สาเหตุที่ถูก Bomb Email แบบ Multi-users

ทำไมอยู่ ๆ ก็ถูกบอมบ์เมลเข้ามาจน Mailbox เต็ม

ลักษณะอาการที่ว่าบัญชีอีเมลของตัวเอง Bomb Emails ไปหาคนอื่นจำนวนมาก โดยที่ Users ในองค์กรก็เจอเหมือนกันกับเรา จนทำให้ Sending limit ของ user เต็ม แล้วก็ส่งข้อความไม่ออกอีกเลย

แถมด้วยข้อความตีกลับอีกเป็นพัน ๆ ฉบับ Subject: Mail delivery failed: returning message to sender

เมื่อเราใช้อีเมลบริษัท อยู่ในออฟฟิศเดียวกับเพื่อนร่วมงานที่ใช้อีเมล @ เหมือนกับเรา แล้วยังใช้ Internet Wi-Fi ของที่ทำงานตัวเดียวกันด้วย โอกาสเกิดขึ้นมีสูงมาก ถ้ามี Bot ที่สามารถรู้รหัสผ่านของ Router เขาก็จะสามารถเข้าไปส่งข้อความอะไรก็ได้ออกจากบัญชีอีเมลส่วนตัวของเรา

สาเหตุเกิดได้หลายปัจจัย ได้แก่

1. โปรแกรม Client ที่ใช้งานอยู่ติดไวรัส

2. เคยนำ Username, Password ไปกรอกในเว็บที่มีแหล่งที่มาที่ไม่น่าเชื่อถือ

3. คลิกลิงค์ที่ไม่น่าเชื่อถือจากอีเมลที่ไม่รู้แหล่งที่มา

4. เครื่องคอมพิวเตอร์ติดมัลแวร์

วิธีแก้ไขปัญหา

1. รีบเปลี่ยนรหัสผ่านก่อน

2. สแกนมัลแวร์ หรือไวรัสที่เครื่องคอมพิวเตอร์ที่เกิดปัญหา

3. Kill Virus/Malwares

4. เปลี่ยนรหัสผ่านเป็นรหัสผ่านชุดที่ไม่ซ้ำกับชุดเดิมอีกครั้ง

5. เฝ้าติดตามอาการ 1-2 วัน จำนวนข้อความที่ได้รับต้องน้อยลง

6.  ทะยอยลบข้อความที่ไม่สำคัญออกจาก Mailbox เพื่อป้องกัน User เปิดข้อความและเข้าเว็บไซต์ที่ไม่ปลอดภัย

ProofPoint คืออะไร

ProofPoint เป็นระบบหนึ่งที่ทำงานร่วมกับ E-mail Server เพื่อให้การรับ-ส่ง Email มีประสิทธิภาพมากขึ้น

ProofPoint มีหน้าที่หลักเพื่อควบคุมการรับ – ส่ง และที่สำคัญคือ ยังเป็นระบบกรองไวรัสและสแปมที่มีประสิทธิภาพสูง สามารถป้องกันไวรัส ได้ถึง 100 % มีการตรวจสอบไวรัสและสแปมเมลทุกวินาที จึงทำให้มั่นใจได้ว่า Email ที่ถูกเปิดแต่ละฉบับจะไม่มีความเสี่ยงกับคอมพิวเตอร์และธุรกิจของเราอย่างแน่นอน รวมไปถึงการจัดการทรัพยากรด้าน Hardware เพื่อเพิ่มการทำงานที่มีประสิทธิภาพ ทำให้ E-mail Server ทำงานได้อย่างเต็มที่ มีอายุการทำงานที่มากขึ้น ลดการ Down ของ Server ที่เกิดจาก การโหลด Email จาก Server

การกรองอีเมลที่เป็นไวรัส ในไฟล์ *.zip ช่วยป้องกันไวรัสได้อย่างไร

ระบบการกรอง Email ถือว่าเป็นระบบที่มีความสำคัญต่อ Mail Server เป็นอย่างมาก เพราะระบบที่มีความสามารถกรอง Email ได้ดี จะช่วยลดจำนวน Junk Mail ที่สร้างความรำคาญให้ผู้ใช้ที่ต้องเสียเวลาในการลบข้อความเหล่านั้นบ่อย ๆ และสามารถเพิ่มความปลอดภัยในการใช้ Email ที่ปราศจากไวรัสหรือมัลแวร์ได้ด้วย

