ป้องกันสวมรอยอีเมล (Email Spoofing) ด้วย SPF, DKIM และ DMARC
Email Spoofing คือการสวมรอยอีเมลโดยระบุชื่อผู้ส่งเป็นโดเมนที่ต้องการสวมรอย ซึ่งการสวมรอยนั้น ทำได้ง่ายมาก
เนื่องจาก protocol ของอีเมลไม่มีกลไกยืนยันตัวตนผู้ส่ง เป้าหมายของการสวมรอยก็เพื่อหลอกให้ผู้รับเข้าใจผิด (เช่น เห็นว่าเป็นอีเมลจากลูกค้า จากธนาคาร จากหัวหน้างานหรือผู้บริหารในองค์กร) เพื่อเพิ่มโอกาสในการเปิดอ่านอีเมล เพื่อหวังผลการโจมตีในอีเมลนั้นอีกที เช่น ส่งไฟล์แนบที่มีไวรัส โทรจัน หรือมัลแวร์ต่างๆ โดยสรุปก็คือ การสวมรอยอีเมลนั้น ทำได้ง่าย และโอกาสโจมตีสำเร็จสูง หากผู้รับไหวตัวไม่ทัน
(ภาพจาก techtarget.com)
การป้องกันการโจมตีรูปแบบนี้ได้ ในระดับผู้ใช้ ควรตรวจสอบอีเมลที่ได้รับให้ดี และไม่ควร download ไฟล์แนบจากอีเมลที่ยังไม่แน่ใจว่าเป็นอีเมลที่เชื่อถือได้
ทั้งนี้ ในระดับผู้ดูแลระบบ เราสามารถป้องกันการสวมรอยอีเมลในโดเมนเราได้ ด้วยการใช้ SPF, DKIM และ DMARC เรามาดูกันทีละตัวเลยครับ
SPF: ประกาศ IP ให้โลกรู้
SPF (Sender Policy Framework) ช่วยให้เจ้าของโดเมนสามารถประกาศหมายเลข IP ที่จะใช้ส่งอีเมลออกจากโดเมนตัวเองได้ โดยการประกาศหมายเลข IP ไว้ที่ DNS record เพื่อให้ผู้รับสามารถตรวจสอบได้ว่า อีเมลที่ได้รับจากโดเมนนั้นๆ สวมรอยมาหรือไม่
ตัวอย่างเช่น โดเมนของเรา มี IP ที่เราใช้ส่งอีเมลคือ 123.456.7.890 หากผู้โจมตี (spammer) สวมรอยส่งอีเมลด้วยชื่อโดเมนเรา แต่ส่งจาก server ของผู้โจมตี ซึ่งจะมี IP ที่แตกต่างกับ IP ของเรา ผู้รับก็จะสามารถแยกแยะได้ ว่าอีเมลนั้น ส่งมาจาก server อื่น ซึ่งมีความเป็นไปได้ว่าจะโดนสวมรอยโดเมนเพื่อโจมตี
SPF ไม่ได้ใช้ป้องกันแดด แต่เอาไว้ป้องกัน spam
ตัวอย่างของ SPF record
v=spf1 ip4:123.456.7.890 include:_spf.google.com ~all
DKIM: ใส่ลายเซ็นดิจิทัลให้อีเมล
คล้ายกับ SPF ที่ใช้การประกาศหมายเลข IP บน DNS record แต่สำหรับ DKIM (DomainKeys Identified Mail) จะเป็นการประกาศ public key บน DNS record แทน
เมื่อเริ่มต้นกระบวนการ ระบบจะสร้าง private key และ public key ที่คู่กันขึ้นมา key 2 ตัวนี้จะเข้าชุดกัน โดยเมื่อใช้ตัวใดตัวหนึ่ง เข้ารหัสข้อมูลไว้ จะสามารถใช้อีกตัวหนึ่งถอดรหัสข้อมูลกลับมาได้ (หากสนใจ สามารถอ่านเพิ่มเติมได้ที่ blognone) ซึ่ง DKIM นั้น จะเก็บ private key ไว้กับตัว และให้เราประกาศ public key ทาง DNS record
