รู้จักกับ MTA-STS มาตรฐานใหม่รักษาความปลอดภัย SMTP Mail Server สำหรับองค์กร

    • รู้จักกับ MTA-STS มาตรฐานใหม่รักษาความปลอดภัยระบบเมลขั้นสูงของ Google Workspace (ชื่อเดิม G Suite) และการจัดการสแปม

    หากว่าด้วยเรื่องโปรโตคอล SMTP (Simple Mail Transfer Protocol) ที่กำหนดมาเพื่อเป็นมาตรฐานในการสื่อสาร ใช้ส่งอีเมลจากเมลเซิร์ฟเวอร์หนึ่งไปยังเมลเซิร์ฟเวอร์หนึ่ง (ที่ไม่มีการเข้ารหัสแต่อย่างใด) หากต้องการเข้ารหัสเครื่องเมลเซิร์ฟเวอร์ต้องสนับสนุนกลไก SMTP over SSL, TLS เป็นต้น

    แต่แม้ว่าปัจจุบันเมลเซิร์ฟเวอร์ (SMTP server) จะใช้ TLS (port 587) กันแล้ว แต่ยังพบว่ามีช่องโหว่ที่เอื้อต่อผู้ไม่หวังดีสามารถโจมตีเปลี่ยนเส้นทางอีเมลได้ และการใช้งานอุปกรณ์ (โปรแกรม/แอปเมลไคลเอ็นต์) ที่กำลังติดต่ออยู่นั้นต้องรองรับ SSL/TLS ด้วยเช่นกัน

    ระหว่าง SMTP TLS กับ SSL แตกต่างกันยังไง?

    ขั้นตอนการเข้ารหัสและเวลาเรียกใช้งานโปรโตคอล SSL จะต้องแยก port ของ data ที่เข้ารหัส กับไม่ได้เข้ารหัสออกจากกัน ส่วน TLS จะแยก port, หรือไม่แยก port ของ data ที่เข้ารหัสกับไม่ได้เข้ารหัสออกจากกันก็ได้! (แล้วแต่เลย 😄)
    ใครอ่านแล้ว งง ๆ งั้นนกลับไปอ่านอีกรอบ ^^
    สำหรับคนที่อ่านมาถึงบรรทัดนี้แล้ว มาต่อกันเลยครัชช

    เมื่อเทคโนโลยีพัฒนาไปอย่างไม่หยุดยั้งผู้ให้บริการอีเมลยักษ์ใหญ่รายต่าง ๆ ต่างก็ผลักดันมาตรฐานเพื่อสร้างความปลอดภัยให้กับการบริการอีเมลของตนเอง อาทิ กูเกิล, ไมโครซอฟท์ ฯลฯ
    มาตรฐานความปลอดภัยสำหรับเซิร์ฟเวอร์อีเมลที่ดีที่สุดในการตรวจสอบสิทธิ์อีเมลที่ใช้กันปัจจุบันที่ช่วยป้องกันการปลอมแปลง, ฟิชชิง และสแปมก็เช่น SPF, DKIM, DMARC และมาตรฐานใหม่ MTA-STS (หรือ SMTP MTA Strict Transport Security) ซึ่งปัจจุบันบริการเมล Google Wordspace (ชื่อเดิม G Suite) รองรับ MTA-STS แล้ว

    ก่อนจะไปถึงมาตรฐาน MTA-STS เรามาว่าด้วยเรื่องทำไงให้เมลเซิร์ฟเวอร์มีความปลอดภัย ป้องกันฟิชชิงและสแปมได้ กันก่อน…

    SPF

    ปัจจุบันนี้เครื่องเมลเซิร์ฟองค์กรทั่วไป ผู้ดูแลลระบบล้วนแต่สร้างระบบที่ช่วยป้องกันการดักจับสแปมเมล (Spam Email) โดยจะตรวจสอบจากค่า SPF Record เพื่อป้องกันไม่ให้เมลที่คุณส่งออกถูกตีกลับหรือถูกส่งถึงปลายทางผู้รับแต่ถูกจับยัดเข้า Spam โฟร์เดอร์ครับ

    SPF เป็นหนึ่งในวิธีการที่ช่วยให้เมลเซิร์ฟเวอร์ทำการตรวจสอบว่าเมลที่มาจากโดเมนใดโดเมนหนึ่งได้รับอนุญาตจากเจ้าของโดเมน (คือมีการเพิ่ม SPF record)โดยที่ในหนึ่งโดเมนสามารถสร้าง SPF record ได้เพียง 1 Record / 1 DNS record / 1 SPF version.

