สาเหตุที่ถูก Bomb Email แบบ Multi-users

ทำไมอยู่ ๆ ก็ถูกบอมบ์เมลเข้ามาจน Mailbox เต็ม

ลักษณะอาการที่ว่าบัญชีอีเมลของตัวเอง Bomb Emails ไปหาคนอื่นจำนวนมาก โดยที่ Users ในองค์กรก็เจอเหมือนกันกับเรา จนทำให้ Sending limit ของ user เต็ม แล้วก็ส่งข้อความไม่ออกอีกเลย

แถมด้วยข้อความตีกลับอีกเป็นพัน ๆ ฉบับ Subject: Mail delivery failed: returning message to sender

เมื่อเราใช้อีเมลบริษัท อยู่ในออฟฟิศเดียวกับเพื่อนร่วมงานที่ใช้อีเมล @ เหมือนกับเรา แล้วยังใช้ Internet Wi-Fi ของที่ทำงานตัวเดียวกันด้วย โอกาสเกิดขึ้นมีสูงมาก ถ้ามี Bot ที่สามารถรู้รหัสผ่านของ Router เขาก็จะสามารถเข้าไปส่งข้อความอะไรก็ได้ออกจากบัญชีอีเมลส่วนตัวของเรา

สาเหตุเกิดได้หลายปัจจัย ได้แก่

1. โปรแกรม Client ที่ใช้งานอยู่ติดไวรัส

2. เคยนำ Username, Password ไปกรอกในเว็บที่มีแหล่งที่มาที่ไม่น่าเชื่อถือ

3. คลิกลิงค์ที่ไม่น่าเชื่อถือจากอีเมลที่ไม่รู้แหล่งที่มา

4. เครื่องคอมพิวเตอร์ติดมัลแวร์

วิธีแก้ไขปัญหา

1. รีบเปลี่ยนรหัสผ่านก่อน

2. สแกนมัลแวร์ หรือไวรัสที่เครื่องคอมพิวเตอร์ที่เกิดปัญหา

3. Kill Virus/Malwares

4. เปลี่ยนรหัสผ่านเป็นรหัสผ่านชุดที่ไม่ซ้ำกับชุดเดิมอีกครั้ง

5. เฝ้าติดตามอาการ 1-2 วัน จำนวนข้อความที่ได้รับต้องน้อยลง

6.  ทะยอยลบข้อความที่ไม่สำคัญออกจาก Mailbox เพื่อป้องกัน User เปิดข้อความและเข้าเว็บไซต์ที่ไม่ปลอดภัย

ProofPoint คืออะไร

ProofPoint เป็นระบบหนึ่งที่ทำงานร่วมกับ E-mail Server เพื่อให้การรับ-ส่ง Email มีประสิทธิภาพมากขึ้น

ProofPoint มีหน้าที่หลักเพื่อควบคุมการรับ – ส่ง และที่สำคัญคือ ยังเป็นระบบกรองไวรัสและสแปมที่มีประสิทธิภาพสูง สามารถป้องกันไวรัส ได้ถึง 100 % มีการตรวจสอบไวรัสและสแปมเมลทุกวินาที จึงทำให้มั่นใจได้ว่า Email ที่ถูกเปิดแต่ละฉบับจะไม่มีความเสี่ยงกับคอมพิวเตอร์และธุรกิจของเราอย่างแน่นอน รวมไปถึงการจัดการทรัพยากรด้าน Hardware เพื่อเพิ่มการทำงานที่มีประสิทธิภาพ ทำให้ E-mail Server ทำงานได้อย่างเต็มที่ มีอายุการทำงานที่มากขึ้น ลดการ Down ของ Server ที่เกิดจาก การโหลด Email จาก Server

การกรองอีเมลที่เป็นไวรัส ในไฟล์ *.zip ช่วยป้องกันไวรัสได้อย่างไร

ระบบการกรอง Email ถือว่าเป็นระบบที่มีความสำคัญต่อ Mail Server เป็นอย่างมาก เพราะระบบที่มีความสามารถกรอง Email ได้ดี จะช่วยลดจำนวน Junk Mail ที่สร้างความรำคาญให้ผู้ใช้ที่ต้องเสียเวลาในการลบข้อความเหล่านั้นบ่อย ๆ และสามารถเพิ่มความปลอดภัยในการใช้ Email ที่ปราศจากไวรัสหรือมัลแวร์ได้ด้วย

