หน้าแรก Proton Mail for Business

ทำความเข้าใจเกี่ยวกับการยืนยันตัวตนอีเมลและการปลอมแปลงโดเมน: SPF, DKIM และ DMARC

ธุรกิจตกเป็นเป้าหมายของการโจมตีด้วยฟิชชิ่งและการปลอมแปลง หากอีเมลไม่ได้ผ่านการยืนยันตัวตน ผู้โจมตีจะสามารถแอบอ้างเป็นโดเมนได้อย่างง่ายดาย หากไม่มีการยืนยันตัวตน ใครก็ตามบนอินเทอร์เน็ตก็สามารถส่งอีเมลแอบอ้างตัวตนได้

การยืนยันตัวตนอีเมลหมายความว่าอย่างไร

การยืนยันตัวตนอีเมลคือชุดมาตรฐานทางเทคนิคที่ตรวจสอบว่าผู้ส่งอีเมลเป็นบุคคลตามที่กล่าวอ้างจริง มาตรฐานนี้ได้รับการพัฒนาขึ้นเนื่องจากโปรโตคอลอีมลดั้งเดิม (Simple Mail Transfer Protocol หรือ SMTP) ไม่มีคุณสมบัติในตัวเพื่อป้องกันการปลอมแปลงที่อยู่ผู้ส่ง

เพื่อให้เข้าใจการยืนยันตัวตน ควรทราบว่าอีเมลมีที่อยู่ผู้ส่งสองแบบ:

1. Envelope sender (RFC 5321)

หรือที่รู้จักในชื่อที่อยู่ MAIL FROM, ผู้ส่ง P1 หรือ return-path ซึ่งเป็นที่อยู่ทางเทคนิคที่เซิร์ฟเวอร์เมลใช้เบื้องหลังสำหรับการกำหนดเส้นทางและการจัดส่ง

  • วัตถุประสงค์: เพื่อบอกเซิร์ฟเวอร์ผู้รับว่าจะส่งข้อความอัตโนมัติ เช่น การแจ้งเตือนอีเมลตีกลับ หรือรายงานการจัดส่งไม่สำเร็จ (NDR) ไปที่ใด
  • การมองเห็น: โดยทั่วไปผู้รับจะไม่เห็นที่อยู่นี้ในโปรแกรมอีเมล เนื่องจากเป็นส่วนหนึ่งของ "ซองจดหมาย" ข้อความที่ซ่อนอยู่
  • บทบาทด้านความปลอดภัย: นี่คือที่อยู่ที่ได้รับการตรวจสอบโดย SPF

2. Header sender (RFC 5322)

หรือที่รู้จักในชื่อที่อยู่ จาก: หรือผู้ส่ง P2 ซึ่งเป็นที่อยู่ที่มองเห็นได้ในกล่องขาเข้า (เช่น จาก: your-bank@example.com)

  • วัตถุประสงค์: นี่คือที่อยู่ "ที่เข้าใจง่าย" ซึ่งออกแบบมาเพื่อการตอบโต้กับมนุษย์ โดยแจ้งให้ผู้รับทราบว่าข้อความนี้ส่งมาจากใคร
  • การมองเห็น: นี่เป็นที่อยู่เพียงแห่งเดียวที่ผู้ใช้ส่วนใหญ่เห็นเมื่อเปิดกล่องขาเข้า
  • บทบาทด้านความปลอดภัย: ที่อยู่นี้เป็นที่อยู่ที่ผู้โจมตีมักใช้ในการปลอมแปลงบ่อยที่สุด และเป็นเป้าหมายหลักของการตรวจสอบความสอดคล้องของ DMARC