    ตัวอย่าง SPF Record ของบริการระบบเมล Google Workspace (ชื่อเดิม G Suite)

    v=spf1 include:_spf.google.com ~all

    การใช้ SPF ช่วยให้มั่นใจได้ว่าอีเมลจะส่งถึงเป้าหมายปลายทางได้อย่างถูกต้องและไม่ถูกปลอมแปลง (SPF) แต่เรื่องของ Mail records ไม่ได้จบง่าย ๆ เพียงเท่านี้ครับไหนจะ TXT records จากฝั่ง agency ที่ดูแล EDM เมลแคมเปญ หรือแพลตฟอร์มต่าง ๆ เช่น Mailchimp

    เพราะหากไม่สร้าง Records ไปยังโดเมน เมลเซิร์ฟเวอร์ปลายอาจจะปฏิเสธอีเมลฉบับนั้นทันที โดยระบุว่าเป็นสแปมเมลได้ครับ

    DKIM

    DIKM (DomainKeys Identified Mail) จะเพิ่มลายเซ็นดิจิทัลในทุกอีเมล ซึ่งจะช่วยให้เซิร์ฟเวอร์ที่รับอีเมลยืนยันว่าอีเมลนั้นไม่ได้ถูกปลอมแปลงและไม่มีการเปลี่ยนแปลงระหว่างการส่ง

    DMARC

    DMARC จะตรวจสอบสิทธิ์ของอีเมลด้วย SPF และ DKIM และจัดการข้อความขาเข้าที่น่าสงสัย

    MTA-STS

    MTA-STS เป็นมาตรฐานที่จะทำให้เซิร์ฟเวอร์มีความปลอดภัยมากขึ้น โดยกำหนดให้มีการตรวจสอบสิทธิ์และเข้ารหัสอีเมลที่ส่งมายังโดเมน แล้วใช้การรายงานการสื่อสารบน Transport Layer Security (TLS) เพื่อดูข้อมูลการเชื่อมต่อระหว่างโดเมนของเรากับเซิร์ฟเวอร์ภายนอกได้ อีกทั้งยังแจ้งรายงานไปยังอีเมลของผู้ดูแลระบบได้ครับ

    แต่ปรบมือข้างเดียวมันไม่ดังครับ แม้ระบบ Google Workspace ของ Google จะรองรับมาตรฐานใหม่นี้ แต่หากโดเมนอีเมลของผู้ให้บริการรายอื่น ๆ ยังไม่รองรับ MTA-STS อีเมลที่ส่งออกไปก็จะไม่มีการเข้ารหัสบนมาตรฐานใหม่นี้อยู่ดีครับ Google, Microsoft จึงหวังว่าผู้ให้บริการเมลเซิร์ฟเวอร์อื่นจะรองรับมาตรฐานความปลอดภัยนี้เช่นกัน!

    การเปิดใช้ MTA-STS (การรับอีเมล): คือการเปิดใช้ MTA-STS ในโดเมนของเราคือการขอให้เซิร์ฟเวอร์อีเมลภายนอกส่งข้อความมายังโดเมนของเราได้เฉพาะ เมื่อการเชื่อมต่อของ SMTP ที่เป็นไปตามเงื่อนไขทั้ง 2 ข้อต่อไปนี้ครับ

    1. ผ่านการตรวจสอบสิทธิ์ด้วยใบรับรองสาธารณะที่ถูกต้อง
    2. เข้ารหัสด้วย TLS 1.2 ขึ้นไป

    สรุปคือ เซิร์ฟเวอร์อีเมลที่รองรับ MTA-STS จะส่งข้อความไปยังโดเมน ผ่านการเชื่อมต่อที่มีการตรวจสอบสิทธิ์และเข้ารหัสแล้วเท่านั้น!

    การเปิดใช้ MTA-STS (การส่งอีเมล): ค่าเริ่มต้น ข้อความอีเมลที่ส่งจากโดเมนไปยังเซิร์ฟเวอร์ภายนอกที่เปิดโหมดบังคับใช้นโยบาย MTS-STS เอาไว้ ก็จะเป็นไปตามรูปแบบของ MTA-STS

    Implement MTA-STS: Google Workspace

    วิธีเตรียม Policy file ซึ่ง Google ก็ได้เตรียมเครื่องมือมาไว้ให้เราเรียบร้อยแล้วครับ ให้ดูวิธีการตรวจสอบสถานะ MTA-STS และรับการกำหนดค่าที่แนะนำจาก Google Workspace ดังนี้