ลักษณะของข้อความที่เป็น Junk Mail

Spam Mail คือ การส่งเมลที่เป็นโฆษณาสินค้า และบริการต่าง ๆ ที่เราไม่ได้ต้องการ

Chain Mail คือ การส่งเมลที่มีลักษณะเหมือนจดหมายลูกโซ่ มีเนื้อหาทำให้เกิดความเชื่อคล้อยตามที่มีจุดประสงค์ให้ส่งเมลต่อไปให้กับคนรู้จักต่อไปเรื่อย ๆ

Bomb Mail คือ การส่งเมลเป็นจำนวนมาก หลักร้อย หลักพันฉบับ ในเวลาเดียวกัน มีจุดประสงค์เพื่อทำให้ Mail Server เกิดความเสียหายจนไม่สามารถใช้งานได้

Hoax mail คือ การส่งอีเมลที่มีเนื้อหาเกินความจริง หลอกลวงให้ผู้อ่านหลงเชื่อแล้วคิดว่าเนื้อหาที่ได้รับเป็นความจริง มีจุดประสงค์ให้ส่งต่อเมลเพื่อให้ข้อมูลเหล่านั้นแพร่กระจายไปในวงกว้างอย่างรวดเร็ว

Mail Virus คือ การส่งอีเมลที่มีไฟล์แนบมาเป็น ไวรัส โดยไวรัสสามารถเข้ามาในเครื่องคอมพิวเตอร์ได้ทันที เมื่อผู้รับเปิดไฟล์ที่แนบมานั้น

โดยชนิดของเมลที่กล่าวมาทั้งหมดนี้ มีอยู่ 1 ชนิด ที่สร้างความเสียหายให้กับผู้ใช้อย่างมากที่สุด คือ Mail Virus เพราะ ถ้าผู้ใช้ลองเปิดไฟล์ที่แนบมาด้วยความรู้เท่าไม่ถึงการณ์ เพียงคลิกไปที่ไฟล์เท่านั้น ไวรัสที่ถูกส่งมาจะเข้าไปแฝงตัวเพื่อสร้างความเสียหาย หรือ ขโมยข้อมูลทางธุรกรรมต่าง ๆ ไปได้ทันที

ดังนั้นระบบกรอง Email ที่ดีจะต้องมีฟังก์ชั่นในการกรองไฟล์ที่แนบมากับเมลได้ด้วย ซึ่งมักจะไม่ได้แนบไฟล์ที่เป็นไวรัสมาโดยตรง แต่จะทำการบีบอัดไฟล์มาในรูปแบบไฟล์นามสกุล .zip .rar .7z ซึ่งหลักการทำงานของระบบต้องทำการสแกนเข้าไปในไฟล์บีบอัด ว่าภายในไฟล์เหล่านี้ มีไฟล์ที่ต้องสงสัยที่เป็นไวรัสหรือไม่ ถ้าอีเมลดังกล่าวมีไวรัสก็จะตีกลับไปแจ้งทางผู้ส่ง และถ้าไม่มีไวรัสก็จะอนุญาตให้ผ่านเข้ามาใน Inbox ของผู้รับได้

MXScan คืออะไร

MXScan เป็นเครื่องมือสร้างความปลอดภัย ตรวจสอบดักจับไวรัสและสแปมเมลของ Mail Server ขาเข้าโดยเฉพาะ มีชื่อว่า AntiSpam and AntiVirus Suite ทำงานร่วมกับ Open Source Software เช่น SpamAssassin, ClamAV ซึ่งช่วยกำจัดสแปมเมลและไวรัสให้กับ Mail Server ได้ดี โดยจะจัดเป็นคะแนน แบ่งเป็น Levels เพื่อแสดงผลความเสี่ยงของข้อความที่จะเป็นสแปมมากน้อยตามลำดับ

นอกจากนี้ MXScan มีเครื่องมือที่ไว้ Lookup IP Address ได้ด้วยว่า IP Address นั้น ๆ ติด Blacklist ในฐานข้อมูลของใครบ้าง ซึ่งตรวจสอบได้จากเว็บไซต์ mxuptime.com

