ความปลอดภัยของอีเมล: กรอบงานพื้นฐานช่วยเจ้าของไซต์ WordPress ได้อย่างไร

เผยแพร่แล้ว: 2018-12-20

ข้ามประเทศและอุตสาหกรรม เทคโนโลยีหนึ่งได้แบ่งปันความลับนับไม่ถ้วนมานานกว่าสองทศวรรษ ใช่ แม้ว่าจะมีโซเชียลมีเดีย แอพส่งข้อความ และเครื่องมือการจัดการโครงการเพิ่มขึ้น อีเมลยังคงเป็นช่องทางการสื่อสารออนไลน์อันดับหนึ่ง โดยพฤตินัย — แต่ก็เป็นที่มาของความกังวลอย่างมากเมื่อพูดถึงเรื่องความปลอดภัย

เมื่อคุณคำนึงถึงอายุของเทคโนโลยีและแรงจูงใจที่แฮ็กเกอร์พยายามฉ้อโกง คุณจะเห็นได้ง่ายว่าทำไมจึงยังคงรบกวนธุรกิจและบุคคล ที่จริงแล้วเป็นเรื่องที่น่ากังวล มากกว่า ที่เคยเป็นมา เนื่องจากการมาของการตรวจสอบสิทธิ์แบบหลายปัจจัย พื้นที่เก็บข้อมูลบนคลาวด์ ระบบนิเวศดิจิทัล และการเข้าสู่ระบบโซเชียล ทำให้พวกเราหลายคนต้องพึ่งพาความปลอดภัยของที่อยู่อีเมลของเราเพียงเพื่อจะผ่านพ้นวันไปได้

น่าเศร้าที่เพียงแค่มีรหัสผ่านที่ซับซ้อนและป้องกันไว้ไม่เพียงพอ เพราะอีเมลอาจถูกโจมตีด้วยวิธีอื่นๆ: การปลอมแปลง ปลอมแปลง และใช้เพื่อจัดการกับผู้คนทุกประเภท นี่คือจุดที่เฟรมเวิร์กการรักษาความปลอดภัยอีเมลมีความสำคัญอย่างยิ่ง ซึ่งช่วยให้มั่นใจในความถูกต้องของอีเมลของคุณได้ง่ายขึ้นอย่างมาก

แต่ทำไมการฉ้อโกงจึงเป็นภัยคุกคามเช่นนี้? กรอบเหล่านี้คืออะไร และจะช่วยให้เจ้าของเว็บไซต์ดำเนินการอย่างปลอดภัยได้อย่างไร คุณสามารถพึ่งพาพวกเขาเพื่อปกป้องคุณได้หรือไม่? ลองมาดูกัน

เหตุใดการฉ้อโกงอีเมลจึงเป็นปัญหาที่น่าหนักใจ

เรากำลังก้าวไปสู่การชำระเงินแบบไม่ใช้เงินสด การธนาคารออนไลน์ และการทำงานทางไกลที่ต้องใช้การสื่อสารดิจิทัลที่กว้างขวางและในเชิงลึกมากขึ้น (มักจะอยู่ในหัวข้อที่ละเอียดอ่อน) ยิ่งเราเชื่อถืออีเมลมากเท่าไร พวกเขาก็ยิ่งล่อลวงให้แฮ็กเกอร์มากขึ้นเท่านั้น ดังนั้นเมื่ออีเมลเกี่ยวข้องกับผู้ที่ไม่รู้จักเทคโนโลยีมากพอที่จะรู้ว่าพวกเขากำลังถูกหลอกลวงเมื่อใด

หากใครที่เพิ่งรู้วิธีใช้อีเมลแต่ไม่รู้ว่าอีเมลปลอมแปลงเป็นไปได้ด้วยซ้ำไปได้รับอีเมลหลอกลวง เขาจะไม่รู้ว่าต้องสงสัย และผลตอบแทนของผู้ฉ้อโกงนั้นมีโอกาสมากขึ้นกว่าที่พวกเขาเคยทำได้ผ่านการหลอกลวงทางโทรศัพท์ เพราะพวกเขาสามารถทำให้อีเมลหลอกลวงเป็นอัตโนมัติและหลีกเลี่ยงการสนทนาทางโทรศัพท์ที่ยืดเยื้อซึ่งอาจเปิดช่องโหว่ในเรื่องราวของพวกเขา

