7 โปรโตคอลความปลอดภัยอีเมลยอดนิยมที่สุดในปัจจุบัน

โปรโตคอลการรักษาความปลอดภัยของอีเมลเป็นโครงสร้างที่ปกป้องอีเมลของผู้ใช้จากการรบกวนจากภายนอก อีเมลต้องการโปรโตคอลความปลอดภัยเพิ่มเติมด้วยเหตุผลบางประการ: Simple Mail Transfer Protocol (SMTP)ไม่มีการรักษาความปลอดภัยในตัว ข่าวน่าตกใจใช่มั้ยล่ะ?

โปรโตคอลความปลอดภัยจำนวนมากทำงานร่วมกับ SMTP ต่อไปนี้เป็นโปรโตคอลและวิธีปกป้องอีเมลของคุณ

เรียนรู้เกี่ยวกับโปรโตคอลการรักษาความปลอดภัยของอีเมล

• 1. SSL/TLS รักษาอีเมลให้ปลอดภัยอย่างไร
  • TLS แบบฉวยโอกาสและ TLS แบบบังคับ
• 2. ใบรับรองดิจิทัล
• 3. ป้องกันการปลอมแปลงโดเมนด้วย Sender Policy Framework
• 4. DKIM รักษาอีเมลให้ปลอดภัยอย่างไร
• 5. DMARC คืออะไร?
• 6. การเข้ารหัสจากต้นทางถึงปลายทางด้วย S/MIME
• 7. PGP/OpenPGP คืออะไร?

1. SSL/TLS รักษาอีเมลให้ปลอดภัยอย่างไร

Secure Sockets Layer (SSL)และผู้สืบทอด Transport Layer Security (TLS) เป็นโปรโตคอลการรักษาความปลอดภัยอีเมลที่ได้รับความนิยมมากที่สุดสำหรับการปกป้องอีเมลขณะเดินทางผ่านอินเทอร์เน็ต

SSL และ TLS เป็นโปรโตคอลชั้นแอปพลิเคชัน ในเครือข่ายการสื่อสารทางอินเทอร์เน็ต เลเยอร์แอปพลิเคชันจะสร้างมาตรฐานการสื่อสารสำหรับบริการของผู้ใช้ปลายทาง ในกรณีนี้ เลเยอร์แอปพลิเคชันจะมีเฟรมเวิร์กการรักษาความปลอดภัย (ชุดกฎ) ที่ทำงานร่วมกับ SMTP (รวมถึงโปรโตคอลเลเยอร์แอปพลิเคชันด้วย) เพื่อรักษาความปลอดภัยการสื่อสารทางอีเมลของผู้ใช้

บทความนี้ในส่วนนี้จะกล่าวถึง TLS เท่านั้น เนื่องจาก SSL รุ่นก่อนนั้นเลิกใช้แล้วตั้งแต่ปี 2558

TLS ให้ความเป็นส่วนตัวและความปลอดภัยเพิ่มเติมสำหรับ “การสื่อสาร” กับโปรแกรมคอมพิวเตอร์ ในกรณีนี้ TLS จะให้ความปลอดภัยสำหรับ SMTP

เมื่อแอปพลิเคชันอีเมลของผู้ใช้ส่งและรับข้อความ จะใช้ Transmission Control Protocol (TCP - ส่วนหนึ่งของเลเยอร์การขนส่งและไคลเอนต์อีเมลใช้เพื่อเชื่อมต่อกับเซิร์ฟเวอร์อีเมล) เพื่อเริ่มต้น "แฮนด์เชค" กับเซิร์ฟเวอร์อีเมล

การจับมือกันเป็นชุดขั้นตอนที่ไคลเอนต์อีเมลและเซิร์ฟเวอร์อีเมลยืนยันการตั้งค่าความปลอดภัยและการเข้ารหัส จากนั้นจึงเริ่มการส่งอีเมล ในระดับพื้นฐาน การจับมือกันจะทำงานดังนี้:

