ทำไมอยู่ ๆ ก็ถูกบอมบ์เมลเข้ามาจน Mailbox เต็ม

สาเหตุเกิดได้หลายปัจจัย ได้แก่

วิธีแก้ไขปัญหา

ProofPoint เป็นระบบหนึ่งที่ทำงานร่วมกับ E-mail Server เพื่อให้การรับ-ส่ง Email มีประสิทธิภาพมากขึ้น

ProofPoint มีหน้าที่หลักเพื่อควบคุมการรับ – ส่ง และที่สำคัญคือ ยังเป็นระบบกรองไวรัสและสแปมที่มีประสิทธิภาพสูง สามารถป้องกันไวรัส ได้ถึง 100 % มีการตรวจสอบไวรัสและสแปมเมลทุกวินาที จึงทำให้มั่นใจได้ว่า Email ที่ถูกเปิดแต่ละฉบับจะไม่มีความเสี่ยงกับคอมพิวเตอร์และธุรกิจของเราอย่างแน่นอน รวมไปถึงการจัดการทรัพยากรด้าน Hardware เพื่อเพิ่มการทำงานที่มีประสิทธิภาพ ทำให้ E-mail Server ทำงานได้อย่างเต็มที่ มีอายุการทำงานที่มากขึ้น ลดการ Down ของ Server ที่เกิดจาก การโหลด Email จาก Server

 

บทความที่เกี่ยวข้อง

สาเหตุที่ถูก Bomb Email แบบ Multi-users

MXScan คืออะไร

Sanesecurity คืออะไร

ทำไม IP ของ Mail Hosting/Server คุณถึงติด Blacklist ซ้ำซาก

ระบบการกรอง Email ถือว่าเป็นระบบที่มีความสำคัญต่อ Mail Server เป็นอย่างมาก เพราะระบบที่มีความสามารถกรอง Email ได้ดี จะช่วยลดจำนวน Junk Mail ที่สร้างความรำคาญให้ผู้ใช้ที่ต้องเสียเวลาในการลบข้อความเหล่านั้นบ่อย ๆ และสามารถเพิ่มความปลอดภัยในการใช้ Email ที่ปราศจากไวรัสหรือมัลแวร์ได้ด้วย

ลักษณะของข้อความที่เป็น Junk Mail

Spam Mail คือ การส่งเมลที่เป็นโฆษณาสินค้า และบริการต่าง ๆ ที่เราไม่ได้ต้องการ

Chain Mail คือ การส่งเมลที่มีลักษณะเหมือนจดหมายลูกโซ่ มีเนื้อหาทำให้เกิดความเชื่อคล้อยตามที่มีจุดประสงค์ให้ส่งเมลต่อไปให้กับคนรู้จักต่อไปเรื่อย ๆ

Bomb Mail คือ การส่งเมลเป็นจำนวนมาก หลักร้อย หลักพันฉบับ ในเวลาเดียวกัน มีจุดประสงค์เพื่อทำให้ Mail Server เกิดความเสียหายจนไม่สามารถใช้งานได้

Hoax mail คือ การส่งอีเมลที่มีเนื้อหาเกินความจริง หลอกลวงให้ผู้อ่านหลงเชื่อแล้วคิดว่าเนื้อหาที่ได้รับเป็นความจริง มีจุดประสงค์ให้ส่งต่อเมลเพื่อให้ข้อมูลเหล่านั้นแพร่กระจายไปในวงกว้างอย่างรวดเร็ว

Mail Virus คือ การส่งอีเมลที่มีไฟล์แนบมาเป็น ไวรัส โดยไวรัสสามารถเข้ามาในเครื่องคอมพิวเตอร์ได้ทันที เมื่อผู้รับเปิดไฟล์ที่แนบมานั้น

