DMARC คือเทคนิคด้าน Email Authentication ซึ่งไม่ใช่เรื่องสลักสำคัญอะไรนัก หากท่านเป็นเพียงแค่ผู้ใช้งานทั่วไปบน Gmail, Yahoo, Apple หรือ Hotmail หรือกลุ่มลูกค้าของ Email Service Provider ขาใหญ่เหล่านี้ แต่จะเป็นเรื่องผิดมหันต์ทันทีหากท่านไม่รู้จักกับ DMARC แล้วเป็นองค์กรที่จำเป็นต้องส่งอีเมลจำนวนมากไปยังลูกค้า พาร์ทเนอร์ หรือผู้ใช้บริการผลิตภัณฑ์และบริการที่อยู่ใช้อีเมลส่วนบุคคลเช่นนี้
โดยทั้ง Yahoo และ Google ได้ประกาศความชัดเจนออกมาแล้ว โดยเฉพาะ Google ได้เพิ่มความเข้มงวดขึ้นกับผู้ที่ส่งอีเมลจำนวนมาก(Bulk Sender) หรือผู้ส่งที่ส่งอีเมล 5,000 ฉบับต่อวันมายังอีเมล Google ที่ให้บริการอยู่ โดยเกณฑ์หนึ่งที่ผู้ส่งต้องปฏิบัติตามคือ DMARC ที่หากไม่ปฏิบัติตามทาง Google จะทำการปัดตกอีเมลเหล่านี้ ทำให้ท่านไม่สามารถสื่อสารกับฐานลูกค้าหรือพาร์ทเนอร์ของท่านได้ แล้ว DMARC คืออะไร มีประโยชน์อย่างไร จะเริ่มต้นได้อย่างไร ในบทความนี้จะมาขยายความกันพร้อมโซลูชันช่วยเหลือแบบครบวงจรจาก Proofpoint
DMARC คืออะไร?
เมื่อไร้ซึ่งตัวตนเมื่อนั้นย่อมจำแนกอันตรายไม่ได้ ในทุกการป้องกันจะต้องเริ่มจากการรู้จักตัวตนก่อนว่าใครเข้ามาปฏิสัมพันธ์กับระบบ ในมุมของอีเมลนั้นคนร้ายมีกลเม็ดการหลอกล่อมากมายเพื่อสรรหาประโยชน์จากเหยื่อยเรื่อยมา และมีแนวโน้มว่าจะทวีความรุนแรงมากขึ้น การันตีได้จากหลายสถิติที่บ่งชี้ว่าการโจมตีจำนวนมากเริ่มขึ้นมาจากอีเมล ยังไม่นับปัญหาเรื่องอีเมลโฆษณาที่ก่อกวนให้ผู้ใช้รำคาญใจ เนื่องจากอีเมลคือช่องทางโจมตีราคาถูกโจมตีเหยื่อนับล้านได้พร้อมกัน เพียงแค่มีเหยื่อ 1% ก็คุ้มค่าแล้ว
ด้วยเหตุนี้เองจึงมีแนวทางการพิสูจน์ตัวตนของอีเมลว่าต้นทางเป็นตัวตนของธุรกิจจริงหรือไม่ หรือข้อความที่ส่งมาถูกแก้ไขเปลี่ยนแปลงไประหว่างทางหรือไม่ ซึ่งกลไกการตรวจสอบไอพีที่มีสิทธิในการส่งอีเมลตัวแทนของธุรกิจเรียกว่า Sender Framework Policy(SPF) ในขณะที่การตรวจสอบ integrity อีเมลด้วยการทำ digital signature เรียกว่า Domain Keys Identified Mail (DKIM) และนี่เป็นเพียงเทคนิคการทำ Email Authentication รูปแบบหนึ่งเท่านั้น แต่กลไกอื่นๆอาจไม่ได้รับความนิยมนัก
อย่างไรก็ดีแม้ทั้ง SPF และ DKIM จะสามารถตอบโจทย์การพิสูจน์ตัวบุคคลได้บ้าง แต่ในปี 2012 ก็ได้มีการแนะนำเทคนิคใหม่ที่เหนือชั้นกว่าเดิมเรียกว่า DMARC หรือ Domain-based Message Authentication, Reporting and Conformance โดยอาศัย SPF และ DKIM เป็นพื้นฐานแต่เพิ่มกระบวนการแจ้งเตือน และทำให้ผู้รับปลายทางสามารถการันตี ‘from’ ที่ปรากฏในส่วนของอีเมลที่ผู้ใช้มองเห็นได้ว่า มาจากต้นทางนั้นอย่างถูกต้อง ซึ่งก่อนหน้านี้กระบวนการ SPF และ DKIM เป็นการตรวจสอบเบื้องหลังในส่วนของ metadata ที่ผู้ใช้ทั่วไปมองไม่เห็น ดังนั้นหากผู้ร้ายส่งอีเมลมาหาผู้ใช้ทั่วไปก็อาจตกเป็นเหยื่อได้ กล่าวคือ DMARC ได้ปิดช่องว่างระดับผู้ใช้อย่างที่ไม่เคยเป็นมาก่อน