การออกแบบนี้ทำให้การปลอมแปลงอีเมล (การปลอมแปลงที่อยู่ จาก:) ทำได้ง่าย ผู้โจมตีสามารถใช้ envelope sender ที่ถูกต้องและอยู่ภายใต้การควบคุมเพื่อผ่านการตรวจสอบพื้นฐานของเซิร์ฟเวอร์ ในขณะที่ใช้ header sender ที่ฉ้อโกงเพื่อหลอกลวงผู้รับ โปรโตคอลการยืนยันตัวตนอีเมลอย่าง DMARC จะเข้ามาแก้ปัญหานี้โดยกำหนดให้โดเมนของผู้ส่งทั้งสองมีความสอดคล้องกัน

เหตุใดการยืนยันตัวตนอีเมลจึงมีความสำคัญต่อธุรกิจ

สำหรับธุรกิจแล้ว การเริ่มใช้งานการยืนยันตัวตนอีเมลเป็นเกราะป้องกันที่จำเป็นอย่างยิ่ง ซึ่งจะช่วย:

หยุดการปลอมแปลงและฟิชชิ่ง: ป้องกันไม่ให้ผู้โจมตีส่งอีเมลฉ้อโกงจากโดเมน

ปกป้องชื่อเสียงของแบรนด์: ป้องกันไม่ให้แบรนด์ถูกเชื่อมโยงกับสแปมและการหลอกลวงแบบฟิชชิ่ง

ปรับปรุงอัตราการส่งผ่านของอีเมล: ส่งสัญญาณไปยังผู้ให้บริการเมลรายอื่นว่าเป็นผู้ส่งที่ถูกต้องตามกฎหมาย ซึ่งช่วยไม่ให้อีเมลตกไปอยู่ในโฟลเดอร์สแปม

วิธีการยืนยันตัวตนอีเมลหลัก 3 วิธี

การป้องกันที่แข็งแกร่งอาศัยมาตรฐานสามอย่างที่ทำงานร่วมกัน ได้แก่ SPF, DKIM และ DMARC แต่ละมาตรฐานจะต่อยอดจากมาตรฐานก่อนหน้าเพื่อสร้างการป้องกันแบบหลายชั้น

1. Sender Policy Framework (SPF)

Sender Policy Framework (SPF) คือรายชื่อสาธารณะของเซิร์ฟเวอร์ทั้งหมด (ตามที่อยู่ IP) ที่ได้รับอนุญาตให้ส่งอีเมลสำหรับโดเมน

วิธีการทำงาน

รายชื่อดังกล่าวจะถูกเผยแพร่เป็นเรคคอร์ด DNS TXT สำหรับโดเมน เมื่อเซิร์ฟเวอร์เมลผู้รับได้รับข้อความ ระบบจะตรวจสอบ IP ของเซิร์ฟเวอร์ผู้ส่งเทียบกับรายชื่อดังกล่าว หาก IP อยู่ในรายชื่อ ข้อความจะผ่านการตรวจสอบ SPF แต่หากไม่อยู่ จะถือว่าไม่ผ่าน

จุดอ่อน

SPF ตรวจสอบเฉพาะที่อยู่ในการส่งทางเทคนิคที่เซิร์ฟเวอร์เมลใช้เท่านั้น ไม่ใช่ที่อยู่ จาก: ที่มองเห็นได้ซึ่งผู้คนเห็นในกล่องขาเข้า ช่องโหว่นี้ทำให้ผู้ปลอมแปลงสามารถผ่านการตรวจสอบ SPF ได้ เนื่องจาก SPF เป็นโปรโตคอลตามเส้นทาง จึงมักล้มเหลวเมื่อมีการส่งต่ออีเมลผ่านรายชื่อผู้รับจดหมายหรือเซิร์ฟเวอร์พันธมิตร เนื่องจากเซิร์ฟเวอร์ที่ส่งต่อไม่อยู่ในรายชื่อที่ได้รับอนุญาต การตรวจสอบจึงล้มเหลว

2. DomainKeys Identified Mail (DKIM)

DomainKeys Identified Mail (DKIM) เพิ่มลายเซ็นดิจิทัลที่ไม่ซ้ำใครและป้องกันการปลอมแปลงลงในเนื้อหาข้อความ รวมถึงส่วนหัว จาก:

วิธีการทำงาน

ลายเซ็นนี้สร้างขึ้นโดยใช้คีย์ส่วนตัวที่เซิร์ฟเวอร์เท่านั้นที่ทราบ คีย์สาธารณะที่สอดคล้องกันจะได้รับการเผยแพร่ใน DNS เซิร์ฟเวอร์ผู้รับจะใช้คีย์สาธารณะนี้เพื่อตรวจสอบลายเซ็น หากลายเซ็นถูกต้อง จะพิสูจน์ได้ว่าอีเมลนั้นมาจากโดเมนและเนื้อหาไม่ได้รับการแก้ไขระหว่างการจัดส่ง

จุดอ่อน

เช่นเดียวกับ SPF DKIM ไม่ได้ป้องกันการปลอมแปลงในตัวเองโดยตรง ลายเซ็นช่วยยืนยันว่าข้อความเป็นของจริงจากโดเมนที่ส่ง ซึ่งไม่จำเป็นต้องเป็นโดเมนที่แสดงในที่อยู่ จาก:

3. Domain-based Message Authentication, Reporting, and Conformance (DMARC)

Domain-based Message Authentication, Reporting, and Conformance (DMARC) คือนโยบายที่เชื่อมโยง SPF และ DKIM เข้าด้วยกัน DMARC คือกฎที่บอกให้เซิร์ฟเวอร์เมลเชื่อถืออีเมลเฉพาะเมื่อที่อยู่ จาก: ที่เห็นตรงกับการตรวจสอบการยืนยันตัวตนเบื้องหลังเท่านั้น วิธีนี้ช่วยปิดช่องโหว่ที่ผู้โจมตีมักใช้ประโยชน์จากการมีเพียง SPF หรือ DKIM อย่างใดอย่างหนึ่ง

วิธีการทำงาน

DMARC กำหนดให้โดเมนในที่อยู่ จาก: ที่มองเห็นได้ต้องตรงกับโดเมนที่ใช้ในการตรวจสอบ SPF หรือ DKIM ที่ผ่านเกณฑ์ ขั้นตอนสำคัญนี้จะเชื่อมโยงที่อยู่ผู้ส่งที่มองเห็นได้เข้ากับการตรวจสอบยืนยันทางเทคนิค

นอกจากนี้ยังแจ้งให้เซิร์ฟเวอร์ทราบว่าต้องดำเนินการอย่างไร: นโยบาย DMARC (p) คือสิ่งที่จะแจ้งให้เซิร์ฟเวอร์ผู้รับทราบวิธีจัดการกับกรณีที่ไม่ผ่านการตรวจสอบ:

  • p=none (Monitor): ไม่ต้องดำเนินการใดๆ เพียงแค่ส่งรายงานกลับมาเพื่อแจ้งเกี่ยวกับผู้ที่ส่งอีเมลจากโดเมน
  • p=quarantine (Quarantine): ส่งอีเมลที่ไม่ผ่านการตรวจสอบไปยังโฟลเดอร์สแปม
  • p=reject (Reject): บล็อกอีเมลที่ไม่ผ่านการตรวจสอบทั้งหมดโดยสิ้นเชิง

ปกป้องธุรกิจจากฟิชชิ่งและการปลอมแปลงโดเมน

การละเมิดข้อมูลมากกว่า 90% เริ่มต้นจากการโจมตีด้วยฟิชชิ่งหรือการปลอมแปลง การติดตั้งใช้งาน SPF, DKIM และ DMARC คือแนวป้องกันด่านแรก แต่ต้องใช้ควบคู่กับผู้ให้บริการอีเมลที่ปลอดภัยโดยค่าเริ่มต้น

Proton Mail for Business ได้รับการออกแบบมาเพื่อบล็อกภัยคุกคามเหล่านี้ก่อนที่จะส่งถึงทีม ระบบตรวจจับการปลอมแปลงขั้นสูง เทคโนโลยี PhishGuard และการเข้ารหัสลับจากต้นทางถึงปลายทาง ช่วยมอบการปกป้องที่ครอบคลุมและจัดการได้ง่าย

