Beenet Broadband Internet :::::::: Bee Your Connect::::::::::::::::::::

Technology Info

รับมือกับ SPAM e-Mails

เชื่อหรือไม่ว่า ถ้าระบบของท่านไม่มีการคัดกรอง SPAM e-Mails ท่านจะต้องลบ SPAM mails ทุก ๆ ครึ่ง นาที เหตุเพราะว่า SPAM e-Mails
ที่มีอยู่ในระบบอินเทอร์เน็ตมีอยู่อย่างมากมาย ทั้งเพื่อการโฆษณา ขายสินค้า หรือการแพร่กระจายไวรัส ข้อมูลจากการสำรวจของ Ferris
พบว่า ในปี 2006 มี SPAM e-Mails ที่ถูกส่งออกมา 18 Trillion e-Mails และ 30 Trillion e-Mails ในปี 2007 และคาดว่าจะมี SPAM e-Mails
ถูกส่งออกมาประมาณ 40 Trillion mails ในปี 2008*

โดยหลักการแล้ว e-Mails จะถูกการตรวจสอบจาก ระบบการกรอง e-Mails ไม่ว่าจะเป็นจาก Appliance หรือ Service ที่ ISP ให้บริการ
SPAM e-Mails จะถูกเอาออก ไม่ส่งไปยังปลายทาง แต่อย่างไรก็ตามแม้ว่าจะมีระบบกรอง e-Mails แล้ว ก็ยังอาจจะเกิดเหตุผิดพลาดได้
โดยจะเกิดขึ้นในสองลักษณะคือ False negative คือตัวกรองคิดว่า SPAM เป็น True e-Mails เลยปล่อยไป หรือ ตัวกรองคิดว่า True e-Mail
เป็น SPAM ก็จะกรอง True e-Mail ออก หรือเรียกว่า False positive ขั้นตอนของการตรวจสอบ หลังจากที่ระบุ e-Mails ว่าเป็น SPAM
ระบบจะ block หรือ เอาไปเก็บไว้ใน Quarantine folder แล้วให้ผู้ใช้งานเข้าไปตรวจสอบดูอีกครั้ง แม้ว่าการทำ Quarantine folder ไว้เพื่อ
แก้ไขการเกิด False positive แต่ในความเป็นจริงแล้ว ผู้ใช้งานมักจะ ไม่เข้าไปตรวจสอบใน Quarantine folder อยู่ดี

คุณทราบหรือไม่ว่า ค่าใช้จ่ายที่องค์กรต้องเสียไปสำหรับการลบ SPAM e-Mails หนึ่งฉบับอยู่ที่ ประมาณ 0.04 $ หรือ 1 บาท
ดังนั้น เพื่อไม่ให้องค์กรต้องเสียค่าใช้จ่ายและเวลาของพนักงานในการต้องคอยลบ SPAM e-Mails บทความนี้จะสรุปเทคนิคสำหรับการกรอง
SPAM e-Mails มาให้ประยุกต์ใช้ในแต่ละองค์กร

Keyword-based and Bayesian filters
เทคนิคนี้จะใช้วิธีการ หา Subject line และเนื้อหาของ e-Mails ที่มีคำที่คาดว่าน่าจะเป็น SPAM
e-Mail อย่างเช่น “Viagra” หรือ “รายได้ดี” แล้วกรองออก สำหรับการกรองที่สูงขึ้นจะใช้
Bayesian analyses ซึ่งจะใช้วิธีการทั้งการหา keyword และการกำหนด อัตราส่วน Good และ
Bad words และกำหนดค่าความน่าจะเป็นตาม Ratio เหล่านี้

Challenge response
e-Mails จากผู้ส่งที่ไม่รู้จักหรือไม่อยู่ใน list จะได้รับ e-Mails ตอบกลับจากระบบกรองเพื่อถามให้
key in ค่าที่แนบไปกับ e-Mails (ส่วนใหญ่ค่าที่ให้กรอกจะเป็นตัวอักษรหรือตัวเลข แต่จะส่งไปใน
รูปแบบภาพ เพื่อป้องกันการจับได้) เพื่อตรวจสอบว่า e-Mails นี้ถูกส่งมาจากบุคคลหรือจากระบบ
อัตโนมัติ ซึ่งเทคนิคนี้ เรียกว่า CAPTCHA (Completely automated public Turing test to tell
computers and humans apart) ถ้าไม่มีการตอบกลับมา e-Mails เหล่านี้จะถูกกรองออก เพื่อ
ป้องกัน e-Mails ที่ถูกส่งออกมาจากระบบอัตโนมัติซึ่งส่วนใหญ่จะเป็น SPAM e-Mails ถ้ามีการ
ตอบกลับมาอย่างถูกต้อง e-Mails จากผู้ส่งนี้จะถูกระบบ จำเป็น True e-Mail

