อนาคตของอีเมล

 (fastmail.com)
1 คะแนน โดย GN⁺ 2 시간 전 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • ในสภาพแวดล้อมที่ AI อ่าน สรุป และลงมือทำงานจากกล่องจดหมายเข้า การยืนยันตัวผู้ส่ง กลายเป็นเงื่อนไขสำคัญของความน่าเชื่อถือของอีเมล
  • SPF, DKIM และ DMARC รวมสิทธิ์ของเซิร์ฟเวอร์ ความสมบูรณ์ของข้อความ และนโยบายเมื่อการตรวจสอบล้มเหลว เข้าเป็นโครงสร้างพื้นฐานของ การยืนยันตัวตนอีเมล
  • เมื่อฟิลเตอร์ AI และเครื่องมือผู้ช่วย AI กลายเป็นฟีเจอร์มาตรฐานของประสบการณ์อีเมล ผลการยืนยันตัวตนก็กลายเป็นข้อมูลสำคัญสำหรับการตัดสินว่าเป็นสแปม ฟิชชิง หรือสำหรับการทำงานอัตโนมัติ
  • หลังจาก Google และ Yahoo เริ่มกำหนดให้ผู้ส่งจำนวนมากต้องตั้งค่า DMARC ในช่วงต้นปี 2024 โครงสร้างพื้นฐานด้านการยืนยันตัวตน ก็กลายเป็นเงื่อนไขพื้นฐานของการส่งถึงอย่างเสถียร
  • การยืนยันตัวตนช่วยยืนยันตัวตนของโดเมน แต่ไม่ได้รับประกันเจตนา และมีบทบาทในการเพิ่มต้นทุนและความซับซ้อนของการปลอมตัวในสภาพแวดล้อมอีเมลแบบอัตโนมัติ

การยืนยันตัวตนอีเมล: ชั้นความน่าเชื่อถือที่อนาคตของอีเมลต้องพึ่งพา

  • อีเมลมีปัญหาเรื่อง การปลอมแปลง มายาวนาน และใครก็สามารถใส่อะไรก็ได้ลงในช่อง “From” ของอีเมล
  • ในอดีต ผู้ใช้ที่ระมัดระวังอาจสังเกตปัญหาได้จากเบาะแสอย่างชื่อโดเมนที่ต่างออกไปเพียงเล็กน้อย ความเร่งด่วนที่ไม่สมจริง หรือถ้อยคำที่ดูแปลก
  • เมื่อการใช้ AI แพร่หลาย วิธีที่ผู้ใช้จัดการกับอีเมลก็กำลังเปลี่ยนไป และสิ่งที่สำคัญกว่าการที่ข้อความมาถึงหรือไม่ คือสามารถตรวจสอบที่มาของมันได้จริงหรือไม่
  • มาตรฐานที่ผู้ใช้อีเมลส่วนใหญ่ไม่เคยต้องคิดถึง กำลังค่อย ๆ กลายเป็นรากฐานของประสบการณ์อีเมล

การยืนยันตัวตนอีเมลคืออะไร

  • การยืนยันตัวตนอีเมลประกอบด้วยมาตรฐาน 3 อย่างที่ทำงานเชื่อมกัน คือ SPF, DKIM, และ DMARC
  • SPF ตรวจสอบว่าเซิร์ฟเวอร์ที่ส่งข้อความมีสิทธิ์ส่งในนามของโดเมนนั้นหรือไม่
  • DKIM แนบลายเซ็นเข้ารหัสกับแต่ละข้อความ เพื่อให้เซิร์ฟเวอร์ผู้รับตรวจสอบได้ว่ามีการเปลี่ยนแปลงระหว่างการส่งหรือไม่
  • DMARC เชื่อม SPF และ DKIM เข้าด้วยกัน และบอกเซิร์ฟเวอร์ผู้รับว่าควรปฏิเสธ กักกัน หรือยอมรับข้อความที่ไม่ผ่านการตรวจสอบ
  • มาตรฐานทั้งสามนี้ช่วยให้กล่องจดหมายเข้าตัดสินได้ว่าข้อความที่ดูเหมือนส่งมาจากธนาคารหรือนายจ้าง มาจากโดเมนนั้นจริงหรือไม่
  • หากไม่มีการยืนยันตัวตน ก็ไม่สามารถแยกแยะข้อความปลอมจากข้อความปกติได้ และปัญหานี้จะยิ่งใหญ่ขึ้นเมื่อวิธีที่เราโต้ตอบกับอีเมลเปลี่ยนไป

