのメールアドレスのvalidationには email_validator というgemを使っていました。これがv2からすごい緩いバリデーションになっていました。
    • https://github.com/balexand/email_validator/blob/a479ff6bf9305ba7944df459402664fc9d74a339/lib/email_validator.rb#L13
    • このgemは300万ダウンロードあります。
• 理由
  • https://hackernoon.com/the-100-correct-way-to-validate-email-addresses-7c4818f24643
    • タイトルに文句がある方はこの記事へ。
  • https://hackernoon.com/how-to-reduce-incorrect-email-addresses-df3b70cb15a9
  • https://en.wikipedia.org/wiki/Email_address
• テストケース
  • https://github.com/balexand/email_validator/blob/v2.0.0/spec/email_validator_spec.rb#L25-L57

実運用ではどうするか考える

• AWS SESは test＿test@example.com というマルチバイトを含んだメールアドレスはrejectされる。

• ASCII以外の文字列って、ユーザの入力ミスの可能性が90%以上だろうし。悩ましい。

• HTML5のブラウザ側の正規表現は、もっと厳しい。マルチバイトは許されない。

• 実際は、v1.6の strict_mode オプションを使うのが良いのかなと。

  • https://github.com/balexand/email_validator/blob/ef9c09161831946c5fb85e4273b2cc2a559cc758/lib/email_validator.rb#L11

• v1.6のstrictな正規表現で怪しいメアドをあぶり出すショートコード

name_validation = "-\\p{L}\\d+._"
regex = /\A\s*([#{name_validation}]{1,64})@((?:[-\p{L}\d]+\.)+\p{L}{2,})\s*\z/i
User.all.select {|u| puts u.id unless u.email.match(regex) }

• URI::MailTo::EMAIL_REGEXP もよさそう。

/\A[a-zA-Z0-9.!\#$%&'*+\/=?^_`{|}~-]+@[a-zA-Z0-9](?:[a-zA-Z0-9-]{0,61}[a-zA-Z0-9])?(?:\.[a-zA-Z0-9](?:[a-zA-Z0-9-]{0,61}[a-zA-Z0-9])?)*\z/

結論

広く許容する場合は以下の正規表現。

[^\s]+@[^\s]+

• 解説：アットマークの直前がホワイトスペース以外かつ、アットマークの直後がホワイトスペース以外。
• 参照：https://github.com/balexand/email_validator/blob/a479ff6bf9305ba7944df459402664fc9d74a339/lib/email_validator.rb#L13
• 注意: 上記のメールアドレスの正規表現ではvalidだけど、AWS SESや別のMTAで弾かれる場合がある。
  • ユーザ登録を優先するか、メールの到達性を優先するかはサービスのポリシー次第で決める。