Blacklisting, whitelisting และ reputation listing
เทคนิคนี้จะตรวจสอบว่า ผู้ส่งเคยส่ง e-Mails ก่อนหน้านี้ ที่ถูกระบุว่าเป็น SPAM หรือไม่ หากมีผู้ส่งนี้จะถูกจัดอยู่ใน Blacklisting
โดยข้อมูลใน Blacklists จะเก็บ IP address ของ Spammer จากทั่วโลก โดยระบบจะตรวจสอบ e-Mails ที่เข้ามากับข้อมูลที่อยู่ใน
Blacklists ถ้าพบจะปฎิเสธการรับ e-Mails จากผู้ส่งรายนั้น สำหรับ Whitelists จะทำงานในลักษณะตรงกันข้าม คือจะเก็บ IP address
ของผู้ส่งที่เป็น Good sender list ซึ่งจะทำให้ e-Mails ที่ถูกส่งมาจาก ผู้ส่งใน whitelists จะไม่ถูกกรองออก ส่วน Reputation service
หรือ Reputation list จะเป็นการใช้ทั้ง Whitelists และ Blacklists ไม่เพียงตรวจสอบแค่ IP address แต่จะตรวจสอบทั้ง Domain
อย่างไรก็ตามบางครั้งจะเรียกชื่อที่สลับกันบ้าง ระหว่าง Blacklists และ Reputation list ในบางครั้งผู้ให้บริการจะใช้คำว่า Reputation list
เพื่อสร้างความแตกต่างจาก Blacklists และ Whitelists

Graylisting
ระบบ e-Mails ของผู้รับจะปฎิเสธการรับ e-Mails เป็นการชั่วคราวจาก IP address ที่ไม่รู้จัก (ซึ่งเป็น IP ที่ไม่อยู่ทั้งใน Whitelists และ
Blacklists) ระบบผู้รับจะส่ง Automated response ไปยังระบบผู้ส่ง เพื่อแจ้ง Temporary failure เพื่อตรวจสอบว่าถ้ามีผู้ส่งอยู่จริงหรือไม่

Tarpitting
Mail server จะหน่วงเวลาในการรับ SPAM e-Mails ให้ช้าที่สุดเพื่อให้ต้นทางของการส่ง SPAM e-Mails ขาดการติดต่อ และยกเลิก
การส่งในที่สุด แต่ผลกระทบของการทำแบบนี้คือจะทำให้ True e-Mails ใช้เวลาในการับนานขึ้น

หลังจากที่ทราบเทคนิคหลักๆ ของการกรอง SPAM e-Mails แล้วที่นี้เรามา ดู Tips เล็กๆ น้อยๆ สำหรับการจัดการกับ False positive
ที่อาจเกิดขึ้นได้ ทั้งต้นทางการส่งและปลายทางการรับ การทำให้ False positive เกิดขึ้นน้อยที่สุดเป็นหัวใจสำคัญ ดังนั้นขั้นตอน
ในการจัดการ False positive จะอธิบายต่อไป

1. เลือกใช้ SPAM Filter
สิ่งที่น่ากังวลที่สุดสำหรับการเกิด False positive คือการเกิด False positive
กับ e-Mails ของผู้บริหารในองค์กร False positive เกิดขึ้นได้ แม้ว่าไม่ได้
มีการใช้ตัวกรองก็ตาม อย่างเช่น เมื่อผู้ใช้เห็น SPAM e-Mails หลาย
e-Mails ใน Inbox ผู้ใช้ก็มักจะกดปุ่ม Delete หลายๆ ครั้ง ซึ่งอาจจะ
ลบโดน True e-Mails ได้อย่างไม่ได้ตั้งใจ เพื่อป้องกันไม่ให้เกิดการลบ
True e-Mails อย่างไม่ตั้งใจ การใช้ตัวกรอง ไม่ว่าจะเป็น Appliance หรือ
บริการจาก ISP จึงเป็นสิ่งจำเป็น

2. วาง Filter ใน DMZ.
อย่างที่ทราบกันว่า DMZ หมายถึง ส่วนของ network ที่เป็นกันชนระหว่าง
Network ภายในและภายนอก ระบบใน DMZ มักจะเป็นจุดเสี่ยงที่จะถูก
โจมตีจากภายนอกก็จริง แต่เนื่องจาก DMZ เป็นกันชนสำหรับ Network
ภายในอยู่แล้วดังนั้นการโจมตีจึงเข้ามายัง Network ภายในได้ยาก ดังนั้น
การวางตัวกรอง SPAM ใน DMZ จึงเป็นบริเวณที่เหมาะสม สำหรับการที่จะ
ดูว่า e-Mails ใดเป็น SPAM หรือไม่