วิธีที่ AI เข้ามาเกี่ยวข้องกับอีเมล

  • มี AI สองประเภทที่กำลังกลายเป็นฟีเจอร์มาตรฐานในประสบการณ์อีเมล
  • ประเภทแรกคือ การกรองด้วย AI ที่ใช้ตัดสินว่าสิ่งใดเป็นสแปม ฟิชชิง หรือเป็นข้อความที่ควรให้ความสนใจ
    • ระบบลักษณะนี้มีมานานหลายปีแล้ว แต่เวอร์ชันสมัยใหม่มีความสามารถมากขึ้นมาก
    • ผลการยืนยันตัวตนกำลังกลายเป็นข้อมูลหลักมากขึ้นเรื่อย ๆ ที่ AI ใช้ประกอบการตัดสินใจ
  • ประเภทที่สองคือ เครื่องมือผู้ช่วย AI ที่สรุปกล่องจดหมายเข้า ชี้รายการงานที่ต้องทำ ร่างคำตอบ และในบางกรณีก็ดำเนินการแทนผู้ใช้
  • Fastmail ไม่ได้นำ AI มาผสานในกล่องจดหมายเข้า และอีเมลของผู้ใช้จะไม่ถูกส่งไปให้โมเดลประมวลผลเบื้องหลัง
    • MCP server คือ API endpoint ที่สามารถเชื่อมต่อกับไคลเอนต์ AI ที่ผู้ใช้เลือกได้ หากผู้ใช้อนุมัติอย่างชัดเจน
    • หากผู้ใช้ไม่เชื่อมต่อ ก็จะไม่มีอะไรเปลี่ยนแปลง
  • ในระบบนิเวศอีเมลที่กว้างขึ้น เครื่องมือผู้ช่วย AI ที่ทำงานอย่างอัตโนมัติในกล่องจดหมายเข้ากำลังพบได้บ่อยขึ้นเรื่อย ๆ
  • เมื่อมนุษย์อ่านอีเมลที่น่าสงสัย อาจสังเกตได้ว่าโดเมนผู้ส่งมีตัวอักษรเพิ่มมาหรือคำขอดูแปลก ๆ
  • แต่เครื่องมือผู้ช่วย AI อาจอ่านข้อความและระดับความเร่งด่วนเพื่อหาสิ่งที่ต้องดำเนินการ แล้วตอบสนองตามนั้น
  • หากเป็นข้อความปลอมที่น่าเชื่อถือ การยืนยันตัวตนควรเป็นสิ่งที่หยุดมันไว้ก่อนที่อีเมลจะไปถึงกล่องจดหมายเข้า

การยืนยันตัวตนกำลังกลายเป็นโครงสร้างพื้นฐาน

  • Google และ Yahoo เริ่มกำหนดในช่วงต้นปี 2024 ว่าผู้ส่งจำนวนมากต้องตั้งค่า DMARC ให้ถูกต้อง หากต้องการส่งอีเมลได้อย่างเสถียร
  • การเปลี่ยนแปลงนี้ทำให้การยืนยันตัวตนเปลี่ยนจากสิ่งที่ผู้ส่งอาจให้ความสำคัญต่ำ ไปเป็นเงื่อนไขพื้นฐานสำหรับการไปถึงกล่องจดหมายเข้า
  • การยืนยันตัวตนอีเมลกำลังเดินไปในทิศทางเดียวกับที่ HTTPS เคยผ่านมาบนเว็บ
    • HTTPS เปลี่ยนจากแนวปฏิบัติที่ดี ไปเป็นความคาดหวัง และสุดท้ายกลายเป็นโครงสร้างพื้นฐาน
    • แม้ผู้ใช้จะไม่รู้ชัดว่ารูปแม่กุญแจในแถบที่อยู่ของเบราว์เซอร์หมายถึงอะไร แต่หากเว็บไซต์ไม่มีแม่กุญแจ ก็กลายเป็นสัญญาณเตือนที่มองข้ามไม่ได้
  • มาตรฐานใหม่ ๆ ก็กำลังถูกสร้างขึ้นบนฐานการยืนยันตัวตนนี้
  • BIMI ช่วยให้ผู้ส่งที่ผ่านการตรวจสอบสามารถแสดงโลโก้ได้โดยตรงในกล่องจดหมายเข้าที่รองรับ
    • มันเป็นสัญญาณความน่าเชื่อถือทางภาพขนาดเล็ก ในช่วงเวลาที่การแยกฟิชชิงที่สร้างด้วย AI จากเนื้อหาเพียงอย่างเดียวทำได้ยากขึ้น
  • การออกแบบของ DKIM ก็กำลังถูกทบทวนใหม่โดยอิงจากบทเรียนที่ได้จากข้อกำหนด ARC แบบทดลอง
    • เพื่อให้ติดตามและระบุแหล่งที่มาของการเปลี่ยนแปลงในเส้นทางอีเมลที่ซับซ้อนได้ ช่วยให้ระบบกรองตัดสินที่มาของเนื้อหาที่เป็นอันตรายได้
    • และช่วยหลีกเลี่ยงการทำให้ชื่อเสียงของผู้ที่ไม่เกี่ยวข้องเสียหาย

