Email Security — ทำไม Email เป็นช่องทางโจมตีอันดับ 1
Email เป็น ช่องทางโจมตีที่ Hacker ใช้มากที่สุด 90%+ ของ Cyber Attack เริ่มจาก Email ไม่ว่าจะเป็น Phishing Malware BEC (Business Email Compromise) หรือ Spam ปัญหาคือ Email Protocol (SMTP) ถูกออกแบบมาโดยไม่มีการยืนยันตัวตน ใครก็ส่ง Email ปลอมเป็นคนอื่นได้ SPF DKIM DMARC เป็น 3 เทคโนโลยีที่ช่วยยืนยันว่า Email มาจากผู้ส่งจริง ป้องกัน Spoofing และ Phishing
SPF — Sender Policy Framework
- คืออะไร: DNS Record ที่ระบุว่า Server ไหนมีสิทธิ์ส่ง Email แทน Domain ของคุณ
- วิธีทำงาน: เมื่อรับ Email ระบบตรวจสอบว่า IP ที่ส่งมา ตรงกับ SPF Record ของ Domain หรือไม่
- ตัวอย่าง:
v=spf1 include:_spf.google.com include:spf.protection.outlook.com -all - -all vs ~all:
-all= Hard Fail (Reject)~all= Soft Fail (Mark แต่ไม่ Reject) - ข้อจำกัด: ตรวจสอบแค่ Envelope From (Return-Path) ไม่ตรวจ Header From ที่ User เห็น
DKIM — DomainKeys Identified Mail
- คืออะไร: ลายเซ็นดิจิทัลที่แนบไปกับ Email ยืนยันว่า Email ไม่ถูกแก้ไขระหว่างทาง
- วิธีทำงาน: Server ส่ง Email เซ็น Private Key → Server รับตรวจสอบด้วย Public Key ใน DNS
- DNS Record: TXT Record ที่มี Public Key เช่น
selector._domainkey.example.com - ข้อดี: ยืนยันว่า Email ไม่ถูกแก้ไข และมาจาก Domain จริง
DMARC — Domain-based Message Authentication
- คืออะไร: Policy ที่บอกว่าจะทำอย่างไรกับ Email ที่ไม่ผ่าน SPF/DKIM
- Policy:
| Policy | ผล | เมื่อไหร่ใช้ |
|---|---|---|
| p=none | ไม่ทำอะไร แค่ส่ง Report | เริ่มต้น Monitor ก่อน |
| p=quarantine | ส่งไป Spam/Junk | หลัง Monitor แล้วมั่นใจ |
| p=reject | Reject Email ปลอม | เป้าหมายสุดท้าย ปลอดภัยสุด |
- ตัวอย่าง:
v=DMARC1; p=quarantine; rua=mailto:[email protected]; pct=100 - Report: DMARC ส่ง Report ว่า Email ไหนผ่าน/ไม่ผ่าน ช่วยดู Legitimate Email ที่อาจ Fail
วิธีตั้งค่า SPF DKIM DMARC
- สำรวจ: สำรวจว่าองค์กรส่ง Email จาก Service ไหนบ้าง (M365, Google, Marketing Tool)
- ตั้ง SPF: สร้าง SPF Record รวม Service ทั้งหมดที่ส่ง Email
- ตั้ง DKIM: เปิด DKIM ใน Email Service (M365/Google ตั้งค่าง่าย)
- ตั้ง DMARC p=none: เริ่มจาก p=none เพื่อ Monitor ก่อน ดู Report
- วิเคราะห์ Report: ดู DMARC Report 2-4 สัปดาห์ ว่ามี Legitimate Email Fail ไหม
- แก้ไข: แก้ SPF/DKIM ให้ Legitimate Email ผ่านทั้งหมด
- เปลี่ยน p=quarantine: เมื่อมั่นใจ เปลี่ยนเป็น p=quarantine
- เปลี่ยน p=reject: เมื่อมั่นใจมาก เปลี่ยนเป็น p=reject
Email Security เพิ่มเติม
- Anti-Spam/Anti-Phishing: ใช้ Email Security Gateway เช่น Microsoft Defender for Office 365, Proofpoint
- MFA: เปิด MFA สำหรับ Email ทุก Account ป้องกัน Account ถูก Hack
- Awareness Training: อบรมพนักงานให้รู้จัก Phishing ไม่คลิกลิงก์แปลก
- External Email Warning: แสดง Banner “Email นี้มาจากภายนอก” สำหรับ Email จากนอกองค์กร
- Disable Auto-forward: ปิดไม่ให้ User Forward Email ไปภายนอกอัตโนมัติ
สรุป Email Security — SPF DKIM DMARC ป้องกัน Email ปลอม
SPF DKIM DMARC เป็นพื้นฐาน Email Security ที่ทุกองค์กรต้องตั้ง ป้องกัน Spoofing Phishing เริ่มจาก p=none Monitor แล้วค่อยเปลี่ยนเป็น reject หากต้องการข้อมูลเพิ่มเติม ติดตามได้ที่ SiamLanCard.com