เมื่อมีการส่งอีเมลจากระบบ ข้อมูลอีเมลจะถูกเข้ารหัสด้วย private key และแนบข้อมูลที่เข้ารหัส (เรียกว่าค่า hash) ไปกับ header (ตัวเนื้อหาข้อมูลไม่ได้ถูกล๊อคแต่อย่างใด เพียงแค่หยิบมาเข้ารหัสเพื่อจะใช้ค่า hash) ในฝั่งผู้รับ เมื่อได้รับอีเมลแล้ว สามารถไปหยิบ public key ที่เราวางไว้ให้ เพื่อมาถอดรหัส และตรวจสอบว่าข้อมูลที่ถอดรหัสแล้ว ตรงกับเนื้อหาที่ได้รับมาหรือไม่ ทำให้สามารถยืนยันได้ว่า ข้อมูลที่ได้รับนั้น ไม่ได้ถูกแก้ไขระหว่างทาง
ตัวอย่างของ DKIM
v=DKIM1; p=publickey
ตัวอย่างกระบวนการเข้ารหัสและถอดรหัสด้วยคู่ของ public และ private key
(ภาพจาก shankaraman wordpress)
DMARC: ต่อยอดของเดิม เพิ่มเติมคือ report
DMARC (Domain-based Message Authentication, Reporting and Conformance) เป็นการต่อ ยอด โดยใช้ข้อมูลยืนยันตัวตนของ SPF เพื่อพิสูจน์ที่มา และใช้ DKIM เพื่อยืนยันว่าข้อมูลไม่ถูกแก้ไข สิ่งที่เพิ่มขึ้นมาคือการ report โดยใน DMARC เราจะต้องระบุอีเมลที่ใช้รับ report เพื่อรับ report จากโดเมนอื่นๆ ที่ร่วมโครงการ DMARC โดยใน report จะมีข้อมูลแสดงปริมาณอีเมลที่ถูกส่งในนามโดเมนของเรา รวมถึงผลลัพธ์ของการยืนยันตัวตน เพื่อให้เราสามารถปรับค่า policy ให้เหมาะสมได้
ผังแสดงลำดับการตรวจสอบเพื่อใช้ DMARC policy
(ภาพจาก returnpath.com)
ตัวอย่าง DMARC record
v=DMARC1; p=none; rua=mailto:postmaster@your_domain.com
เราห้ามโจรไม่ได้ และการป้องกันอีกครึ่งหนึ่งอยู่กับผู้รับ
สิ่งที่เราทำได้คือ การเปิดเผยข้อมูลที่จำเป็น เพื่อให้ผู้รับ สามารถตรวจสอบได้ว่าอีเมลที่ส่งไปในนามโดเมนนั้นๆ ถูกสวมรอยมา หรือถูกแก้ไขระหว่างทางหรือไม่ แต่เราไม่สามารถหยุดการโดนสวมรอยได้ เนื่องจาก spammer สามารถสวมรอยโดเมนเราได้ โดยไม่ต้องเจาะระบบใดๆ เลยด้วยซ้ำ และหากฝั่งผู้รับไม่ตรวจสอบที่มาตามมาตรฐานที่กำหนด ก็จะไม่เกิดประโยชน์ใดๆ
สำหรับใครที่มีปัญหาเรื่องอีเมล Spam อยู่หากไม่แน่ใจ สามารถติดต่อ Support ของ Email ระบบนั้น ๆ เพื่อตรวจสอบได้เลย ถ้าหากเป็นระบบ G Suite ที่ใช้บริการกับแทนเจอรีนอยู่ สามารถส่ง Email มาที่ google.support@tangerine.co.th เพื่อให้เจ้าหน้าที่่ตรวจสอบได้
Google Workspace
Related Blogs
-
-
Google ประกาศยกเลิกบริการ G Suite Legacy Free Edition
ชุดโปรแกรมการทำงานออนไลน์จาก Google เริ่มเป็นที่รู้จักในชื่อว่า Google Apps จนกลายมาเป็น