การยืนยันตัวตนเพียงอย่างเดียวไม่เพียงพอ

  • การยืนยันตัวตนช่วยตรวจสอบตัวตนของโดเมน แต่ไม่ได้ตรวจสอบ เจตนา
  • มิจฉาชีพที่มีโดเมนคล้ายกันอย่างแนบเนียนและตั้งค่า DMARC อย่างถูกต้อง ก็อาจผ่านการตรวจสอบตัวผู้ส่งได้
  • การยืนยันตัวตนช่วยเพิ่มต้นทุนและความซับซ้อนของการปลอมตัวอย่างมาก และยิ่งมีความสำคัญขึ้นเมื่ออนาคตของอีเมลมีความเป็นอัตโนมัติมากขึ้น
  • กล่องจดหมายเข้าในอนาคตจะเร็วขึ้น ฉลาดขึ้น และมีความสามารถมากกว่าสิ่งที่ผู้ใช้ส่วนใหญ่ใช้กันในปัจจุบัน
  • การยืนยันตัวตนคือสิ่งที่ทำให้อนาคตนั้นไม่ได้มีแค่ความสะดวก แต่ยังน่าเชื่อถือด้วย
  • มาตรฐานเหล่านี้พัฒนาจนสุกงอมมาหลายปีแล้ว และเมื่ออีเมลมีความเป็นอัตโนมัติมากขึ้น ก็จำเป็นต้องเดินหน้าสร้างต่อบนรากฐานนี้

อีเมลจะไม่หายไปไหน

  • ทุกคนยังต้องใช้อีเมล ธนาคารส่งใบแจ้งยอด แพทย์ส่งข้อมูลการนัดหมาย และเว็บไซต์อื่น ๆ ส่งอีเมลรีเซ็ตรหัสผ่าน
  • ทุกคนมีอีเมล
  • ตัวชี้วัดที่ดีที่สุดอย่างหนึ่งของความยืนยาวของเทคโนโลยี คือมันมีอยู่มานานแค่ไหน และอีเมลก็มีอยู่มายาวนานแล้ว
  • Fastmail อยู่แนวหน้าของการพัฒนามาตรฐานที่จะรองรับอีเมลแห่งอนาคต และจะยังคงพัฒนาไปพร้อมกับอีเมลต่อไปเพื่อทำให้อีเมลดียิ่งขึ้นสำหรับทุกคน

บทความที่เกี่ยวข้อง

1 ความคิดเห็น

 
GN⁺ 2 시간 전
ความเห็นจาก Hacker News

  • ยากจะตัดสินว่าสิ่งนี้จะช่วยได้จริงแค่ไหน แต่ผมยินดีถ้าอีเมลปลอดภัยขึ้นจนทำให้องค์กรต่าง ๆ โดยเฉพาะธนาคาร หน่วยงานรัฐ และบริษัทประกัน ไม่ต้องสร้างทางเลือกอย่าง กล่องข้อความความปลอดภัยแบบปิด ขึ้นมา
    ชอบบอกว่า “กรุณาเข้าสู่ระบบศูนย์ข้อความความปลอดภัย” แต่พอเข้าไปก็มีแต่ข้อความจัดรูปแบบแย่ ๆ ที่ดูได้แค่ช่วงสั้น ๆ แล้วก็ถูกลบถาวร
    กล่องขาเข้าของผมเป็นเหมือน บันทึกชีวิต ที่ค้นหาได้ในระดับหนึ่ง แต่ทางเลือกพวกนี้ทำให้สิ่งนั้นพังไป