ประโยชน์ของ DMARC
แม้ว่า SPF และ DKIM จะช่วยให้ผู้รับพอตรวจสอบได้ว่าอีเมลที่ได้รับนั้นมาจากอีเมลในตัวแทนของธุรกิจจริงและไม่ถูกแก้ไขเปลี่ยนแปลงระหว่างทาง ได้ในทางปฏิบัตินั้นกลไกเหล่านี้ยังไม่สมบูรณ์เมื่อปราศจาก DMARC ที่มีประโยชน์หลายข้อ ดังนี้
- กำหนดบังคับให้ผู้ส่งอีเมลต้องมีกระบวนการป้องกันอย่างน้อยผ่าน SPF หรือ DKIM
- ฝั่งผู้ให้บริการอีเมลสามารถใช้เกณฑ์ของ DMARC เพื่อการันตีได้ว่าอีเมลที่เข้ามาเป็นของธุรกิจจริง ส่วนที่ไม่ผ่าน DMARC สามารถปฏิบัติตามข้อกำหนดเพื่อส่งให้ บล็อก หรือจัดเข้าช่องสแปมได้
- ผู้รับสามารถส่งรายงานว่าอีเมลที่ได้รับเป็นอย่างไรกลับไปยังเจ้าของโดเมนอีเมลตัวจริง ซึ่งข้อมูลเหล่านี้มีประโยชน์กับเจ้าของโดเมนหลายด้าน เช่น ทราบถึงความพยายามในการแอบอ้างโดเมนของท่านเพื่อโจมตีผู้คนว่ามีวิธีอย่างไร หรือตอบคำถามได้ว่ามีอัตราส่งสำเร็จเท่าไหร่ ที่ไม่สำเร็จเพราะอะไร
- รักษาชื่อเสียงของธุรกิจเพราะท่านสามารถปกป้องตัวตนของแบรนด์ไว้ได้ ลองจินตนาการว่าแบรนด์ของท่านส่งสแปมจนผู้ใช้รำคาญใจโดยที่ท่านไม่รู้ตัวเลย ย่อมไม่สามารถแก้ตัวหรือตักเตือนผู้ใช้รายอื่นได้
- การันตีว่าอีเมลของท่านผ่านเกณฑ์ตามกำหนดจากผู้ให้บริการอีเมลรายใหญ่ของโลกเช่น Gmail และ Yahoo แถมยังมีผู้ให้บริการรายอื่นมีแนวโน้มว่าจะเข้าร่วมเพิ่มขึ้นอีก แน่นอนว่าหากธุรกิจไม่สามารถส่งอีเมลประชาสัมพันธ์หรือส่งข้อมูลที่จำเป็นให้ลูกค้าได้ ย่อมส่งผลกระทบต่อธุรกิจ
- ผู้รับจะปลอดภัยมากยิ่งขึ้นหากธุรกิจส่วนใหญ่หันมาใช้ DMARC เพื่อยืนยันตัวตน ป้องกันการแอบอ้าง ลดความรุนแรงของสแปมและ อีเมลหลอกลวงที่สร้างความเสียหายต่างๆ
- มีสารประกาศบอกผู้ให้บริการอีเมลได้ว่าหากตรวจสอบ DMARC ไม่ผ่านจะต้องทำปฏิบัติตัวอย่างไร จะส่งต่อไปหาผู้ให้ หรือกักกันเพื่อรอตรวจสอบ หรือละทิ้งข้อความนั้นทันที โดยความชัดเจนเหล่านี้ไม่เคยเกิดขึ้นมาก่อนจะมี DMARC ซึ่งทำผู้ให้บริการอีเมลปฏิบัติตนไปในทิศทางเดียวกัน
จะเห็นได้ว่า DMARC คือกลไกที่ทำให้ ผู้ส่งเมล ผู้ให้บริการอีเมล และผู้รับปลายทาง ต่างได้รับประโยชน์ร่วมกันทั้งสิ้น เพราะเป็นการแก้ปัญหาแบบองค์รวมบูรณาการทุกฝ่ายอย่างแท้จริง แม้ DMARC จะมีประโยชน์มากมาย แต่การจะทำให้ DMARC ใช้งานได้จริงนั้นก็ไม่ง่ายนัก
ความท้าทายของ DMARC