G Suite ที่หลายคนคุ้นเคยในเวอร์ชั่นฟรี เช่น Gmail, Google Drive, Google Sheets, Google Docs, Google Slides และ Google Meet ชุดโปรแกรมเหล่านี้ ซึ่งกำลังจะถูกยกเลิกเวอร์ชั่นฟรีนี้ในเร็วๆนี้ หากไม่ทำการ Upgrade หรือ Backup ข้อมูลของท่านก็จะหายไปตลอดกาล ทาง Google แนะนำให้รีบอัพเกรดเป็น Google Workspace ก่อน 1 พ.ค. 2565 เพื่อได้สิทธิ์ใช้งานฟรี จนถึง 1 ก.ค. 2565 -
-
สร้าง Bots ไว้ใช้ใน Google Workspace ง่ายๆ ด้วย Google Chat API
ในยุคโควิด-19 ที่หลายๆ องค์กรปรับกลยุทธ์ให้เข้ากับสถานการณ์ Work From Home, การใช้ tools ต่างๆ เข้ามาอำนวยความสะดวกในการทำงาน และ Google Workspace เอง ก็เป็นดาวเด่นในเรื่อง Work Collaboration Tools และเครื่องมือที่ขาดไม่ได้เลยในการติดต่อสื่อสารก็คือ Messaging App อย่าง Google Chat
-
-
ประกาศ! Google เปลี่ยน Drive File Stream & Backup and Sync ไปที่ Google Drive for Desktop
ปัจจุบัน Google Workspace มีวิธีการ Sync ข้อมูลบน Google Drive สู่ Computer สองวิธีคือ Drive File Stream สำหรับ Business user(Google Workspace user) และ Backup and Sync สำหรับ Consumer users
-
-
Google Classroom : การเรียนการสอนแบบ Community ในยุค New Normal
Google Classroom อำนวยความสะดวกให้ผู้สอนสามารถสร้างห้องเรียน จัดเตรียมเนื้อหาสำหรับการสอนที่สนับสนุนทั้งไฟล์เอกสาร รูปภาพ รวมไปถึงวิดีโอ อีกทั้งยังรักษาความเป็นส่วนตัวของห้องเรียน โดยระบบจะสร้างรหัสและ link การเข้าถึงห้องเรียนให้อัตโนมัติ
-
-
ประกาศการเปลี่ยนแปลงนโยบายพื้นที่การเก็บข้อมูลของ Google Workspace เริ่มตั้งแต่วันที่ 2 พฤษภาคม 2022
จากที่ Google มีประกาศเปลี่ยนแปลงนโยบายการคิดพื้นที่ภายใน Google Drive ในปี 2021 เดิมมีการประกาศใช้นโยบายดังกล่าวจริงในวันที่ 1 กุมภาพันธ์ 2022 แต่ยังไม่มีการดำเนินการจริงในช่วงที่ผ่านมา ปัจจุบันทาง Google เริ่มใช้นโยบายดังกล่าวแล้วในวันที่ 2 พฤษภาคม 2022 โดยคิดพื้นที่การจัดเก็บ Google Docs, Sheets, Slides, Drawings, Forms และ Jamboard
-
-
4 Features เพิ่มประสิทธิภาพการทำงานผ่าน Google Meet
ปัจจุบันการทำงานในรูปแบบ Work from Home (WFH) ปฎิเสธไม่ได้เลยว่า การประชุมงานแบบผ่านสื่ออิเล็กโทรนิกส์เป็นสิ่งที่ขาดไม่ได้ไปแล้ว และเพื่อให้การทำงานเป็นไปอย่างราบลื่น Google จึงได้เพิ่ม Feature ต่าง ๆ บน Google Meet ขึ้นมาเพื่อตอบสนองการทำงานให้ได้ประสิทธิภาพมากที่สุด โดยมี 4 Feature ดังต่อไปนี้