    • “ศูนย์ข้อความ” แบบนั้นไม่ได้มีไว้เพื่อความปลอดภัยอย่างเดียว แต่มีเรื่อง compliance ด้วย
      ตัวอย่างเช่น บริษัทประกันต้องปฏิบัติตาม HIPAA และข้อมูลด้านสุขภาพจะส่งได้เฉพาะไปยังระบบอื่นที่สอดคล้องกับ HIPAA เท่านั้น
      ซึ่งการทำแบบนั้นต้องมีสัญญา BAA กับระบบนั้น แต่ในทางปฏิบัติทำกับอีเมลแทบเป็นไปไม่ได้
      บริษัทประกันไม่สามารถทำสัญญากับโฮสต์อีเมลทุกแห่งทั่วโลกได้ และหลังส่งเมลไปแล้วก็ไม่รู้ด้วยว่าจะไปถึงที่ไหนในที่สุด
      การแยกอีเมลที่มีข้อมูลสุขภาพออกจากอีเมลที่ไม่มีให้แม่นยำก็ยากมาก แม้แต่ชื่อคนหรือ IP address ก็อาจเข้าข่ายได้ขึ้นอยู่กับบริบท
      ดังนั้นจึงตั้งค่าเริ่มต้นให้ส่งทุกอย่างไปที่ศูนย์ข้อความ และต่อให้อีเมลปลอดภัยขึ้นมากแค่ไหน เรื่องนี้ก็คงเปลี่ยนยาก
    • ถ้าจะทำให้อีเมลปลอดภัย ก็น่าจะต้องตัด การรองรับ HTML/CSS ออกจากอีเมล และให้กล่องขาเข้าทำงานแบบอิงคำเชิญ
      ควรเป็นระบบที่ต้องอนุมัติผู้ส่งล่วงหน้า เหมือนการเพิ่มเพื่อนในโซเชียลเน็ตเวิร์ก
    • แพลตฟอร์มส่งข้อความปลอดภัยแบบนั้นทำให้ การสำรองข้อมูล แทบเป็นไปไม่ได้
      ผมเคยเห็นคลินิกการแพทย์ลบข้อความที่อาจทำให้เสียเปรียบในศาลด้วย
      เพราะงั้นถ้าใครจะส่งอะไรแบบนั้น ผมจะบอกให้ส่งมาเป็นอีเมลจริง ๆ
    • ธนาคารของผมส่ง push notification มาว่า “เข้าสู่ระบบแอปเพื่ออ่านข้อความสำคัญ” ซึ่งส่วนใหญ่ก็เป็นอะไรอย่างใบแจ้งยอดรายเดือน
      แล้วก็ยังส่งอีเมลแยกมาอีก ทำให้บางครั้งผมคิดว่าเป็นอีกข้อความหนึ่งเลยต้องล็อกอินอีกรอบ
      ยังมีปุ่ม “ดาวน์โหลดข้อความนี้เป็น PDF” ด้วย แต่จริง ๆ แล้วแค่พาไปยังตัวห่อเว็บเบราว์เซอร์เท่านั้น
    • ไม่นานมานี้ผมขอข้อมูลจากธนาคาร แล้วเขาบอกว่าส่งทางอีเมลไม่ได้ แต่ส่งทาง ไปรษณีย์ ได้
      บอกว่าจะมาถึงประมาณสัปดาห์หน้า
      แน่นอนว่าน่าจะมีเหตุผลด้าน compliance หลายอย่าง แต่ผมก็ยังรู้สึกว่ามันไม่สมเหตุสมผลเอาเลย

  • ผมอ่านไปจนจบแล้วก็แปลกใจ ทั้งหมดเหมือนเป็นบทนำของการประกาศอะไรบางอย่างหรือของใหม่บางอย่าง แต่สุดท้ายไม่มีอะไรออกมาเลย
    อาจเป็นผมเองที่ไม่เข้าใจ แต่เลยไม่รู้ว่า ข้อสรุปหลัก คืออะไรกันแน่