สำหรับโดเมนที่ถูกต้อง การฉ้อโกงอีเมลเป็นเรื่องที่น่ากังวลมากเพราะจะทำให้ดูแย่ แม้ว่าในที่สุดผู้คนจะรู้ว่าคุณไม่มีความรับผิดชอบ แต่พวกเขาก็ยังเชื่อมโยงแบรนด์ของคุณกับการฉ้อโกงในระดับหนึ่ง ดังนั้นหากคุณต้องการให้โดเมนของคุณได้รับความเชื่อถือ (และผู้คนจะปลอดภัยจากการพยายามหาประโยชน์จากพวกเขาในชื่อของคุณ) คุณจะต้องรักษาความปลอดภัยอีเมลของคุณ โดยใช้วิธีดังนี้:

แนะนำเฟรมเวิร์กการรักษาความปลอดภัยอีเมลที่พบบ่อยที่สุด

เฟรมเวิร์กอีเมลที่ใช้บ่อยที่สุด 2 แบบคือ SPF (Sender Policy Framework) และ DKIM (DomainKeys Identified Mail) และทำงานคล้ายกันแต่แตกต่างกันเล็กน้อย: SPF ต้องการชื่อโฮสต์หรือที่อยู่ IP ที่รองรับ ในขณะที่ DKIM ต้องการการเข้ารหัสอย่างถูกต้อง ข้อความส่วนหัว ลองดูคำอธิบายโดยละเอียดเพิ่มเติม:

SPF ทำงานอย่างไร

เมื่อคุณเปิดใช้งาน SPF บนโดเมนของเว็บไซต์ของคุณ คุณจะต้องสร้างรายชื่อโฮสต์และที่อยู่ IP ที่ถือว่าเป็นแหล่งที่มาของอีเมลที่ถูกต้องจากโดเมนนั้น ซึ่งเป็นรายการที่จะเพิ่มลงในระเบียน DNS สำหรับไซต์ (ระเบียนที่เชื่อมโยง URL ของคุณกับ ที่อยู่ IP ของคุณ)

ระบบอีเมลทุกระบบที่ดูเหมือนว่าจะได้รับอีเมลจากที่อยู่ในโดเมนนั้นจะใช้ที่อยู่ IP ที่ใช้ในการส่งและเปรียบเทียบกับรายการในระเบียน DNS หากตรงกัน อีเมลจะถือว่าถูกต้อง หากไม่ตรงกัน ระบบจะทราบว่าอีเมลนั้นหลอกลวง (หรือผิดพลาดอย่างร้ายแรง)

DKIM ทำงานอย่างไร

เมื่อคุณเปิดใช้งาน DKIM จะใช้แนวทางที่แตกต่างของการใช้การเข้ารหัสเพื่อการตรวจสอบ โดเมนจะมีคีย์ส่วนตัวซึ่งถูกเก็บเป็นความลับและใช้ในการเข้ารหัสข้อความที่ซ่อนอยู่ในส่วนหัวของอีเมลแต่ละฉบับ รวมถึงคีย์ถอดรหัสสาธารณะที่เพิ่มลงในบันทึก DNS

ระบบอีเมลทุกระบบที่หยิบอีเมลโดยอ้างว่ามาจากโดเมนนั้นจะใช้กุญแจสาธารณะจากระเบียน DNS และพยายามถอดรหัสข้อความที่ซ่อนอยู่ ถ้าสำเร็จก็จะรู้ว่าอีเมลมาถูกที่ หากไม่สำเร็จจะทราบว่าผู้ส่งถูกปลอมแปลง

DMARC เกี่ยวข้องกับอะไร

DMARC ซึ่งย่อมาจาก "Domain-based Message Authentication, Reporting and Conformance" เป็นระบบที่รวม SPF และ DKIM ในขณะที่สร้างตัวเลือกบางอย่าง การตั้งค่านโยบาย และการรายงานตามความจำเป็น