ลักษณะของข้อความที่เป็น Junk Mail

Spam Mail คือ การส่งเมลที่เป็นโฆษณาสินค้า และบริการต่าง ๆ ที่เราไม่ได้ต้องการ

Chain Mail คือ การส่งเมลที่มีลักษณะเหมือนจดหมายลูกโซ่ มีเนื้อหาทำให้เกิดความเชื่อคล้อยตามที่มีจุดประสงค์ให้ส่งเมลต่อไปให้กับคนรู้จักต่อไปเรื่อย ๆ

Bomb Mail คือ การส่งเมลเป็นจำนวนมาก หลักร้อย หลักพันฉบับ ในเวลาเดียวกัน มีจุดประสงค์เพื่อทำให้ Mail Server เกิดความเสียหายจนไม่สามารถใช้งานได้

Hoax mail คือ การส่งอีเมลที่มีเนื้อหาเกินความจริง หลอกลวงให้ผู้อ่านหลงเชื่อแล้วคิดว่าเนื้อหาที่ได้รับเป็นความจริง มีจุดประสงค์ให้ส่งต่อเมลเพื่อให้ข้อมูลเหล่านั้นแพร่กระจายไปในวงกว้างอย่างรวดเร็ว

Mail Virus คือ การส่งอีเมลที่มีไฟล์แนบมาเป็น ไวรัส โดยไวรัสสามารถเข้ามาในเครื่องคอมพิวเตอร์ได้ทันที เมื่อผู้รับเปิดไฟล์ที่แนบมานั้น

โดยชนิดของเมลที่กล่าวมาทั้งหมดนี้ มีอยู่ 1 ชนิด ที่สร้างความเสียหายให้กับผู้ใช้อย่างมากที่สุด คือ Mail Virus เพราะ ถ้าผู้ใช้ลองเปิดไฟล์ที่แนบมาด้วยความรู้เท่าไม่ถึงการณ์ เพียงคลิกไปที่ไฟล์เท่านั้น ไวรัสที่ถูกส่งมาจะเข้าไปแฝงตัวเพื่อสร้างความเสียหาย หรือ ขโมยข้อมูลทางธุรกรรมต่าง ๆ ไปได้ทันที

ดังนั้นระบบกรอง Email ที่ดีจะต้องมีฟังก์ชั่นในการกรองไฟล์ที่แนบมากับเมลได้ด้วย ซึ่งมักจะไม่ได้แนบไฟล์ที่เป็นไวรัสมาโดยตรง แต่จะทำการบีบอัดไฟล์มาในรูปแบบไฟล์นามสกุล .zip .rar .7z ซึ่งหลักการทำงานของระบบต้องทำการสแกนเข้าไปในไฟล์บีบอัด ว่าภายในไฟล์เหล่านี้ มีไฟล์ที่ต้องสงสัยที่เป็นไวรัสหรือไม่ ถ้าอีเมลดังกล่าวมีไวรัสก็จะตีกลับไปแจ้งทางผู้ส่ง และถ้าไม่มีไวรัสก็จะอนุญาตให้ผ่านเข้ามาใน Inbox ของผู้รับได้

MXScan คืออะไร

MXScan เป็นเครื่องมือสร้างความปลอดภัย ตรวจสอบดักจับไวรัสและสแปมเมลของ Mail Server ขาเข้าโดยเฉพาะ มีชื่อว่า AntiSpam and AntiVirus Suite ทำงานร่วมกับ Open Source Software เช่น SpamAssassin, ClamAV ซึ่งช่วยกำจัดสแปมเมลและไวรัสให้กับ Mail Server ได้ดี โดยจะจัดเป็นคะแนน แบ่งเป็น Levels เพื่อแสดงผลความเสี่ยงของข้อความที่จะเป็นสแปมมากน้อยตามลำดับ

นอกจากนี้ MXScan มีเครื่องมือที่ไว้ Lookup IP Address ได้ด้วยว่า IP Address นั้น ๆ ติด Blacklist ในฐานข้อมูลของใครบ้าง ซึ่งตรวจสอบได้จากเว็บไซต์ mxuptime.com