ความท้าทายของการเริ่มต้น DMARC ไม่ได้จบลงเพียงแค่การเปิดใช้งาน เพราะอย่าลืมว่ากลไกพื้นฐานที่จะก่อร่างสร้างตัวนั้น ท่านควรผ่านการเปิดใช้ SPF หรือ DKIM เสียก่อน ในบทบาทของตัว DMARC เองท่านจะต้องเปิดใช้ DNS Record TXT เดียวกับที่ลงทะเบียนโดเมนเอาไว้ เมื่อเรียบร้อยแล้วความยากขั้นต่อไปจึงเริ่มขึ้น
ในงานที่เกิดขึ้นจริงนั้นผู้เชี่ยวชาญแนะนำให้ธุรกิจเปิด DMARC ในโหมดมอนิเตอร์เพื่อเรียนรู้เกี่ยวกับพฤติกรรมอีเมลขององค์กรก่อนว่าเป็นอย่างไร สืบทราบให้รู้ว่ามีใครติดต่อกับธุรกิจที่ครอบคลุม เพราะตัวองค์กรเองที่อาจมีโดเมนย่อยที่ผู้ดูแลระบบคาดไม่ถึง บริษัทพาร์ทเนอร์ และ 3rd Party หรือตัวแทนที่ส่งอีเมลในนามของบริษัท หัวใจสำคัญคือเรียนรู้ไปพร้อมกับการแก้ไขปัญหา เช่น ปัญหาการส่งต่ออีเมล(forward) และ mail list ที่อาจเกิดขึ้นได้ ทำเช่นนี้ซ้ำแล้วซ้ำเล่าจนมั่นใจเพียงพอว่าท่านพร้อมกับการยกระดับความเข้มข้นจากโหมดติดตามไปสู่โหมดกักกัน และ ปฏิเสธตามลำดับ
กลไกของ DMARC อาจจะสามารถช่วยให้ความมั่นใจผู้รับสารถึงผู้ส่งที่ระบุมาอยู่ภายใต้กับโดเมนอีเมลของธุรกิจ แต่ DMARC ไม่สามารถป้องกันการแอบอ้างในวิธีการอื่นๆที่ไม่ได้พุ่งเป้ามายังอีเมลโดยตรงได้ อย่างการสร้างลงทะเบียนอีเมลชื่อที่คล้ายคลึงกัน เช่น company.com และ c0mpany.com เป็นต้น รวมถึงการขโมยตัวตนที่คนร้ายได้รับ Credential ของบุคคลตัวจริงไป โดยอาจมาจากข้อมูลที่เร่ขายใน dark web นอกจากนี้ยังมีเรื่องของความสะดวกในการบริหารจัดการอีเมลด้วย และแม้ว่าท่านจะได้รับข้อมูลจากผู้รับอีเมลกลับมา แต่ไม่ได้หมายความว่าจะนำข้อมูลเหล่านี้มาใช้ได้ง่ายๆ ซึ่งความท้าทายเหล่านี้จะหมดไปด้วยโซลูชันจาก Proofpoint
เริ่มต้นกับ DMARC ได้ง่ายๆด้วยโซลูชันและความเชี่ยวชาญจาก Proofpoint
จากข้อมูลข้างต้นผู้อ่านคงพอทราบดีแล้วว่าขั้นตอนในการทำ DMARC มีความซับซ้อนไม่น้อยทีเดียว ทั้งนี้ Proofpoint ผู้นำในบริการโซลูชันด้าน Email Security มีบริการและโซลูชันที่สามารถตอบโจทย์ความท้าทายดังกล่าว เริ่มแรกเพื่อจัดการความท้าทายในขั้นตอนอิมพลีเมนต์ DMARC ทีมงาน Proofpoint มีประสบการณ์พร้อมให้คำปรึกษาในการเดินทางของโปรเจ็คเพื่อช่วยองค์กรเรียนรู้ระบบอีเมลของตนอย่างไม่ตกหล่น จนกระทั่งมีความมั่นใจมากพอที่จะริเริ่มเปิดใช้ DMARC อย่างเต็มรูปแบบโดยไม่กระทบกับการใช้งานอีเมล
Email Fraud Defend เป็นโซลูชันสำคัญที่จะช่วยให้ท่านมองเห็นภาพความเป็นอยู่ของระบบอีเมลได้ โดยครอบคลุมทั้งระบบอีเมลหลักและโดเมนย่อยขององค์กร การปฏิสัมพันธ์กับอีเมลของบริษัทคู่ค้า และพาร์ทเนอร์ ที่จะทราบถึงอัตราการใช้งาน และความเสี่ยงที่ผู้เกี่ยวข้องเหล่านั้นเป็นเช่น มีการเปิดใช้ DMARC หรือไม่ หรือมีอัตราการส่งอีเมลระหว่างกันมากน้อยแค่ไหน และ มีสแปมหรืออีเมลอันตรายจำนวนเท่าไหร่ที่ส่งมาจากโดเมนเหล่านั้น