    • ในฐานะผู้ใช้ Fastmail ผมกลับดีใจที่ไม่มีการประกาศอะไร
      ทุกครั้งที่บริษัทเริ่มพูดถึงอนาคตอันสดใส ปกติมันหมายความว่า ประสบการณ์ผู้ใช้ ของผมกำลังจะแย่ลง
    • พอเห็นคำว่า “อนาคตของอีเมลตาม Fastmail” ผมก็คาดว่าจะมีประกาศใหญ่ทันที
      แต่จริง ๆ แล้วคือการพูดว่า “ต่อจากนี้ต้องผ่าน DMARC” ซึ่งก็เป็นความจริงมาตั้งแต่ 2 ปีก่อนแล้ว
      เนื้อหาที่ว่าการยืนยันตัวตนช่วยป้องกันโดเมนปลอมก็ถูกต้อง แต่ผมมองว่านั่นไม่ใช่ปัญหาใหญ่ที่สุด
      ผู้โจมตีหาวิธีทำให้แพลตฟอร์มชำระเงินอย่าง PayPal หรือ Stripe ส่งอีเมลออกไปได้
      จากนั้นก็หาว่าอีเมลที่ถูกสร้างขึ้นมาจะมีข้อมูลอะไรอยู่บ้าง แล้วตั้งชื่อบริษัทเป็นอะไรทำนองว่า “มีปัญหา กรุณาโทรเบอร์นี้”
      แบบนี้ชื่อบริษัทก็จะไปอยู่ในหัวข้อหรือเนื้อหาอีเมลจริงที่ส่งมาจาก PayPal และผ่านการยืนยันทั้งหมด ทำให้ดูเร่งด่วน
      เมลแบบนี้ส่งมาจากบริษัทจริงและผ่านการยืนยันครบทั้งหมด เลยจับด้วย DMARC ไม่ได้ และพักหลังผมเห็นผู้โจมตีใช้วิธีนี้กันพอดี
      ผมหวังจริง ๆ ว่า Fastmail จะออกอะไรที่จัดการปัญหานี้ได้
    • “กล่องขาเข้าแห่งอนาคตจะเร็วขึ้น ฉลาดขึ้น และทำอะไรได้มากกว่าสิ่งที่คนส่วนใหญ่ใช้อยู่ทุกวันนี้”
      ถ้าจะสรุปก็ประมาณนี้แหละ ไม่รู้ว่าจะไปถึงจุดนั้นยังไง แค่บอกว่าอีเมลจะเร็วและฉลาดขึ้น
    • ผมก็คล้ายกัน รอว่าจะมีอะไรเด็ด ๆ ออกมา แต่สุดท้ายกลายเป็นแค่ “อีเมลจะไม่หายไปไหน”
      พูดตรง ๆ ว่าผมสงสัยว่าทำไมโพสต์นี้ถึงถูกส่งขึ้นมาและได้คะแนนโหวต

  • ผมชอบ Fastmail มาก ย้ายมาจาก Proton เมื่อหลายปีก่อน เพราะตัดสินใจว่าข้อแลกเปลี่ยนของอีเมลเข้ารหัสไม่คุ้มค่าเท่าไร
    ต่อให้เชื่อใจ Proton เต็มที่ อีเมลส่วนใหญ่ก็ยังต้องวิ่งผ่าน AWS, Outlook, Gmail อยู่ดี
    ผมพอใจกับบริการของ Fastmail มาก ราคาก็สมเหตุสมผล เร็วมากแม้กล่องขาเข้าจะใหญ่ และไม่ยัดฟีเจอร์หรือความเทอะทะที่ไม่จำเป็นเข้ามา
    เดิมทีผมตั้งใจจะใช้แอปเมลพื้นฐานของระบบปฏิบัติการ แต่แอปกับเว็บไซต์ของ Fastmail ดีพอจนสุดท้ายใช้แค่นั้นเลย

    • ผมใช้ Fastmail มานานกว่า 9 ปีแล้ว โดยเฉพาะหลังจากเพิ่ม การรองรับแบบออฟไลน์ เข้ามา ก็ไม่มีเหตุผลจะย้ายออกไปอีกเลย
    • อยากรู้ว่ามีข้อแลกเปลี่ยนอะไรบ้างใน Proton
    • แอปเดสก์ท็อปของ Fastmail จริง ๆ แล้วก็แค่เอาเว็บไซต์มาห่อไว้ แต่ฟีเจอร์ที่เพิ่มเข้ามาดันเป็น ไม่มีปุ่มย้อนกลับ
      ความจำกล้ามเนื้อจากการใช้เว็บเมลมา 30 ปีของผมกลายเป็นไร้ประโยชน์เพราะ “แอป” นี้
      เหมือนมีนักพัฒนาเว็บคนหนึ่งอยากแกล้งทำตัวเป็นนักพัฒนาแอปเดสก์ท็อป
      และนี่ไม่ใช่ความผิดพลาดด้วย เขาบอกว่าเป็นการตัดสินใจโดยตั้งใจที่จะไม่ใส่คีย์ลัดสำหรับย้อนกลับไปหน้าก่อน
      เจ้าหน้าที่ซัพพอร์ตบอกว่าจะเพิ่มเรื่องนี้เข้าไปเป็น “คำขอฟีเจอร์”