Sanesecurity คืออะไร

Sanesecurity เป็น Add-on ตัวหนึ่งของ ClamAV ที่ช่วยตรวจสอบมัลแวร์, Spam, Scam, Phishing ในข้อความอีเมลที่มาทางสัญลักษณ์ อาจจะเป็นตัวย่อ หรืออย่างใดอย่างหนึ่งในเนื้อหาข้อความที่มีความเสี่ยงเป็น Spam และช่วยตรวจสอบไปถึง Ransomware หรือไวรัสเรียกค่าไถ่ได้ด้วย โดยทาง Sanesecurity จะมีการ Update ไวรัส, มัลแวร์, สแปมเมล Signatures ไว้สม่ำเสมอที่เว็บไซต์ sanesecurity.com

ในข้อความอีเมลฉบับหนึ่งอาจจะถูกตรวจสอบและมองว่าเป็น Spam แม้ว่าในเนื้อหาเป็นตัวอักษรแค่สั้น ๆ เพียงไม่กี่ตัว

กรณีที่ข้อความอีเมลของเราไม่สามารถส่งออกได้เพราะติดตัว Sanesecurity นั้น จะปรากฏเป็น Error message ลักษณะ ดังนี้

info@xxx.com
host smtp.spamcloud.com [108.xx.xx.xx]
SMTP error from remote mail server after end of data:
550 Message contained spam content (Sanesecurity.Junk.5464)

จาก Error message ที่ตีกลับมานั้น จะมี Signature ของ Sanesecurity ปรากฏตามข้อความในวงเล็บ
เราสามารถค้นหาสาเหตุที่ระบบกรองนั้นมองว่าข้อความฉบับดังกล่าวเป็นสแปมที่ประโยคใด โดยเข้าไปที่เว็บไซต์ http://sane.mxuptime.com/

วิธี Lookup Signature ของ Sanesecurity

 

นำ Signature ที่ได้จาก Error message มาค้นหาที่ช่อง Signature Name

 

ผลการตรวจสอบจะแจ้งว่าเนื้อหาในอีเมลที่มีคำว่า CY LC เป็นต้นเหตุทำให้ข้อความส่งไม่ออก

 

สำหรับการแก้ไขข้อความให้ส่งออกได้โดยไม่ติด Sanesecurity หากมีความจำเป็นต้องส่งข้อความที่มีคำว่า ‘CY LC’ อยู่ในเนื้อหาให้ใส่เว้นวรรคเพิ่มลงไป อาทิ ‘CY   LC’ เพื่อทำให้ระบบมองว่าเป็นคำที่มีความหมายอื่น

ดังนั้นเมื่อเราเจอข้อความตีกลับที่มาจาก Sansecurity เราสามารถนำ Signature ที่ได้จาก Error message มา Lookup ที่เว็บไซต์ดังกล่าวได้เลย เพื่อให้ทราบว่าแท้จริงแล้วข้อความตีกลับด้วยสาเหตุใด

ทำไม IP ของ Mail Hosting/Server คุณถึงติด Blacklist ซ้ำซาก

ปัญหา IP ของ Email Hosting ติด Blacklist หรือ Real time black list (RBL) สร้างความเบื่อหน่ายให้แก่ผู้ใช้งาน Email ใน Server เหล่านั้น ซึ่งปัญหานี้มีโอกาสเกิดขึ้นกับ Email Hosting ที่มีการให้บริการ Web Hosting ด้วย และ มีโอกาสสูงมากขึ้นหาก Server นี้ ให้บริการ Email Hosting แก่ User จำนวนมากๆ เรามาดูปัจจัยเสี่ยงหลัก ๆ ที่ทำให้ IP ของ Email Hosting คุณติด Blacklist ซ้ำไปซ้ำมา

1. Email ยิ่งเยอะ IP ก็ยิ่งเสี่ยงติด Blacklist ตามไปด้วย, หากใน Server ที่คุณใช้บริการอยู่มีการ Share ให้ User เป็นพัน ๆ หมื่น ๆ User หากมี User นึงส่ง Spam, Server ของคุณก็จะติด Blacklist ไปด้วย
2. Mail Server ทั่วไปทำได้แค่จำกัดปริมาณการส่งต่อวัน ถึงแม้ว่าการจำกัดปริมาณการส่งต่อ Email หรือ ต่อ Domain จะช่วยลดความเสี่ยงที่ทำให้ Email Hosting ของคุณติด Blacklist แต่ก็ไม่ใช่วิธีที่ฉลาดนักเพราะเป็นการแก้ที่ปลายเหตุ และ ก็ไม่สามารถหนีพ้นปัญหา IP ติด Blacklist ได้อยู่ดี