Sanesecurity คืออะไร

Sanesecurity เป็น Add-on ตัวหนึ่งของ ClamAV ที่ช่วยตรวจสอบมัลแวร์, Spam, Scam, Phishing ในข้อความอีเมลที่มาทางสัญลักษณ์ อาจจะเป็นตัวย่อ หรืออย่างใดอย่างหนึ่งในเนื้อหาข้อความที่มีความเสี่ยงเป็น Spam และช่วยตรวจสอบไปถึง Ransomware หรือไวรัสเรียกค่าไถ่ได้ด้วย โดยทาง Sanesecurity จะมีการ Update ไวรัส, มัลแวร์, สแปมเมล Signatures ไว้สม่ำเสมอที่เว็บไซต์ sanesecurity.com

ในข้อความอีเมลฉบับหนึ่งอาจจะถูกตรวจสอบและมองว่าเป็น Spam แม้ว่าในเนื้อหาเป็นตัวอักษรแค่สั้น ๆ เพียงไม่กี่ตัว

กรณีที่ข้อความอีเมลของเราไม่สามารถส่งออกได้เพราะติดตัว Sanesecurity นั้น จะปรากฏเป็น Error message ลักษณะ ดังนี้

info@xxx.com
host smtp.spamcloud.com [108.xx.xx.xx]
SMTP error from remote mail server after end of data:
550 Message contained spam content (Sanesecurity.Junk.5464)

จาก Error message ที่ตีกลับมานั้น จะมี Signature ของ Sanesecurity ปรากฏตามข้อความในวงเล็บ
เราสามารถค้นหาสาเหตุที่ระบบกรองนั้นมองว่าข้อความฉบับดังกล่าวเป็นสแปมที่ประโยคใด โดยเข้าไปที่เว็บไซต์ http://sane.mxuptime.com/

วิธี Lookup Signature ของ Sanesecurity

 

นำ Signature ที่ได้จาก Error message มาค้นหาที่ช่อง Signature Name

 

ผลการตรวจสอบจะแจ้งว่าเนื้อหาในอีเมลที่มีคำว่า CY LC เป็นต้นเหตุทำให้ข้อความส่งไม่ออก

 

สำหรับการแก้ไขข้อความให้ส่งออกได้โดยไม่ติด Sanesecurity หากมีความจำเป็นต้องส่งข้อความที่มีคำว่า ‘CY LC’ อยู่ในเนื้อหาให้ใส่เว้นวรรคเพิ่มลงไป อาทิ ‘CY   LC’ เพื่อทำให้ระบบมองว่าเป็นคำที่มีความหมายอื่น

ดังนั้นเมื่อเราเจอข้อความตีกลับที่มาจาก Sansecurity เราสามารถนำ Signature ที่ได้จาก Error message มา Lookup ที่เว็บไซต์ดังกล่าวได้เลย เพื่อให้ทราบว่าแท้จริงแล้วข้อความตีกลับด้วยสาเหตุใด

Iprange Rbl Project

Realtime blacklist (RBL) เป็นฐานข้อมูลที่มี IP Address ซึ่ง realtime BLACKLIST.COM ไม่แนะนำให้ยอมรับอีเมล

RBL จะไม่สามารถทำงานได้ในระบบเรียลไทม์โดยใช้ระบบอีเมลแม้ว่าจะใช้อินเทอร์เน็ตซึ่งช่วยให้ผู้ดูแลระบบเซิร์ฟเวอร์เมล์สามารถระบุแท็กหรือบล็อกการเชื่อมต่อขาเข้าจากที่อยู่ IP ซึ่ง realtimeBLACKLIST.COM เห็นว่าเกี่ยวข้องกับการส่งโฮสติ้งหรือการสร้างอีเมลขยะเป็นจำนวนมากที่ไม่ต้องการ

RBL นี้ยังระบุที่อยู่ IP ที่ใช้ใน Botnet หรือเพื่อแพร่กระจายมัลแวร์ / ไวรัส ฐานข้อมูล RBL ได้รับการดูแลโดยผู้เชี่ยวชาญ IPrange.net / realtimeBLACKLIST.COM และผู้ให้การสนับสนุนบางรายซึ่งตั้งอยู่ในประเทศเนเธอร์แลนด์ซึ่งทำงาน 24/7 เพื่อแสดงรายการปัญหาสแปมที่ได้รับการยืนยันแล้ว และเพื่อยกเลิกการแก้ไขปัญหา

วิธีตรวจสอบ IP Blacklist

เปิดเว็บไซต์ realtimeblacklist.com

 