    1. จากหน้าแรกของคอนโซลผู้ดูแลระบบ ให้ไปที่ Apps > Gmail > Advanced Settings
      คลิ๊กที่ here (ดังรูป)
    Google Workspace, MTA-STS

    2. เลื่อนไปที่ MTA-STS และคลิกตรวจสอบการกำหนดค่า MTA-STS จะขึ้นหน้าต่างแสดง MTA-STS configuration สำหรับโดเมนของเรา
    (MTA-STS Configuration – Not Configured คือเรายังไม่ได้คอนฟิก)

    Google Workspace, MTA-STS policy file

    จากนั้นข้างบนเราจะเห็นว่าในคอนฟิกโหมดนโยบาย MTA-STS คือ mode: testing

    mode: testing โหมดทดสอบจะขอให้เซิร์ฟเวอร์อีเมลภายนอกส่งรายงานรายวันให้ผู้ดูแลระบบ รายงานมีข้อมูลเกี่ยวกับปัญหาที่ตรวจพบขณะเชื่อมต่อกับโดเมนของเราและรายงานต่าง ๆ รวมถึงนโยบาย MTA-STS การเชื่อมต่อที่ไม่สำเร็จ และรายละเอียดข้อความที่ยังไม่ได้ส่ง นั้นก็หมายความว่า แม้จะยังไม่ใช้ TLS เมลก็ยังส่งได้ครับ ดูข้อมูลเพิ่มเติมนโยบาย MTA-STS หากใช้งานจริงไม่พบปัญหาอะไรให้ปรับ mode เป็น enforce (โหมดบังคับใช้) ส่วนอื่น ๆ ก็จะเป็น Email ที่ต้องการใช้รับ Report และ ID ที่ต้องเอาไปใช้ใน TXT Records.

    3. จากนั้นให้ประกาส MTA-STA Version โดยไปเพิ่ม Records บน DNS โดเมนเราเพื่อเปิดใช้งาน MTA-STS

    • _smtp._tls (MTA-STS DNS TXT record)
    • _mta-sts (MTA-STS policy file)
    _mta-sts (MTA-STS policy file)

    จากนั้นเพิ่ม TXT record สำหรับ

    _smtp._tls (MTA-STS DNS TXT record)

    note: หากเรามีการอัปเดตแก้ไข MTA-STS policy file จะต้องมาอัปเดต TXT Record นี้ด้วยทุกครั้ง

    ดูข้อมูลเพิ่มเติมการอัปเดตระเบียน DNS

    ดูข้อมูลเพิ่มเติมเกี่ยวกับ ขั้นตอนในการตั้งค่า MTA-STS และ สร้างนโยบาย MTA-STSMTA-STS (RFC 8461) และ TLS Reporting (RFC 8460)

    Web Tools ทดสอบ MTA-STS

    [1]https://admin.google.com/
[2]https://aykevl.nl/apps/mta-sts/
    ตัวอย่าง โดเมน gmail.com ที่รองรับ MTA-STS แล้ว

    วิธีการเปิดใช้งาน DKIM บนระบบ Google Workspace

    1. ให้เข้าไปที่ Google Admin console ของเราโดยใช้สิทธิ Admin ของ Google Workspace

    หลังจากนั้นไปที่ Apps > G Suite > Gmail > Authenticate email

    วิธีการเปิดใช้งาน DKIM บนระบบ Google Workspace

    2. คลิ๊กเลือกโดเมนที่ต้องการสรา้ง DKIM แล้วกดปุ่ม Generate New Record

    จากนั้นทำการเลือก DKIM key bit length เป็น 2048-bit keys ส่วน Prefix selector ให้ระบุเป็น google ตามค่าเริ่มเต้น.

    3. คัดลอกค่า TXT Record ไปอัพเดทบนระบบ DNS ของโดเมนเรา (กรณีตัวอย่างนี้ Cloudflare DNS management)

    เมื่อดำเนินการเพิ่มค่า DNS เรียบร้อยแล้ว หลังจากนั้น ให้มากดปุ่ม START AUTHENTICATION เพื่อเริ่มใช้งาน DKIM จากนั้นให้รอ DNS record อัพเดทประมาณ 1-24 ชั่วโมง เป็นอันเสร็จสิ้น ^^

    วิธีการเปิดใช้งาน DKIM บนระบบ Google Workspace

    Web Tools ตรวจสอบตรงค่า DKIM และ SPF records

    https://www.mail-tester.com/spf-dkim-check

    source:
    [1] https://support.google.com/a/answer/9261504?hl=en
    [2] https://support.google.com/a/answer/9276419?hl=en

    Scroll to top