 

3. ขอเปลี่ยน IP ก็ติดเหมือนเดิม, ถึงแม้ว่า Server ที่อยู่ใน Data Center ต่างๆ สามารถร้องขอ IP ชุดใหม่จาก Data Center ได้เมื่อไหร่ก็ได้ แต่ถึงแม้ว่าคุณจะได้ IP มาชุดใหม่ คุณก็จะพบว่า IP ชุดใหม่ที่ได้รับก็ติด Blacklist เหมือนกัน เพราะอยู่ Class เดียวกันกับ IP ชุดเก่า
4. นักส่ง Spam ใหม่ๆ เกิดขึ้นเสมอ ทำให้ผู้ที่ดูแล Email Hosting นั้น ไม่เท่าทันถึงวิธีการใหม่ ๆ ของ User ที่แฝงอยู่ใน Mail Server และบุคคลเหล่านั้นก็ทำให้ Email Hosting กลับมาติด Blacklist อีกครั้ง
5. ผู้ให้บริการ Email Hosting ที่มีมาตรฐาน จะมีระบบกรองไปยัง Content หรือ เนื้อหาของ Email ที่ส่งออกจาก Mail Server ทุกฉบับ และหากพบว่ามีอีเมล์ไหนเข้าข่ายเป็น Spam ก็จะไม่ยอมส่ง Email ฉบับนี้ออกไป ซึ่งเป็นการป้องกัน IP ของ Email Hosting ที่ต้นเหตุ และ ได้รับการยอมรับ

 

ตัวอย่างอีเมลที่ส่งไวรัสเพื่อแฮกข้อมูลในองค์กร

ที่มาของ “ไวรัส” ที่แอบแฝงมากับอีเมล

Hacker มักจะสร้างอีเมล ที่เกิดแรงจูงใจทำให้ผู้รับอย่างเปิดเมล์ รวมถึงไฟล์แนบ, เช่น PO, Re Quotation order ซึ่งมีความหมายโดยรวมว่า “ฉันจะซื้อของกับคุณ” และถูกส่งมาในรูปแบบของไฟล์ .zip เพื่อหลบซ่อนไวรัสไว้ด้านใน หากคุณเปิดเมื่อไหร่ ข้อมูลในเครื่องคอมพิวเตอร์ และเครื่องอื่น ๆ ในองค์กรของคุณจะโดนสอดแนม หรืออาจจะถูกปลอมแปลงเอกสารในอีเมลโดยที่คุณไม่รู้ตัว

ตัวอย่างอีเมลที่มี “ไวรัสสอดแนม”

ตัวอย่างอีเมลที่มีไฟล์แนบติดไวรัส

 

จากภาพตัวอย่างจะเห็นว่า Hacker ได้ส่งอีเมลโดยมีรายละเอียด

Subject หรือ หัวข้อของอีเมล เขียนว่า “Re: quotation order” เพื่อให้ผู้อ่านเกิด “แรงจูงใจ” ในการเปิดอ่าน
Hacker ได้แนบไฟล์ เพื่อหลอกให้ผู้อ่านเปิดไฟล์ และ run file ที่เป็นไวรัส
Hacker ได้ส่งไฟล์แนบ .Zip เพื่อหลีกเลี่ยงการตรวจสอบ แต่ในความเป็นจริงแล้วในไฟล์นี้จะมีไวรัสซ่อนอยู่

Hacker ได้อีเมลคุณ มาได้อย่างไร

Hacker มักจะพยายามไปหาอีเมล โดยเฉพาะของฝ่ายจัดซื้อ จากเว็บไซต์ประกาศต่างๆ ที่คุณเคยไป โพสอีเมลทิ้งไว้ และ จะสุ่มยิงอีเมลนี้ไปเรื่อยๆ
Hacker อาจจะทำการ Hack Email และ Address Book ที่เป็นคู่ค่าของคุณ, และหลังจากได้อีเมลของคุณมา Hacker ก็จะทำการส่งไวรัส ตามมา