กรอกหมายเลข IP จากนั้นกด Check IP

inps.de คืออะไร

INPS.DE เป็นแหล่งเก็บข้อมูลของ IP Address ที่ได้รับรายงานจากผู้ใช้อื่น ๆ ว่า IP ดังกล่าวส่งสแปม แต่ไม่ได้หมายความว่าเราจะเป็นผู้ส่งสแปมเมลเอง แต่ทาง INPS.DE ได้รับแจ้งว่าได้รับอีเมลขยะอย่างน้อยหนึ่งรายการจาก IP Address ของเรา

เราสามารถ Report Spam เองได้ง่าย ๆ โดยไปที่เว็บไซต์ report-spam.de

วิธี Remove IP Address ออกจาก inps.de DNSBL

Delisting request

 

ทำไม IP ของ Mail Hosting/Server คุณถึงติด Blacklist ซ้ำซาก

ปัญหา IP ของ Email Hosting ติด Blacklist หรือ Real time black list (RBL) สร้างความเบื่อหน่ายให้แก่ผู้ใช้งาน Email ใน Server เหล่านั้น ซึ่งปัญหานี้มีโอกาสเกิดขึ้นกับ Email Hosting ที่มีการให้บริการ Web Hosting ด้วย และ มีโอกาสสูงมากขึ้นหาก Server นี้ ให้บริการ Email Hosting แก่ User จำนวนมากๆ เรามาดูปัจจัยเสี่ยงหลัก ๆ ที่ทำให้ IP ของ Email Hosting คุณติด Blacklist ซ้ำไปซ้ำมา

1. Email ยิ่งเยอะ IP ก็ยิ่งเสี่ยงติด Blacklist ตามไปด้วย, หากใน Server ที่คุณใช้บริการอยู่มีการ Share ให้ User เป็นพัน ๆ หมื่น ๆ User หากมี User นึงส่ง Spam, Server ของคุณก็จะติด Blacklist ไปด้วย
2. Mail Server ทั่วไปทำได้แค่จำกัดปริมาณการส่งต่อวัน ถึงแม้ว่าการจำกัดปริมาณการส่งต่อ Email หรือ ต่อ Domain จะช่วยลดความเสี่ยงที่ทำให้ Email Hosting ของคุณติด Blacklist แต่ก็ไม่ใช่วิธีที่ฉลาดนักเพราะเป็นการแก้ที่ปลายเหตุ และ ก็ไม่สามารถหนีพ้นปัญหา IP ติด Blacklist ได้อยู่ดี

 

3. ขอเปลี่ยน IP ก็ติดเหมือนเดิม, ถึงแม้ว่า Server ที่อยู่ใน Data Center ต่างๆ สามารถร้องขอ IP ชุดใหม่จาก Data Center ได้เมื่อไหร่ก็ได้ แต่ถึงแม้ว่าคุณจะได้ IP มาชุดใหม่ คุณก็จะพบว่า IP ชุดใหม่ที่ได้รับก็ติด Blacklist เหมือนกัน เพราะอยู่ Class เดียวกันกับ IP ชุดเก่า
4. นักส่ง Spam ใหม่ๆ เกิดขึ้นเสมอ ทำให้ผู้ที่ดูแล Email Hosting นั้น ไม่เท่าทันถึงวิธีการใหม่ ๆ ของ User ที่แฝงอยู่ใน Mail Server และบุคคลเหล่านั้นก็ทำให้ Email Hosting กลับมาติด Blacklist อีกครั้ง
5. ผู้ให้บริการ Email Hosting ที่มีมาตรฐาน จะมีระบบกรองไปยัง Content หรือ เนื้อหาของ Email ที่ส่งออกจาก Mail Server ทุกฉบับ และหากพบว่ามีอีเมล์ไหนเข้าข่ายเป็น Spam ก็จะไม่ยอมส่ง Email ฉบับนี้ออกไป ซึ่งเป็นการป้องกัน IP ของ Email Hosting ที่ต้นเหตุ และ ได้รับการยอมรับ

 

