ผู้ส่งสแปมใช้ SPF, DKIM, DMARC ได้เก่งกว่า

 (toad.social)
14 คะแนน โดย GN⁺ 2025-03-26 | 2 ความคิดเห็น | แชร์ทาง WhatsApp
  • วิธีการยืนยันตัวตนอีเมลอย่าง DMARC, SPF และ DKIM ถูกใช้เป็นมาตรการเพื่อลดสแปม แต่ในทางปฏิบัติกลับเป็นผู้ส่งสแปมที่ใช้ประโยชน์จากมันได้ดีกว่า
  • วิธีการยืนยันตัวตนเหล่านี้แทบไม่มีประโยชน์ชัดเจนสำหรับผู้ส่งส่วนใหญ่ และการปฏิเสธอีเมลโดยอิงจากการยืนยันตัวตนที่ล้มเหลวอาจกลับส่งผลเสียได้
  • ผู้ส่งสแปมรู้ดีว่าควรซื้อโดเมนราคาถูกอย่างไรเพื่อให้ผ่านการยืนยันตัวตน

การส่งต่ออีเมลและปัญหาของ Gmail

  • Gmail บังคับให้มีการยืนยันตัวตนอย่าง DMARC และสิ่งนี้อาจก่อปัญหาเมื่อมีการส่งต่ออีเมล
  • ระหว่างการส่งต่ออีเมล SPF อาจเสียหายได้ ส่วน DKIM จะยังคงอยู่ตราบใดที่ไม่มีการแก้ไขเนื้อหาหรือส่วนหัว
  • ฟีเจอร์ดึงข้อมูลผ่าน POP3 ของ Gmail ทริกเกอร์ด้วยตนเองได้ยาก และช่วงเวลาการดึงอัตโนมัติก็ค่อนข้างห่าง

ข้อจำกัดของการยืนยันตัวตนอีเมล

  • การยืนยันตัวตนอีเมลช่วยป้องกันการปลอมแปลงโดเมนบางโดเมนได้ แต่ไม่สามารถหยุดสแปมที่ใช้โดเมนคล้ายกันหรืออาศัยการพิมพ์ผิดได้
  • การยืนยันตัวตนมีประโยชน์ในการตรวจสอบตัวตนของผู้ส่ง แต่เป็นคนละเรื่องกับการมอบสิทธิ์
  • ผู้ส่งสแปมสามารถตั้งค่านโยบายการยืนยันตัวตนได้ ซึ่งอาจมีบทบาทบางส่วนในการควบคุมสแปม

การป้องกันสแปมและความปลอดภัยอีเมล

  • มีการใช้วิธีหลากหลายเพื่อป้องกันสแปม แต่ไม่มีทางแก้ที่สมบูรณ์แบบ
  • บริการอย่าง Spamhaus มีประโยชน์ในการบล็อกสแปม แต่ก็อาจเกิด false positive ได้
  • ความปลอดภัยของอีเมลต้องอาศัยการดูแลและอัปเดตอย่างต่อเนื่อง

บทความที่เกี่ยวข้อง

2 ความคิดเห็น

 
GN⁺ 2025-03-26
ความคิดเห็นใน Hacker News

  • ในฐานะคนที่ดูแลเมลเซิร์ฟเวอร์ส่วนตัว สังเกตเห็นว่ามีความพยายามจาก IP ของรัสเซียในการส่งอีเมลโดยใช้ชื่อโดเมนของฉันอยู่เรื่อย ๆ

    • คนที่ทำธุรกิจเกี่ยวกับการส่งอีเมลรู้วิธีตั้งค่าอีเมลให้ถูกต้อง
    • รู้สึกแปลกใจที่ผู้ดูแลระบบจำนวนมากยังตั้งค่าพื้นฐานได้ไม่ถูกต้อง
    • ถ้าได้รับอีเมล DMARC แจ้งว่าลายเซ็น SPF ผิดจนทำให้เมลจาก Sendgrid ถูกปฏิเสธ ก็ควรถามก่อนว่าฝ่ายการตลาดใช้งานมันอย่างถูกต้องตามปกติหรือไม่
    • การเซ็นอัตโนมัติมีคุณค่าอยู่จำกัด แต่การปฏิเสธโดยอิงจาก SPF และ DKIM นั้นไม่ค่อยผิดพลาด
    • ในองค์กรขนาดใหญ่อาจแย่กว่านี้ แต่สำหรับเมลเซิร์ฟเวอร์ขนาดเล็ก การปฏิเสธทางเทคนิคมักเป็นการตัดสินใจที่ถูกต้อง
    • mailing list เป็นข้อยกเว้น แต่คนที่ใช้งานมันก็น่าจะหาวิธีเพิ่มข้อยกเว้นได้

  • แม้จะตั้งค่า SPF, DKIM, DMARC อย่างถูกต้องและมีโดเมนที่ได้คะแนนสแปมเป็น 0 ก็ยังเจอปัญหาที่อีเมลถูกส่งเข้าโฟลเดอร์สแปม