วิธีตั้งค่าการยืนยันตัวตนอีเมล (ทีละขั้นตอน)

การปกป้องโดเมนเกี่ยวข้องกับการเพิ่มระเบียนบางส่วนไปยังการตั้งค่า Domain Name System (DNS) ซึ่งจัดการโดยผู้รับจดทะเบียนโดเมน (เช่น GoDaddy, Namecheap หรือ Cloudflare)

ขั้นตอนที่ 1

สร้างระเบียน SPF

ขั้นแรก ให้ระบุบริการทั้งหมดที่ใช้ในการส่งอีเมล (เช่น ผู้ให้บริการอีเมล บริการจดหมายข่าวอย่าง Mailchimp หรือ CRM) ระเบียน SPF ต้องครอบคลุมบริการทั้งหมดเหล่านี้ ตัวอย่างเช่น ระเบียน SPF ของ Proton Mail คือ v=spf1 include:_spf.proton.me mx ~all ให้เพิ่มระเบียนนี้เป็นระเบียน TXT ในการตั้งค่า DNS

ขั้นตอนที่ 2

กำหนดค่าลายเซ็น DKIM

ในแผงควบคุมผู้ดูแลระบบของ Proton Mail (หรือของผู้ให้บริการรายอื่น) ให้ไปที่การตั้งค่าโดเมน ระบบจะสร้างคีย์ DKIM ที่ไม่ซ้ำกันขึ้นมา ขั้นตอนการตั้งค่า DKIM ใน Microsoft 365, Google Workspace หรือ Proton นั้นคล้ายคลึงกัน โดยให้คัดลอกคีย์ที่สร้างขึ้นและสร้างระเบียน TXT ใหม่ใน DNS ตามคำแนะนำ

ขั้นตอนที่ 3

ตั้งค่าใช้งานนโยบาย DMARC

การเพิ่มนโยบาย DMARC (p) คือขั้นตอนสุดท้าย ควรเปิดใช้งานเป็นระยะๆ เพื่อหลีกเลี่ยงการบล็อกอีเมลที่ถูกต้อง

  1. เริ่มต้นด้วย p=none: สร้างระเบียน DMARC ด้วยนโยบาย p=none โหมดการตรวจสอบนี้ช่วยให้ได้รับรายงานความล้มเหลวของอีเมลโดยไม่ส่งผลกระทบต่อการจัดส่งเมล
  2. วิเคราะห์รายงาน: ใช้รายงาน DMARC เพื่อระบุบริการที่ถูกต้องซึ่งไม่ผ่านการตรวจสอบ แล้วเพิ่มบริการดังกล่าวในระเบียน SPF และ DKIM
  3. เปลี่ยนเป็น p=quarantine: เมื่อมั่นใจแล้ว ให้เปลี่ยนนโยบายเป็น p=quarantine วิธีนี้จะส่งอีเมลที่ไม่ผ่านการตรวจสอบไปยังโฟลเดอร์สแปม
  4. เปลี่ยนเป็น p=reject: หลังจากตรวจสอบเพิ่มเติมแล้ว ให้เปลี่ยนเป็น p=reject เพื่อบล็อกไม่ให้ส่งอีเมลหลอกลวงทั้งหมด

สำหรับคำแนะนำการตั้งค่าโดยละเอียด รวมถึงภาพหน้าจอและค่าระเบียน โปรดดู คู่มือช่วยเหลือ ของ Proton

นอกเหนือจากพื้นฐาน: ARC และ BIMI

เมื่อติดตั้ง SPF, DKIM และ DMARC เรียบร้อยแล้ว จะมีมาตรฐานเสริมอีกสองรายการที่สามารถเพิ่มมูลค่าเพิ่มเติมได้:

Authenticated received chain (ARC)

ช่วยให้ผลลัพธ์การยืนยันตัวตนยังคงสมบูรณ์เมื่อมีการส่งต่ออีเมล (เช่น ผ่านรายชื่อผู้รับจดหมาย) ซึ่งมักทำให้ SPF หรือ DKIM ใช้งานไม่ได้