  • เรากำลังเอาการตัดสินอีเมลไป จ้าง AI ทำแทน เป็นหลัก แล้วค่อยพยายามอุดด้วยการทำ SPF/DKIM ให้แข็งแรงขึ้น
    มันเหมือนทำกุญแจให้แน่นหนาขึ้น แต่แจก master key ให้คนมากกว่าเดิม

    • ผมคิดว่าในพื้นที่นี้มีหลายอย่างเกิดขึ้นพร้อมกัน Fastmail แค่หยิบเรื่องหนึ่งมาอธิบายในแบบที่เป็นประโยชน์กับตัวเอง
      จะพูดเหมือน Fastmail มีอำนาจชี้ขาดเรื่องอีเมลทั้งหมดก็คงไม่ได้
      เพราะ Fastmail ไม่ใช่อีเมลเอง แต่เป็นบริการที่พึ่งพาอีเมลเท่านั้น

  • ตราบใดที่เรายังย้ายกล่องขาเข้าแล้วส่งต่อไปยังผู้ให้บริการที่ต้องการไม่ได้ ระบบ การยืนยันตัวตน แบบนี้ก็ดูยากจะมีคุณค่าจริงในระดับใหญ่
    ถ้าย้ายเบอร์โทรได้ ในทางทฤษฎีก็น่าจะย้ายอีเมลได้เหมือนกัน
    ระบบยืนยันตัวตนที่พูดถึงในที่นี้ยังช่วยได้ไม่พอจะทำให้การย้ายแบบนั้นเป็นจริง
    ไม่ว่าจะใช้ผู้ให้บริการไหน เราต้องมีวิธีที่ใช้ได้จริงในการยืนยันตัวบุคคล ไม่ใช่ยืนยันแค่ชื่อโดเมนอีเมล
    พูดอีกแบบคือ ต้องมีมาตรฐานที่พัฒนาจนสามารถลงนามแทนผู้ให้บริการโฮสติ้งเองได้

  • การที่แม้แต่ในปี 2026 อีเมลก็ยังไม่มี ลายเซ็นและการเข้ารหัส เป็นค่าเริ่มต้นนั้นฟังไม่สมเหตุสมผลเลย
    แต่ตราบใดที่โมเดลธุรกิจของผู้ให้บริการอีเมลรายใหญ่ยังพึ่งพาการที่พวกเราไม่ใช้สิ่งเหล่านั้น ก็คงจะยังเป็นแบบนี้ต่อไป