    • หากต้องการให้อีเมลถูกรับโดย Gmail จำเป็นต้องมี "ชื่อเสียง"
    • ถ้าอีเมลถูกส่งลงสแปมทันที ก็สับสนว่าชื่อเสียงนั้นจะสร้างขึ้นได้อย่างไร
    • อีเมลจาก Linkedin ไม่ใช่สแปม และแม้พวกเขาจะใช้ dark pattern เพื่อเพิ่มคนเข้า mailing list ก็ยังไม่ถูกบล็อก

  • SPF/DKIM เกี่ยวข้องกับชื่อเสียงของเมลเซิร์ฟเวอร์

    • ได้ประโยชน์หลักกับเซิร์ฟเวอร์รายใหญ่อย่าง Google, Microsoft และ Yahoo
    • ความพยายามป้องกันสแปมของผู้ให้บริการรายใหญ่กลับทำร้ายผู้ให้บริการรายเล็ก
    • ไม่ควรต้องติดตามชื่อเสียงของเมลเซิร์ฟเวอร์ แต่ควรติดตามชื่อเสียงของผู้ส่ง
    • ควรสามารถจัดการอีเมลนิรนามกับอีเมลจากคนที่รู้จักจริงต่างกันได้
    • ตอนนี้ยังไม่มีวิธีที่ปลอดภัยให้ผู้ส่งอีเมลที่รู้จักสามารถแนะนำผู้ส่งที่ไม่รู้จักได้

  • SPF และ DKIM ไม่ได้หยุดสแปมได้ทั้งหมด แต่ DMARC น่าจะไม่มีประโยชน์

    • คนส่งสแปมก็อ่านมาตรฐานพวกนี้ได้ จึงทำให้ SPF/DKIM ไม่สามารถหยุดสแปมได้หมด
    • ก่อนมี SPF/DKIM เคยได้รับอีเมลฟิชชิงจำนวนมากจากที่อยู่อย่าง "support@paypal.com"
    • Paypal ระบุ IP ที่ได้รับอนุญาตผ่าน SPF ไว้อย่างชัดเจน และสามารถตรวจสอบอีเมลได้ด้วย DKIM
    • Spamassassin จะลดคะแนนสแปมของอีเมลที่มี DKIM ถูกต้องและมาจาก paypal.com อย่างมาก

  • จุดประสงค์ของ SPF/DKIM/DMARC คือผูกอีเมลเข้ากับโดเมนเพื่อป้องกันการ spoofing

    • การคาดหวังว่าการยืนยันตัวตนเพียงอย่างเดียวจะช่วยลดสแปมได้ถือว่าไร้เดียงสา

  • Google ใช้งาน SPF และ DKIM ได้ไม่ดี

    • เมื่อไม่กี่เดือนก่อนพยายามตอบข้อความใน Chromium bug tracker ทางอีเมลแต่ไม่สำเร็จ
    • อีเมลไม่ถูกประมวลผลเพราะการตรวจสอบ SPF/DKIM ล้มเหลว
    • ทั้ง SPF และ DKIM ของฉันไม่มีปัญหา
    • เครื่องมือที่ Google Workspace บอกให้ใช้ตอนตั้งค่าทำงานไม่ถูกต้องมานานแล้ว
    • ลิงก์ feedback ก็ใช้งานไม่ได้เหมือนกัน

  • ดูแลเมลเซิร์ฟเวอร์ส่วนตัว และสแปมส่วนใหญ่ไม่ผ่าน SPF/DKIM

    • ในช่วงไม่กี่ปีที่ผ่านมา สัดส่วนของสแปมที่ผ่านการตรวจเพิ่มขึ้น
    • 90-95% ของอีเมลที่คาดว่าจะได้รับผ่าน SPF/DKIM
    • กำลังใช้กฎผู้ส่งที่เข้มงวด
    • เปิดเผยที่อยู่อีเมลไว้บนเว็บไซต์ แต่แทบไม่มีสแปมเลย

  • กำลังใช้งานตัวกรองสแปมแบบง่ายที่อิงฮิวริสติก

    • ตรวจสอบเมลขาออก และจะไม่ทำเครื่องหมายเป็นสแปมหากมีที่อยู่ผู้ส่งหรือหัวข้อที่เคยส่งออกไป
    • สแปมจากที่อยู่ใหม่จะถูกทำเครื่องหมายว่าไม่ได้อ่าน
    • กรณีอย่างการยืนยันการสมัครจะถูกวางไว้ด้านบนของโฟลเดอร์สแปม

  • ย้ายเมลไปใช้ Proton แล้ว และขั้นตอนเพิ่มกับตรวจสอบรายการ DNS นั้นง่ายมาก

    • ตอนแรกกลัวขั้นตอนนี้ แต่สุดท้ายก็จัดการได้ง่าย

  • เคยคิดว่าคุณค่าของ SPF, DKIM, DMARC คือการย้ายชื่อเสียงจากระบบที่อิง IP ไปสู่ระบบที่อิงโดเมน

    • คาดว่าถ้ารักษาชื่อเสียงของโดเมนให้ดีและตั้งค่า SPF, DKIM, DMARC ได้ถูกต้อง ก็น่าจะโฮสต์ SMTP server บน IP ใดก็ได้
    • สงสัยว่าทำไมมันถึงไม่ทำงานแบบนั้น