เมื่อคุณตั้งค่า DMARC คุณจะต้องระบุวิธีการดังกล่าวที่ใช้กับอีเมลจากโดเมนของคุณ (อาจเป็นทั้งสองอย่าง) รวมถึงสิ่งที่ควรทำเมื่อตรวจพบอีเมลที่ไม่ตรงตามมาตรฐานที่คุณเลือก คุณยังสามารถตั้งค่าการแจ้งเตือนเพื่อให้ทราบเกี่ยวกับความพยายามที่จะแอบอ้างที่อยู่อีเมลของคุณ (ในลักษณะเดียวกับที่คุณจะได้รับการแจ้งเตือนเกี่ยวกับการเปลี่ยนแปลงในไซต์ WordPress)

วิธีดำเนินการเพื่อให้อีเมลของคุณปลอดภัย

หากคุณต้องการให้อีเมลของคุณเชื่อถือได้ และผู้รับรู้สึกปลอดภัยในการเข้าถึง คุณควรทำทุกอย่างที่ทำได้เพื่อป้องกันการฉ้อโกง อย่างน้อยที่สุด ให้ทำสามขั้นตอนต่อไปนี้:

  • ปกป้องรายชื่ออีเมลของคุณอย่างระมัดระวัง แม้ว่าคุณจะแน่ใจว่าอีเมลทุกฉบับที่อ้างว่ามาจากโดเมนของคุณจะถูกตรวจสอบ แต่ก็ยังเป็นอันตรายสำหรับผู้ฉ้อโกงที่จะได้รับรายชื่อที่อยู่ของคุณ เนื่องจากผู้คนจำนวนมาก (มักจะมาจากรุ่นเก่า) จะไม่ตรวจสอบผู้ส่งอย่างใกล้ชิดจริง ๆ ถ้า เนื้อหามีความคล้ายคลึงกับสิ่งที่พวกเขาจำได้อย่างชัดเจน ปกป้องรายชื่ออีเมลของคุณ เพื่อให้ผู้คนมีเหตุผลน้อยลงในการกำหนดเป้าหมายผู้ชมของคุณ (คุณควรทำเช่นนี้หลังจาก GDPR)
  • กำหนดค่าเฟรมเวิร์กความปลอดภัย คุณสามารถใช้ SPF, DKIM หรือ DMARC ได้ แต่ไม่ว่าคุณจะทำอะไรก็ตาม อย่าลืมปฏิบัติตามแนวทางปฏิบัติที่ดีที่สุดสำหรับระบบที่คุณใช้อยู่ และยืนยันว่าระบบทำงานได้ดี หากคุณใช้ซอฟต์แวร์ระบบอัตโนมัติของอีเมลสำหรับการตลาดของคุณ อย่าลืมตั้งค่าให้เป็นแหล่งที่เชื่อถือได้ เพื่อไม่ให้อีเมลที่แจกจ่ายไปไม่ถูกปฏิเสธว่าผิดกฎหมายเมื่อจัดส่ง
  • เตือนสมาชิกของคุณให้ระวัง เมื่อทำทุกอย่างที่ทำได้จากสมการแล้ว ก็ยังคุ้มค่าที่จะติดต่อผู้ชมของคุณ (โดยเฉพาะอย่างยิ่งหากไม่ชำนาญด้านเทคโนโลยีมาก) เพื่อเตือนพวกเขาเกี่ยวกับโอกาสในการฉ้อโกง แจ้งให้พวกเขาทราบว่าคุณจะส่งข้อความประเภทใด และคุณจะ ไม่ ส่งข้อความประเภทใด และเชิญพวกเขาให้ติดต่อคุณโดยตรงหากพวกเขาไม่แน่ใจเกี่ยวกับข้อความที่คุณควรจะส่งถึงพวกเขา

ทำทั้งหมดนี้ และคุณจะสามารถดำเนินการในระดับที่ดีขึ้นมากของความมั่นใจว่าอีเมลของคุณจะปลอดภัยและผู้ชมของคุณจะได้รับการปกป้องจากภัยคุกคามขนาดใหญ่ของการฉ้อโกงอีเมล