    • ถ้าอีเมลถูกเข้ารหัส โมเดลนั้นก็ใช้งานไม่ได้อย่างแท้จริง
      ถ้าจะทำให้กล่องจดหมายใช้งานได้จริง ก็ต้องมี การประมวลผลด้วยแมชชีนเลิร์นนิง ทำงานอยู่ทั้งหมด และถ้าเป็นแบบนั้น อีเมลก็ต้องไม่ถูกเข้ารหัส
    • ผู้ให้บริการรายใหญ่ไม่ได้ต้องการสิ่งนั้นเลย
      ถ้าไม่ใช่แบบนั้น Microsoft ก็คงจะแชร์ข้อมูล Outlook กับพาร์ตเนอร์ 1000 รายได้ยากกว่านี้มาก
    • การผลักดันการเข้ารหัสอีเมลในปี 2026 ดูจะเป็นสัญญาณของการให้ความสำคัญกับ ข้อกำหนดแบบติ๊กช่อง มากกว่าหลักปฏิบัติด้านความปลอดภัยจริง
      อีเมลเข้ารหัสฟังดูดี แต่เมื่อพิจารณาภัยคุกคามจริง ๆ แล้ว สิ่งที่มันปกป้องเพิ่มขึ้นเมื่อเทียบกับสภาพปัจจุบันมีไม่มาก และยังเสียความสามารถไปเยอะ
      ตามสมมติฐานพื้นฐานแล้ว อีเมลถูกเข้ารหัสอยู่แล้วจากคอมพิวเตอร์ของฉันไปยังเมลเซิร์ฟเวอร์, จากเมลเซิร์ฟเวอร์ของฉันไปยังเมลเซิร์ฟเวอร์ของผู้รับ, และจากเมลเซิร์ฟเวอร์ของผู้รับไปยังคอมพิวเตอร์ของผู้รับ
      ดังนั้นผู้ที่มองเห็นได้นอกจากฉันกับผู้รับ ก็คือเมลเซิร์ฟเวอร์ระหว่างทางเท่านั้น และสิ่งที่ดีที่สุดที่อีเมลเข้ารหัสทำได้ก็แค่ตัดบางฝ่ายที่มีบทบาทสำคัญในกระบวนการนี้ออกไป
      โดยเฉพาะอย่างยิ่ง ส่วนหัวอีเมลยังคงเปิดเผยอยู่ ดังนั้นแม้ในกรณีดีที่สุดก็ไม่ได้กลายเป็นการสื่อสารที่เป็นส่วนตัวมากนัก
      ในทางกลับกัน อีเมลเข้ารหัสทำให้การประมวลผลอย่างตัวกรองฝั่งเซิร์ฟเวอร์ใช้ไม่ได้ เช่นเดียวกับการจัดการสแปม ซึ่งยิ่งไม่มีทางออกเชิงปฏิบัติเมื่อคิดถึงสแปมปริมาณมหาศาลที่ถูกบล็อกไว้ก่อนจะถึงโฟลเดอร์สแปมเสียอีก
      ผู้ใช้คาดหวังว่าจะล็อกอินเข้าเว็บเมลแล้วอ่านอีเมลได้ทันที และเว็บเมลก็คือไคลเอนต์อีเมลที่ครองตลาด
      ถ้าจะแก้ปัญหานี้ด้วยการให้คีย์กับเซิร์ฟเวอร์ เซิร์ฟเวอร์ก็จะกลับมาเป็นฝ่ายที่อ่านอีเมลได้อีก ซึ่งไม่ต่างจากสภาพปัจจุบัน
      ปัญหาที่ใหญ่กว่าคือ การแจกจ่ายคีย์ ถ้าจะส่งเมลก็ต้องหาคีย์ของผู้รับ และในระดับใหญ่ วิธีที่ใช้งานได้จริงที่สุดก็คือถามเมลเซิร์ฟเวอร์เพื่อขอคีย์สาธารณะของผู้ใช้
      แต่เซิร์ฟเวอร์นั้นก็เป็นฝ่ายเดียวกันกับที่สามารถดักทุกข้อความที่ส่งไปหาผู้ใช้นั้นได้อยู่แล้ว ดังนั้นมันสามารถส่งคีย์ของตัวเองมา ถอดการเข้ารหัส แล้วเข้ารหัสใหม่ให้ผู้ใช้ โดยยากจะถูกจับได้
      ทางเลือกอย่าง PGP keyserver ก็ใช้ไม่ได้เช่นกัน แม้ในยุคที่ผู้ใช้ที่สนใจการเข้ารหัสแบบ PGP ยังมีไม่ถึงหนึ่งล้านคน ระบบนิเวศของ PGP keyserver ก็พังไปเมื่อไม่กี่ปีก่อน และนั่นก็เทียบไม่ได้เลยกับขนาดผู้ใช้อีเมลนับพันล้านคน
      ผมมองว่าอีเมลเข้ารหัสเป็นความฝันที่แทบเป็นไปไม่ได้ ไม่ใช่เพราะโมเดลธุรกิจของบริษัทอีเมล แต่เพราะสถาปัตยกรรมของอีเมลนั้นให้ความปลอดภัยที่ดีพออยู่แล้ว จนยากมากที่จะดึงประโยชน์จากการเข้ารหัสเพิ่มเติมออกมาได้
    • อีเมลแบบใหม่คงจะไม่ใช่อีเมล แต่จะใกล้กับ Matrix หรือถ้ายอมรับความรวมศูนย์ ก็อาจใกล้กับ Signal มากกว่า
      มันควรเป็นระบบที่มีประสบการณ์ใช้งานที่ดีและมีการเข้ารหัสที่ยอดเยี่ยม