โดยชนิดของเมลที่กล่าวมาทั้งหมดนี้ มีอยู่ 1 ชนิด ที่สร้างความเสียหายให้กับผู้ใช้อย่างมากที่สุด คือ Mail Virus เพราะ ถ้าผู้ใช้ลองเปิดไฟล์ที่แนบมาด้วยความรู้เท่าไม่ถึงการณ์ เพียงคลิกไปที่ไฟล์เท่านั้น ไวรัสที่ถูกส่งมาจะเข้าไปแฝงตัวเพื่อสร้างความเสียหาย หรือ ขโมยข้อมูลทางธุรกรรมต่าง ๆ ไปได้ทันที

ดังนั้นระบบกรอง Email ที่ดีจะต้องมีฟังก์ชั่นในการกรองไฟล์ที่แนบมากับเมลได้ด้วย ซึ่งมักจะไม่ได้แนบไฟล์ที่เป็นไวรัสมาโดยตรง แต่จะทำการบีบอัดไฟล์มาในรูปแบบไฟล์นามสกุล .zip .rar .7z ซึ่งหลักการทำงานของระบบต้องทำการสแกนเข้าไปในไฟล์บีบอัด ว่าภายในไฟล์เหล่านี้ มีไฟล์ที่ต้องสงสัยที่เป็นไวรัสหรือไม่ ถ้าอีเมลดังกล่าวมีไวรัสก็จะตีกลับไปแจ้งทางผู้ส่ง และถ้าไม่มีไวรัสก็จะอนุญาตให้ผ่านเข้ามาใน Inbox ของผู้รับได้

MXScan เป็นเครื่องมือสร้างความปลอดภัย ตรวจสอบดักจับไวรัสและสแปมเมลของ Mail Server ขาเข้าโดยเฉพาะ มีชื่อว่า AntiSpam and AntiVirus Suite ทำงานร่วมกับ Open Source Software เช่น SpamAssassin, ClamAV ซึ่งช่วยกำจัดสแปมเมลและไวรัสให้กับ Mail Server ได้ดี โดยจะจัดเป็นคะแนน แบ่งเป็น Levels เพื่อแสดงผลความเสี่ยงของข้อความที่จะเป็นสแปมมากน้อยตามลำดับ

นอกจากนี้ MXScan มีเครื่องมือที่ไว้ Lookup IP Address ได้ด้วยว่า IP Address นั้น ๆ ติด Blacklist ในฐานข้อมูลของใครบ้าง ซึ่งตรวจสอบได้จากเว็บไซต์ mxuptime.com

Sanesecurity เป็น Add-on ตัวหนึ่งของ ClamAV ที่ช่วยตรวจสอบมัลแวร์, Spam, Scam, Phishing ในข้อความอีเมลที่มาทางสัญลักษณ์ อาจจะเป็นตัวย่อ หรืออย่างใดอย่างหนึ่งในเนื้อหาข้อความที่มีความเสี่ยงเป็น Spam และช่วยตรวจสอบไปถึง Ransomware หรือไวรัสเรียกค่าไถ่ได้ด้วย โดยทาง Sanesecurity จะมีการ Update ไวรัส, มัลแวร์, สแปมเมล Signatures ไว้สม่ำเสมอที่เว็บไซต์ sanesecurity.com

ในข้อความอีเมลบริษัทฉบับหนึ่งอาจจะถูกตรวจสอบและมองว่าเป็น Spam แม้ว่าในเนื้อหาเป็นตัวอักษรแค่สั้น ๆ เพียงไม่กี่ตัว

กรณีที่ข้อความอีเมลของเราไม่สามารถส่งออกได้เพราะติดตัว Sanesecurity นั้น จะปรากฏเป็น Error message ลักษณะ ดังนี้

info@xxx.com
host smtp.spamcloud.com [108.xx.xx.xx]
SMTP error from remote mail server after end of data:
550 Message contained spam content (Sanesecurity.Junk.5464)

จาก Error message ที่ตีกลับมานั้น จะมี Signature ของ Sanesecurity ปรากฏตามข้อความในวงเล็บ
เราสามารถค้นหาสาเหตุที่ระบบกรองนั้นมองว่าข้อความฉบับดังกล่าวเป็นสแปมที่ประโยคใด โดยเข้าไปที่เว็บไซต์ http://sane.mxuptime.com/