เราจะป้องกัน ไวรัส หรือ Hacker ได้อย่างไร

ไวรัสทุกชนิดจะไม่สามารถ Run ได้เลย หากคุณได้ลง Antivirus ของแท้ และ Update เป็นเวอร์ชั่นล่าสุด
โปรแกรม Antivirus จะแจ้งคุณทันที เมื่อคุณ เผลอไปกด Run File ที่เป็นไวรัส ไม่ว่าจะอยู่ในรูปแบบอีเมล Flash Drive หรือแอบเข้ามาในวง Lan

หากคุณไม่มั่นใจ ว่าคอมพิวเตอร์ของคุณ โดน ไวรัส เข้าไปหรือยัง คุณควรตระหนัก และ ใส่ใจว่า คอมพิวเตอร์ของคุณ สามารถเป็นตัวแพร่ กระจายไวรัส ให้แก่บุคคลอื่นในองค์กรได้ทั้งหมด และทำให้ข้อมูลในองค์กรของคุณรั่วไหลในที่สุด

ระบบกรอง Junk & Virus Filter ใน Email Hosting

การกรอง Email ที่เป็น Junk หรือ Email ที่มีไวรัส เป็นเรื่องสำคัญในการให้บริการ Email Hosting หากไม่มีระบบกรอง Email ที่เป็น Junk และ ไวรัส จำนวนมากก็จะวิ่งเข้าไปหา End User หรือ พนักงานที่ใช้งาน Email และ ทำให้พนักงานคนนั้นได้รับแต่ Junk หรือ อันตรายมากกว่านั้น พนักงานที่ไม่ได้มีความเชี่ยวชาญเรื่องคอมพิวเตอร์ อาจจะไปกดเปิด ไวรัส ที่ถูกส่งมากับ Email ทำให้โดน โจรกรรมข้อมูล (Hack) ในเครื่องคอมพิวเตอร์ในเครื่องพนักงานคนนั้น

การทำงานของระบบกรอง Junk Mail หรือ Junk Mail Filter จะมีลักษณะการทำงานดังนี้

เมื่อมี Email ใดๆ ส่งเข้ามายัง Email Hosting ของตนเอง Email Hosting ระบบกรอง Spam Mail จะทำการรับอีเมลทั้งหมดไว้ก่อน

หลังจากนั้นระบบกรอง Spam Mail จะทำการประมวลผลด้วยอัลกอริทึม ว่าจะปล่อยให้ Email ฉบับใดเข้าไปใน Email Hosting บ้าง

Email ฉบับใดที่ระบบกรอง Spam คิดว่าเป็น Junk จะถูกดัก และ เก็บเอาไว้ใน Email Hosting Folder Spam เพื่อป้องกันการประมวลผลผิดพลาด และ Admin ก็สามารถเข้ามาดูได้ หากคิดว่าอีเมลฉบับใดนั้นยอมปล่อยให้เค้าระบบ ก็สามารถมาทำการกดปล่อยอีเมลนั้นให้เข้าระบบได้เอง

ด้วยระบบกรอง Spam ที่ดี จะสามารถปกป้อง Email Hosting ให้รอดพ้นจากการโดน Bomb Email ซึ่งอาจจะส่งผลให้ Email Hosting นั้นพัง หรือไม่ก็ทำให้ End User ได้รับ Junk Mail จำนวนมาก

บอกลาปัญหานี้อย่างตรงจุด ด้วยระบบกรองอีเมล์ขาออก

บริการ Email Hosting, อีเมล์บริษัท ของ MailDee ทั้งหมด มีการตรวจกรองอีเมล์ทุกฉบับก่อนที่จะส่งออกไปยังปลายทาง หากพบว่าฉบับไหนถูกส่งโดยไวรัส หรือ เข้าข่ายว่ามีการส่ง Spam โดยเทคโนโลยีการตรวจจับไปที่เนื้อหาของอีเมล์ ก็จะถูก Block ไว้และไม่ถูกปล่อยไป เพื่อป้องกัน IP ของ Mail Server เราไม่ให้ติดไวรัส

รวมถึงเราจะมี Mail Server ที่ทำหน้าที่ ส่งอีเมล์โดยเฉพาะมากกว่า 50 IP ทำให้สามารถปัด IP ที่ติด Blacklist ออกทันที และใช้ IP อื่นๆ ที่ไม่ติด Blacklist แทน

ระบบป้องกัน IP Blacklist