นอกจากนี้ Email Fraud Defend ยังมีการมอนิเตอร์โดเมนที่ถูกจดทะเบียนด้วยชื่อที่คล้ายคลึงกับองค์กรของท่าน โดยแม้ท่านอาจจะทราบได้ว่ามีภัยคุกคามเช่นนั้น แต่ก็อาจจะไม่ทันท่วงทีเพราะแต่ละวันมีโดเมนจำนวนมากถูกจดทะเบียนขึ้นใหม่ ซึ่ง Proofpoint มีการติดตามและรวบรวมภัยด้านโดเมนจากทั่วโลกไว้แล้ว พร้อมป้องกันเหตุได้ทันทีด้วยบริการ Virtual takedown
ไม่เพียงเท่านั้นหากท่านเป็นผู้ที่ยังไม่เคยมีกลไกการป้องกันใดมาก่อน Email Fraud Defense สามารถช่วยให้ท่านโฮสต์การทำ SPF, DKIM และ DMARC ได้อย่างครบวงจร ทลายข้อจำกัดได้หลายประการ เพิ่มความคล่องตัวและง่ายมากกว่าในการปฏิบัติงาน สุดท้ายท่านสามารถจับคู่ Email Fraud Defense เข้ากับโซลูชันอื่นของ Proofpoint ได้เพื่อการทำงานอย่างครบวงจร บังคับตรวจสอบอีเมลขาเข้าด้วย DMARC หรือทำ Policy เพิ่มเติมด้วยโซลูชัน Email Gateway ตลอดจนการใช้ Email Relay เพื่อให้ SaaS Third party สามารถส่งอีเมลในนามขององค์กรแทนได้
ศึกษาข้อมูลเพิ่มเติมเกี่ยวกับ Email Fraud Defense ได้ที่ https://form.jotform.com/240781962597067
บทสรุป
ระเบียบการสื่อสารอีเมลของโลกกำลังเข้มข้นขึ้น ที่กล่าวเช่นนั้นเพราะผู้ให้บริการอีเมลที่มีอิทธิพลอย่างมากของโลกได้ออกประกาศความชัดเจนแล้ว ซึ่งองค์กรหรือผู้ประกอบการไม่สามารถหลีกเลี่ยงได้ หากต้องการสื่อสารกับลูกค้าที่อยู่ในมือของผู้ให้บริการใหญ่ โดยเฉพาะ Yahoo และ Google ที่ผู้ส่งอีเมลต้องทำตามข้อบังคับที่ระบุ ในขณะที่ Apple ยังไม่ได้กำหนดวันเวลาชัดเจนแต่ในอนาคตมีแนวโน้มสูงที่จะเข้าร่วมด้วย
อย่างไรก็ดีนี่ถือเป็นหน้าที่ของผู้ให้บริการและประโยชน์โดยตรงกับผู้ใช้ทั่วไป ที่ควรได้รับการปกป้องจากภัยทางอีเมล อย่างน้อยที่สุดคืออีเมลต้องมาจากแหล่งที่สามารถพิสูจน์ได้ หากมีผู้เข้าร่วมเพิ่มขึ้นเชื่อแน่ว่าน่าจะบรรเทาสถานการณ์ความรุนแรงของการปลอมแปลงอีเมลหรือสแปมลงได้ ลดความเสียหายต่อผู้คนและธุรกิจ โดยหนึ่งในข้อปฏิบัติที่บทความพยายามชี้ให้เห็นก็คือ DMARC สร้างประโยชน์ให้ทุกฝ่ายแต่ก็ค่อนข้างซับซ้อนและไม่ได้แก้ปัญหาทั้งหมด
ในมุมของ Proofpoint เองที่มีความเชี่ยวชาญและโซลูชันครบวงจรได้ชูธงในการเริ่มต้นเปลี่ยนแปลงระบบอีเมลสู่ DMARC ด้วย Email Fraud Defense ที่มีขีดความสามารถมากกว่าคำจำกัดความของ DMARC ในภัยด้าน lookalikes, Supply Chain และ Visibility นอกจากนี้ยังต่อยอดเพิ่มความสามารถมากขึ้นได้ด้วย Email Gateway, Secure Email Relay และอื่นๆ
สนใจติดต่อ Softde’but ตัวแทนจำหน่ายอย่างเป็นทางการของ Proofpoint ในประเทศไทยได้ที่
โทรศัพท์ : +66 926 966941 หรือ +66 959 436386
อีเมล : Info@softdebut.com
เว็บไซต์ : www.softdebut.com