วิธี Lookup Signature ของ Sanesecurity

 

 

 

สำหรับการแก้ไขข้อความให้ส่งออกได้โดยไม่ติด Sanesecurity หากมีความจำเป็นต้องส่งข้อความที่มีคำว่า ‘CY LC’ อยู่ในเนื้อหาให้ใส่เว้นวรรคเพิ่มลงไป อาทิ ‘CY   LC’ เพื่อทำให้ระบบมองว่าเป็นคำที่มีความหมายอื่น

ดังนั้นเมื่อเราเจอข้อความตีกลับที่มาจาก Sansecurity เราสามารถนำ Signature ที่ได้จาก Error message มา Lookup ที่เว็บไซต์ดังกล่าวได้เลย เพื่อให้ทราบว่าแท้จริงแล้วข้อความตีกลับด้วยสาเหตุใด

ปัญหา IP ของ Email Hosting ติด Blacklist หรือ Real time black list (RBL) สร้างความเบื่อหน่ายให้แก่ผู้ใช้งาน Email ใน Server เหล่านั้น ซึ่งปัญหานี้มีโอกาสเกิดขึ้นกับ Email Hosting ที่มีการให้บริการ Web Hosting ด้วย และ มีโอกาสสูงมากขึ้นหาก Server นี้ ให้บริการ Email Hosting แก่ User จำนวนมากๆ เรามาดูปัจจัยเสี่ยงหลัก ๆ ที่ทำให้ IP ของ Email Hosting คุณติด Blacklist ซ้ำไปซ้ำมา

 

 

ที่มาของ “ไวรัส” ที่แอบแฝงมากับอีเมล

Hacker มักจะสร้างอีเมล ที่เกิดแรงจูงใจทำให้ผู้รับอย่างเปิดเมล์ รวมถึงไฟล์แนบ, เช่น PO, Re Quotation order ซึ่งมีความหมายโดยรวมว่า “ฉันจะซื้อของกับคุณ” และถูกส่งมาในรูปแบบของไฟล์ .zip เพื่อหลบซ่อนไวรัสไว้ด้านใน หากคุณเปิดเมื่อไหร่ ข้อมูลในเครื่องคอมพิวเตอร์ และเครื่องอื่น ๆ ในองค์กรของคุณจะโดนสอดแนม หรืออาจจะถูกปลอมแปลงเอกสารในการใช้งานอีเมล์องค์กรโดยที่คุณไม่รู้ตัว

ตัวอย่างอีเมลที่มี “ไวรัสสอดแนม”

 

จากภาพตัวอย่างจะเห็นว่า Hacker ได้ส่งอีเมลโดยมีรายละเอียด

Subject หรือ หัวข้อของอีเมล เขียนว่า “Re: quotation order” เพื่อให้ผู้อ่านเกิด “แรงจูงใจ” ในการเปิดอ่าน
Hacker ได้แนบไฟล์ เพื่อหลอกให้ผู้อ่านเปิดไฟล์ และ run file ที่เป็นไวรัส
Hacker ได้ส่งไฟล์แนบ .Zip เพื่อหลีกเลี่ยงการตรวจสอบ แต่ในความเป็นจริงแล้วในไฟล์นี้จะมีไวรัสซ่อนอยู่

Hacker ได้อีเมลคุณ มาได้อย่างไร

Hacker มักจะพยายามไปหาอีเมล โดยเฉพาะของฝ่ายจัดซื้อ จากเว็บไซต์ประกาศต่างๆ ที่คุณเคยไป โพสอีเมลทิ้งไว้ และ จะสุ่มยิงอีเมลนี้ไปเรื่อยๆ
Hacker อาจจะทำการ Hack Email และ Address Book ที่เป็นคู่ค่าของคุณ, และหลังจากได้อีเมลของคุณมา Hacker ก็จะทำการส่งไวรัส ตามมา