1. ลูกค้าส่งข้อความ “สวัสดี” ประเภทการเข้ารหัส และเวอร์ชัน TLS ที่เข้ากันได้ไปยังเซิร์ฟเวอร์อีเมล (เซิร์ฟเวอร์อีเมล)

2. เซิร์ฟเวอร์ตอบสนองด้วยใบรับรองดิจิทัล TLS และคีย์เข้ารหัสสาธารณะของเซิร์ฟเวอร์

3. ไคลเอนต์ตรวจสอบข้อมูลใบรับรอง

4. ไคลเอนต์สร้างคีย์ลับที่ใช้ร่วมกัน (หรือที่เรียกว่าคีย์พรีมาสเตอร์) โดยใช้คีย์สาธารณะของเซิร์ฟเวอร์และส่งไปยังเซิร์ฟเวอร์

5. เซิร์ฟเวอร์ถอดรหัสรหัสลับที่ใช้ร่วมกัน

6. ณ จุดนี้ ไคลเอ็นต์และเซิร์ฟเวอร์สามารถใช้ Secret Shared Key เพื่อเข้ารหัสการส่งข้อมูล ซึ่งในกรณีนี้คืออีเมลของผู้ใช้

TLS มีความสำคัญเนื่องจากเซิร์ฟเวอร์อีเมลและไคลเอนต์อีเมลส่วนใหญ่ใช้เพื่อจัดเตรียมการเข้ารหัสระดับพื้นฐานสำหรับอีเมลของผู้ใช้

TLS แบบฉวยโอกาสและ TLS แบบบังคับ

TLS แบบฉวยโอกาสเป็นคำสั่งโปรโตคอลที่แจ้งเซิร์ฟเวอร์อีเมลว่าไคลเอนต์อีเมลต้องการเปลี่ยนการเชื่อมต่อที่มีอยู่ให้เป็นการเชื่อมต่อ TLS ที่ปลอดภัย

บางครั้ง ไคลเอนต์อีเมลของผู้ใช้จะใช้การเชื่อมต่อข้อความธรรมดาแทนการปฏิบัติตามกระบวนการจับมือข้างต้นเพื่อสร้างการเชื่อมต่อที่ปลอดภัย TLS ที่ฉวยโอกาสจะพยายามเริ่มต้นการจับมือ TLS เพื่อสร้าง "อุโมงค์" อย่างไรก็ตาม หากการจับมือกันล้มเหลว TLS เชิงฉวยโอกาสจะกลับไปใช้การเชื่อมต่อข้อความธรรมดาและส่งอีเมลโดยไม่มีการเข้ารหัส

TLS ที่บังคับใช้คือการกำหนดค่าโปรโตคอลที่บังคับให้ “ธุรกรรม” อีเมลทั้งหมดใช้มาตรฐาน TLS ที่ปลอดภัย หากอีเมลไม่สามารถรับจากไคลเอนต์อีเมลไปยังเซิร์ฟเวอร์อีเมลได้ ดังนั้นไปยังผู้รับอีเมล ข้อความจะไม่ถูกส่ง

2. ใบรับรองดิจิทัล

ใบรับรองดิจิทัลเป็นเครื่องมือเข้ารหัสที่สามารถใช้เพื่อรักษาความปลอดภัยอีเมลแบบเข้ารหัส ใบรับรองดิจิทัลคือการเข้ารหัสคีย์สาธารณะประเภทหนึ่ง

การตรวจสอบสิทธิ์ทำให้ผู้อื่นสามารถส่งอีเมลถึงคุณโดยเข้ารหัสด้วยคีย์เข้ารหัสสาธารณะที่กำหนดไว้ล่วงหน้า รวมถึงเข้ารหัสข้อความที่คุณส่งถึงผู้อื่น ใบรับรองดิจิทัลจะทำหน้าที่เหมือนหนังสือเดินทางที่ผูกไว้กับข้อมูลประจำตัวออนไลน์ และการใช้งานหลักคือเพื่อตรวจสอบความถูกต้องของข้อมูลประจำตัวนั้น