  • ในบทความมีการพูดถึงข้อเสนอ ARC ที่ล้มเหลว ซึ่งพยายามไม่ให้ DKIM พังระหว่างการส่งต่ออีเมล
    https://www.ietf.org/archive/id/draft-adams-arc-experiment-c...
    น่าสนใจว่า Google จะถูกโน้มน้าวให้ย้ายออกจาก ARC ไปใช้วิธีอื่นได้หรือไม่
    ทุกวันนี้ Gmail ให้ความสำคัญกับชื่อเสียงของเมลเซิร์ฟเวอร์อย่างมาก จึงสามารถปฏิบัติต่อเมลเซิร์ฟเวอร์ที่มันไม่ชอบในทางลบได้อย่างสม่ำเสมอ

  • “อย่างที่สองคือการสนับสนุนด้วย AI เครื่องมือที่สรุปกล่องจดหมาย แสดงรายการสิ่งที่ต้องทำ ร่างคำตอบ และในบางกรณีก็ลงมือแทนผู้ใช้”
    ส่วนนี้ชั่วร้ายที่สุด สุดท้ายมันจะกลายเป็นโครงสร้างที่ บอตคุยกับบอต และมนุษย์ถูกตัดออกไป
    ปัญหาอีเมลทั้งหมดแก้ได้ด้วย GPG แต่ถ้าทำแบบนั้น ธุรกิจของบริการอีเมลอย่าง Fastmail ก็จะพัง
    เพราะจะอ่านและวิเคราะห์อีเมลของผู้ใช้ไม่ได้ ทำโฆษณาไม่ได้ ขายโปรไฟล์ผู้ใช้ให้บริษัทโฆษณาไม่ได้ และใช้ข้อมูลผู้ใช้ฝึก AI ไม่ได้
    อนาคตของอีเมลที่ผมอยากเห็นคือแบบนั้น แต่น่าเสียดายที่ไม่มีใครใช้ GPG และยังค่อนข้างยากที่จะสอนคนให้ใช้

    • สุดท้ายเราคงถูกบีบให้เดินมาทางนี้อยู่ดี ดังนั้นก็แค่ต้องอดทน
      วิธีเดียวที่จะพิสูจน์ได้ว่าการสื่อสารนั้นเป็นของจริง คือการ แลกเปลี่ยนคีย์ กันล่วงหน้าแบบพบหน้ากัน
      GPG เป็นเพียงหนึ่งในแนวทางนั้น และสักวันคงมีใครสักคนหาวิธีทำให้มันง่ายในระดับองค์กรได้
    • Fastmail อ่านหรือวิเคราะห์อีเมลของผู้ใช้เพื่อขายโฆษณาหรือ? Fastmail ใช้อีเมลของผู้ใช้เพื่อฝึกโมเดล AI หรือ?
      สำหรับการวิเคราะห์แล้ว เมทาดาทา มีค่ามากกว่าเนื้อหาข้อความ แล้ว GPG จะแก้เรื่องนั้นอย่างไร?

  • ผมหวังว่าบทความนี้จะเป็นเรื่องเกี่ยวกับ JMAP

    • บทความนี้ทำให้ผมได้รู้จัก SPF, DKIM, DMARC และมันก็ดูเหมือนเป็นการปรับปรุงทางเทคนิคที่ค่อนข้างดี
      แม้จะไม่ใช่การเข้ารหัสเนื้อหา แต่ก็แสดงให้เห็นว่าสภาพแวดล้อมอีเมลพื้นฐานยังมีพื้นที่ให้ปรับปรุงอีก
    • เดิมทีผมไม่รู้ว่า JMAP คืออะไร แต่พอไปค้นดูก็เห็นด้วย

  • มันน่าหงุดหงิดที่ในโปรเจกต์งานอดิเรก ต่อให้ทำตามกฎทุกข้อและใส่ส่วนหัวได้ถูกต้อง ก็ยังส่งอีเมลไม่ได้
    ผมอ่านบทความ โฮสต์อีเมลเอง ของ jeremyevans อย่างสนุก แต่เนื้อหานั้นพูดถึงการรับเมลเท่านั้น ไม่ได้พูดถึงการส่งเมล
    https://code.jeremyevans.net/2021-07-29-running-my-own-email...