เราจะป้องกัน ไวรัส หรือ Hacker ได้อย่างไร

ไวรัสทุกชนิดจะไม่สามารถ Run ได้เลย หากคุณได้ลง Antivirus ของแท้ และ Update เป็นเวอร์ชั่นล่าสุด
โปรแกรม Antivirus จะแจ้งคุณทันที เมื่อคุณ เผลอไปกด Run File ที่เป็นไวรัส ไม่ว่าจะอยู่ในรูปแบบอีเมล Flash Drive หรือแอบเข้ามาในวง Lan

หากคุณไม่มั่นใจ ว่าคอมพิวเตอร์ของคุณ โดน ไวรัส เข้าไปหรือยัง คุณควรตระหนัก และ ใส่ใจว่า คอมพิวเตอร์ของคุณ สามารถเป็นตัวแพร่ กระจายไวรัส ให้แก่บุคคลอื่นในองค์กรได้ทั้งหมด และทำให้ข้อมูลในองค์กรของคุณรั่วไหลในที่สุด

การกรอง Email ที่เป็น Junk หรือ Email ที่มีไวรัส เป็นเรื่องสำคัญในการให้บริการ Email Hosting หากไม่มีระบบกรอง Email ที่เป็น Junk และ ไวรัส จำนวนมากก็จะวิ่งเข้าไปหา End User หรือ พนักงานที่ใช้งาน Email และ ทำให้พนักงานคนนั้นได้รับแต่ Junk หรือ อันตรายมากกว่านั้น พนักงานที่ไม่ได้มีความเชี่ยวชาญเรื่องคอมพิวเตอร์ อาจจะไปกดเปิด ไวรัส ที่ถูกส่งมากับ Email ทำให้โดน โจรกรรมข้อมูล (Hack) ในเครื่องคอมพิวเตอร์ในเครื่องพนักงานคนนั้น

การทำงานของระบบกรอง Junk Mail หรือ Junk Mail Filter จะมีลักษณะการทำงานดังนี้

เมื่อมี Email ใดๆ ส่งเข้ามายัง Email Hosting ของตนเอง Email Hosting ระบบกรอง Spam Mail จะทำการรับอีเมลทั้งหมดไว้ก่อน

หลังจากนั้นระบบกรอง Spam Mail จะทำการประมวลผลด้วยอัลกอริทึม ว่าจะปล่อยให้ Email ฉบับใดเข้าไปใน Email Hosting บ้าง

Email ฉบับใดที่ระบบกรอง Spam คิดว่าเป็น Junk จะถูกดัก และ เก็บเอาไว้ใน Email Hosting Folder Spam เพื่อป้องกันการประมวลผลผิดพลาด และ Admin ก็สามารถเข้ามาดูได้ หากคิดว่าอีเมลฉบับใดนั้นยอมปล่อยให้เค้าระบบ ก็สามารถมาทำการกดปล่อยอีเมลนั้นให้เข้าระบบได้เอง

ด้วยระบบกรอง Spam ที่ดี จะสามารถปกป้อง Email Hosting ให้รอดพ้นจากการโดน Bomb Email ซึ่งอาจจะส่งผลให้ Email Hosting นั้นพัง หรือไม่ก็ทำให้ End User ได้รับ Junk Mail จำนวนมาก

บริการ Email Hosting, อีเมล์บริษัท ของ MailDee ทั้งหมด มีการตรวจกรองอีเมล์ทุกฉบับก่อนที่จะส่งออกไปยังปลายทาง หากพบว่าฉบับไหนถูกส่งโดยไวรัส หรือ เข้าข่ายว่ามีการส่ง Spam โดยเทคโนโลยีการตรวจจับไปที่เนื้อหาของอีเมล์ ก็จะถูก Block ไว้และไม่ถูกปล่อยไป เพื่อป้องกัน IP ของ Mail Server เราไม่ให้ติดไวรัส

รวมถึงเราจะมี Mail Server ที่ทำหน้าที่ ส่งอีเมล์โดยเฉพาะมากกว่า 50 IP ทำให้สามารถปัด IP ที่ติด Blacklist ออกทันที และใช้ IP อื่นๆ ที่ไม่ติด Blacklist แทน

ระบบป้องกัน IP Blacklist