TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
สิ่งที่ผู้ใช้งานอีเมลส่วนใหญ่มองเห็นผ่านโปรแกรมอีเมลในชีวิตประจำวัน มักมีเพียงแค่ ใครเป็นผู้ส่งมา หัวข้อ และเนื้อหาภายใน หรือมีผู้รับร่วมด้วยกี่คน
แต่อันที่จริงเบื้องหลังระบบอีเมล มีบันทึกเกี่ยวกับข้อมูลอีเมลจำนวนมากที่รอการเปิดเผยอยู่ และผู้สนใจสามารถสืบเสาะข้อมูลได้ ขอเพียงแค่เข้าใจข้อมูล Email Header ซึ่งอาจมีร่องรอยหลายอย่างที่น่าสนใจ
Email Header คืออะไร?
Email Header เป็นโค้ดที่ข้อมูลชิ้นเล็กๆที่ซ่อนอยู่ในอีเมล โดยบรรจุข้อมูลรายละเอียดเกี่ยวกับ ผู้ส่ง ผู้รับ เส้นทางที่ข้อมูลถูกส่งผ่าน และการพิสูจน์ตัวตน ซึ่งเป็นสิ่งที่ผู้ใช้งานทางธุรกิจทั่วไปไม่เห็น เพราะไม่ได้สนใจหรือไม่รู้ด้วยซ้ำว่ามีอยู่หรือจำเป็นต้องเรียกดู โดยความผิดปกติหลายๆอย่างอาจจะจับสังเกตได้เช่น
- เนื้อหาแอบอ้างเป็น UN แต่มีอีเมลตอบกลับ(Reply-To) เป็นโดเมนที่ไม่ใช่ขององค์กรนั้นๆเช่น @gmail, @yahoo หรืออื่นๆที่อาจตั้งขึ้นมาเอง
- โดเมนการส่งตรง(Received) กับผู้ส่ง(From) ที่ระบุไว้หรือไม่
- การอ่านเส้นทางที่ผ่าน SMTP Server จะมีการเพิ่มช่อง Received ใหม่บนสุดของ Header พร้อม Timestamp นั่นหมายความว่าท่านสามารถอ่านเส้นทางได้จาก Received ล่างขึ้นบน ซึ่งหากมีการล่าช้าหรือการเปลี่ยนเส้นทางบางอย่าง ก็อาจบ่งชี้ถึงความผิดปกติที่ต้องระมัดระวัง
อย่างไรก็ดีการจะอ่านข้อมูล Metadata เหล่านี้ได้ก็ต้องเข้าใจความหมายของชนิดของ metadata โดยแบ่งเป็นกลุ่มที่น่าสนใจคือ
- From, To, Subject, Date เป็นสิ่งที่ท่านมักมองเห็นอยู่แล้วว่าผู้ส่งและปลายทางเป็นใคร แต่ทั้ง From และ To (รวมถึง CC และ BCC) เป็นสิ่งที่สามารถปลอมแปลงได้ทั้งนั้น
- Received ชื่อและหมายเลข IP Address ของเซิร์ฟเวอร์อีเมลที่อีเมลผ่านมาก่อนจะถึงมือผู้รับ โดยข้อมูลจะถูกเพิ่มอัตโนมัติด้านบนสุดทุกครั้งหลังเซิร์ฟเวอร์ได้รับอีเมล ดังนั้นการอ่านเส้นทาง metadata จะต้องอ่านย้อนจากล่างขึ้นบน เพื่อไปจนถึงต้นตอของผู้ส่ง
- Return-Path ที่อยู่อีเมลที่ต้องส่งกลับหากไม่สามารถนำส่งอีเมลได้
- Reply-To จะตอบกลับไปหาใครหากไม่ระบุไว้ จะใช้ที่อยู่ของ Return-Path แทน
- DKIM Signature, SPF และ DMARC เป็นการตรวจสอบกลไกของ Email Authentication
- Authentication-Results ผลลัพธ์ของการตรวจสอบในข้อ 5
- ARC-Authentication Results เป็นกลไกในการรักษาผลลัพธ์ของการทำ Authentication ในข้อ 5 หากอีเมลถูกส่งต่อ(forwarded) ซึ่งควรจะแสดงว่า ‘dkim, spf, and dmarc=pass’
- Message-ID และ Content Type ข้อมูลที่ระบุถึงข้อความอีเมล โดยส่วนแรกเป็นเลขไม่ซ้ำที่ถูกสร้างขึ้นสำหรับแต่ละข้อความอีเมล ส่วนหลังคือรูปแบบข้อมูล เช่น text/html หรือ text/plain
- Message-Body เนื้อหาของอีเมลซึ่งปัจจุบันมักถูกเข้ารหัสไว้เสมอ
โลกแห่งความเป็นจริง
แม้ท่านจะทราบถึงข้อมูล metadata ของ email header บ้างแล้ว แต่ในโลกความเป็นจริง การอ่านข้อมูลเหล่านี้ยุ่งยากไม่น้อย ยกตัวอย่างเช่นในภาพประกอบที่ได้จากข้อมูลของ Gmail (show original)
เคราะห์ดีที่ผู้ใช้งานทั่วไปไม่จำเป็นต้องทราบถึงเรื่องราวเหล่านี้ แต่สำหรับผู้สนใจควรหรือทำงานในสายไอทีก็ควรทราบเอาไว้ เพราะถือเป็นพื้นฐานเกี่ยวกับการทำงานของระบบอีเมล และความมั่นคงปลอดภัยของอีเมลเช่น Email Filtering หรือระบบการป้องกันอีเมลที่ใช้ในองค์กรก็มีหลายกลไกต่อยอดมาจากเรื่องพื้นฐานเช่นนี้
ที่มาข้อมูล : https://proton.me/blog/what-are-email-headers