3. ให้ผู้ใช้งานช่วย update whitelist
พนักงานในองค์กรเป็นผู้ที่จะชักชวนให้เกิด Sender ใหม่ๆ เสมอ ดังนั้น
ถ้าคุณยึดถือ Whitelist คุณต้องมั่นใจพอว่าคุณสามารถ update Whitelist
ได้ทันกับผู้ใช้งาน เพื่อให้การทำงานของ IT ง่ายขึ้นและการรับ e-Mails
ของผู้ใช้งานไม่ตกหล่น ควรให้ผู้ใช้งานช่วยในการ Update new contacts
ของเขาให้ทาง IT ทราบอย่างต่อเนื่อง

4. เลือกใช้ Blacklists และ Reputation lists อย่างระวัง
ถ้าองค์กรของคุณ ยึด Blacklists หรือ Reputation list เป็นหลักสำหรับ SPAM ก็ควรจะตรวจสอบให้ถี่ถ้วน
ด้วยว่า ใน Blacklists เหล่านั้นไม่ใช่ e-Mails ที่ผู้ใช้อาจจะจำเป็นต้องใช้ เพื่อเลี่ยงคำร้องเรียนจากผู้ใช้งาน
ถ้าคุณไม่ทราบว่าแล้วอย่างนั้นควรจะเลือกจากอะไร ขอแนะนำให้ปรึกษาจากผู้ให้บริการ หรือผู้ชำนาญ
อาจจะใช้บริการจาก ISP ก็ได้

6. ระวังการส่ง SPAM ออกจากระบบ
ถ้า SPAM e-Mails ถูกส่งออกจากระบบของคุณอย่างไม่ตั้งใจ มันจะส่งผลให้ IP address หรือ domain
ของคุณอยู่ใน Blacklists ของคนอื่นได้ ก่อนอื่นคุณต้องระวังว่า พนักงานในองค์กรของคุณอาจจะเข้า
เว็บไซต์ที่สุ่มเสี่ยง ซึ่งจะทำให้เครื่องคอมพิวเตอร์เหล่านั้น อาจจะถูกติตดั้ง Mulware ซึ่งมันจะหน้าที่ส่ง
SPAM e-Mails ออกจากคอมพิวเตอร์ที่อยู่ในระบบของคุณ เพื่อป้องกันปัญหานี้ ขอแนะนำให้มีการทำ
Content filtering เพื่อควบคุมการเข้าเว็บไซต์ที่อาจจะสุ่มเสี่ยงที่ทำให้คุณไปอยู่ใน Blacklists ของคนอื่น
ได้อย่างไม่รู้ตัว

7. ตรวจสอบว่าองค์กรของคุณอยู่ใน Reputation lists หรือไม่
แล้วถ้าองค์กรของคุณไปอยู่ใน Blacklists แล้วคุณจะทำอย่างไร ไม่ต้องตกใจ ง่ายๆ โดยเริ่มจากการ
ตรวจสอบให้แน่ใจว่า องค์กรของคุณอยู่ใน Blacklists จริงหรือไม่ โดยการเข้าไปที่ www.habeas.com
ซึ่งเป็นเว็บไซต์ที่ให้ข้อมูลเกี่ยวกับ Reputation list หากคุณพบว่าองค์กรของคุณอยู่ใน Blacklists แน่แล้ว
ให้คุณทำการติดต่อไปยังผู้ดูแลระบบ เพื่อทำการปลด Blacklists ซึ่งให้ทำตามคำแนะนำที่ระบุในเว็บไซต์

8. เตือนให้ user ระวังในการส่ง และ รับ e-mail
e-Mails ที่มีคำเหล่านี้ อาทิ “hey”, “hello”, “free”, “enlarge”, “pharmacy”, ”alert”, “diploma” หรือคำอื่นๆ ที่มักจะปรากฏ
ใน SPAM e-Mails ดังนั้น ควรหลีกเลี่ยงคำเหล่านี้ ทั้ง e-Mails ที่เข้ามา และ การที่จะส่ง e-Mails ออกไปด้วยเช่นกันเป็นวิธีง่ายๆ
ที่จะทำให้การใช้งาน e-Mails เป็นไปอย่างปลอดภัยไร้ SPAM มากวนใจ

*อ้างอิงจาก : www.ferris.com

เรียบเรียงโดย:

ปกาสิต วัฒนา
ผู้จัดการแผนก Internet Solution Product, BeeNet Internet