Brand indicators for message identification (BIMI)

ช่วยให้โลโก้อย่างเป็นทางการของบริษัทแสดงขึ้นข้างๆ อีเมลในกล่องขาเข้าที่รองรับ เปรียบเสมือน "เครื่องหมายถูกที่ยืนยันแล้ว" สำหรับอีเมล ในการผ่านเกณฑ์ จำเป็นต้องมีนโยบาย DMARC ที่เข้มงวด (quarantine หรือ reject)

วิธีที่ Proton Mail ปกป้องอีเมลธุรกิจ

การตั้งค่าการยืนยันตัวตนอีเมลเป็นสิ่งสำคัญ แต่นี่เป็นเพียงส่วนหนึ่งของกลยุทธ์ความปลอดภัยที่สมบูรณ์แบบเท่านั้น Proton Mail เพิ่มการป้องกันอีกหลายชั้นเพื่อช่วยให้ธุรกิจปลอดภัยจากภัยคุกคามขั้นสูง

การตรวจจับการปลอมแปลงขั้นสูง

Proton Mail จะตรวจสอบ SPF, DKIM และ DMARC ในทุกข้อความขาเข้าโดยอัตโนมัติ อีเมลที่ไม่ผ่านการตรวจสอบเหล่านี้จะได้รับการทำเครื่องหมายอย่างชัดเจน เพื่อลดความเสี่ยงจากการแอบอ้างบุคคลอื่น

PhishGuard

PhishGuard จะระบุลิงก์ รูปแบบ และสัญญาณเตือนอื่นๆ ที่น่าสงสัยซึ่งตัวกรองพื้นฐานมักตรวจไม่พบ ช่วยบล็อกการพยายามทำฟิชชิ่งก่อนที่จะส่งถึงพนักงาน

การเข้ารหัสลับจากต้นทางถึงปลายทางและแบบ zero-access

อีเมลระหว่างผู้ใช้ Proton จะได้รับการเข้ารหัสลับจากต้นทางถึงปลายทางโดยอัตโนมัติ ข้อมูลทั้งหมดได้รับการจัดเก็บด้วยการเข้ารหัสลับแบบ zero-access ซึ่งหมายความว่าแม้แต่ผู้ให้บริการก็ไม่สามารถอ่านอีเมลได้

การยืนยันลิงก์

เมื่อผู้ใช้คลิกลิงก์ในอีเมล Proton Mail จะแสดงตัวอย่างแบบเต็มของ URL ปลายทาง เพื่อช่วยป้องกันการคลิกไซต์ที่เป็นอันตรายโดยไม่ได้ตั้งใจ

Proton Mail

ปกป้องการสื่อสารทางธุรกิจให้ปลอดภัย

ปกป้องบริษัทจากการฟิชชิ่ง การปลอมแปลง และการละเมิดข้อมูลด้วยบริการอีเมลที่ให้ความสำคัญกับความปลอดภัยและความเป็นส่วนตัวเป็นอันดับแรก ปรับใช้การยืนยันตัวตนอีเมลที่แข็งแกร่ง และรับประโยชน์จากการเข้ารหัสลับจากต้นทางถึงปลายทางรวมถึงการป้องกันฟิชชิ่งขั้นสูง ทั้งหมดนี้ในโซลูชันเดียวที่ง่ายและปลอดภัย

คำถามที่พบบ่อย

SPF และ DKIM แตกต่างกันอย่างไร?
เซิร์ฟเวอร์อีเมลตรวจสอบการยืนยันตัวตนอย่างไร?
DMARC ใช้เวลานานเท่าใดจึงจะมีผล?
จะเกิดอะไรขึ้นหากมิจฉาชีพปลอมแปลงอีเมล?
วิธีนี้สามารถหยุดการโจมตีแบบฟิชชิ่งทั้งหมดได้หรือไม่?