ตัวอย่างอีเมลที่ส่งไวรัสเพื่อแฮกข้อมูลในองค์กร

ที่มาของ “ไวรัส” ที่แอบแฝงมากับอีเมล

Hacker มักจะสร้างอีเมล ที่เกิดแรงจูงใจทำให้ผู้รับอย่างเปิดเมล์ รวมถึงไฟล์แนบ, เช่น PO, Re Quotation order ซึ่งมีความหมายโดยรวมว่า “ฉันจะซื้อของกับคุณ” และถูกส่งมาในรูปแบบของไฟล์ .zip เพื่อหลบซ่อนไวรัสไว้ด้านใน หากคุณเปิดเมื่อไหร่ ข้อมูลในเครื่องคอมพิวเตอร์ และเครื่องอื่น ๆ ในองค์กรของคุณจะโดนสอดแนม หรืออาจจะถูกปลอมแปลงเอกสารในอีเมลโดยที่คุณไม่รู้ตัว

ตัวอย่างอีเมลที่มี “ไวรัสสอดแนม”

ตัวอย่างอีเมลที่มีไฟล์แนบติดไวรัส

 

จากภาพตัวอย่างจะเห็นว่า Hacker ได้ส่งอีเมลโดยมีรายละเอียด

Subject หรือ หัวข้อของอีเมล เขียนว่า “Re: quotation order” เพื่อให้ผู้อ่านเกิด “แรงจูงใจ” ในการเปิดอ่าน
Hacker ได้แนบไฟล์ เพื่อหลอกให้ผู้อ่านเปิดไฟล์ และ run file ที่เป็นไวรัส
Hacker ได้ส่งไฟล์แนบ .Zip เพื่อหลีกเลี่ยงการตรวจสอบ แต่ในความเป็นจริงแล้วในไฟล์นี้จะมีไวรัสซ่อนอยู่

Hacker ได้อีเมลคุณ มาได้อย่างไร

Hacker มักจะพยายามไปหาอีเมล โดยเฉพาะของฝ่ายจัดซื้อ จากเว็บไซต์ประกาศต่างๆ ที่คุณเคยไป โพสอีเมลทิ้งไว้ และ จะสุ่มยิงอีเมลนี้ไปเรื่อยๆ
Hacker อาจจะทำการ Hack Email และ Address Book ที่เป็นคู่ค่าของคุณ, และหลังจากได้อีเมลของคุณมา Hacker ก็จะทำการส่งไวรัส ตามมา

เราจะป้องกัน ไวรัส หรือ Hacker ได้อย่างไร

ไวรัสทุกชนิดจะไม่สามารถ Run ได้เลย หากคุณได้ลง Antivirus ของแท้ และ Update เป็นเวอร์ชั่นล่าสุด
โปรแกรม Antivirus จะแจ้งคุณทันที เมื่อคุณ เผลอไปกด Run File ที่เป็นไวรัส ไม่ว่าจะอยู่ในรูปแบบอีเมล Flash Drive หรือแอบเข้ามาในวง Lan

หากคุณไม่มั่นใจ ว่าคอมพิวเตอร์ของคุณ โดน ไวรัส เข้าไปหรือยัง คุณควรตระหนัก และ ใส่ใจว่า คอมพิวเตอร์ของคุณ สามารถเป็นตัวแพร่ กระจายไวรัส ให้แก่บุคคลอื่นในองค์กรได้ทั้งหมด และทำให้ข้อมูลในองค์กรของคุณรั่วไหลในที่สุด

Passive Spam Block List

Passive Spam Block List (PSBL)

PSBL  เป็น Blacklisted ที่ใช้งานง่าย เนื่องจากผู้ใช้รายใดสามารถเอาเซิร์ฟเวอร์อีเมลของ ISP ออกจากรายการได้ (ปลด BL)

ความคิดมากจาก 99% ของโฮสใด ๆ ที่ส่งข้อความสแปมมาให้ฝั่งเราซึ่งไม่เคยส่งเมลจริง ๆ เลย สามารถใช้
โฮสตัวดังกล่าวส่งอีเมลมายังปลายทางได้

IP  Address จะติด PSBL ก็ต่อเมื่อมีการส่งอีเมลไปยัง spamtrap ซึ่งอีเมลฉบับดังกล่าว ไม่ได้สามารถระบุได้ว่าไม่ใช่สแปม และ IP Address นั้นเป็น IP ที่ไม่รู้จัก ตรวจสอบไม่ได้

Removal

การปลด IP addresses สามารถดำเนินการโดยผู้ใดก็ได้ PSBL จะเก็บลิสของ IP addresses เท่านั้น ไม่ใช่ชื่อบัญชีอีเมล ดังนั้นให้นำ IP Address มา Lookup ที่เว็บไซต์ได้เลย PSBL