การมีใบรับรองดิจิทัลจะทำให้คีย์สาธารณะพร้อมใช้งานสำหรับทุกคนที่ต้องการส่งข้อความที่เข้ารหัสถึงคุณ พวกเขาเข้ารหัสเอกสารด้วยกุญแจสาธารณะของคุณและคุณถอดรหัสด้วยกุญแจส่วนตัวของคุณ

ใบรับรองดิจิทัลสามารถใช้ได้โดยบุคคล ธุรกิจ องค์กรภาครัฐ เซิร์ฟเวอร์อีเมล และหน่วยงานดิจิทัลอื่นๆ เกือบทั้งหมดในการตรวจสอบตัวตนทางออนไลน์

3. ป้องกันการปลอมแปลงโดเมนด้วย Sender Policy Framework

Sender Policy Framework (SPF) เป็นโปรโตคอลการตรวจสอบสิทธิ์ที่ป้องกันการปลอมแปลงโดเมนในทางทฤษฎี

SPF แนะนำการตรวจสอบความปลอดภัยเพิ่มเติมที่ช่วยให้เซิร์ฟเวอร์สามารถระบุได้ว่าข้อความมาจากโดเมนหรือไม่ หรือมีใครใช้โดเมนเพื่อซ่อนข้อมูลระบุตัวตนที่แท้จริงของตนหรือไม่ โดเมนเป็นส่วนหนึ่งของอินเทอร์เน็ตที่มีชื่อไม่ซ้ำกัน ตัวอย่างเช่น Quantrimang.com เป็นโดเมน

แฮกเกอร์และผู้ส่งอีเมลขยะมักจะซ่อนโดเมนของตนเมื่อพยายามเจาะระบบหรือผู้ใช้หลอกลวงเพราะจากโดเมนสามารถติดตามตำแหน่งและเจ้าของหรืออย่างน้อยก็ดูว่าโดเมนนั้นอยู่ในรายการหรือไม่ สีดำ ไม่ ด้วยการปลอมแปลงอีเมลที่เป็นอันตรายเป็นโดเมนที่ใช้งาน "ดี" มีโอกาสมากที่ผู้ใช้จะไม่สงสัยเมื่อคลิกหรือเปิดไฟล์แนบที่เป็นอันตราย

กรอบนโยบายผู้ส่งมีองค์ประกอบหลักสามประการ: กรอบงาน วิธีการตรวจสอบสิทธิ์ และส่วนหัวอีเมลพิเศษที่ถ่ายทอดข้อมูล

4. DKIM รักษาอีเมลให้ปลอดภัยอย่างไร

DomainKeys Identified Mail (DKIM) เป็นโปรโตคอลป้องกันการงัดแงะที่ช่วยให้มั่นใจว่าข้อความที่ส่งมีความปลอดภัยระหว่างการส่ง DKIM ใช้ลายเซ็นดิจิทัลเพื่อตรวจสอบอีเมลที่ส่งโดยโดเมนที่ระบุ นอกจากนี้ยังตรวจสอบว่าโดเมนอนุญาตให้ส่งอีเมลได้หรือไม่ DKIM เป็นส่วนขยายของ SPF

ในทางปฏิบัติ DKIM ช่วยให้การพัฒนา “บัญชีดำ” และ “บัญชีขาว” ง่ายขึ้น

5. DMARC คืออะไร?

โปรโตคอลความปลอดภัยอีเมลถัดไปคือ Domain-Based Message Authentication, Reporting & Conformance (DMARC) DMARC คือระบบการตรวจสอบสิทธิ์ที่ตรวจสอบมาตรฐาน SPF และ DKIM เพื่อป้องกันการกระทำฉ้อโกงที่เกิดจากโดเมน DMARC เป็นคุณลักษณะที่สำคัญในการต่อสู้กับการปลอมแปลงโดเมน อย่างไรก็ตาม อัตราการยอมรับที่ค่อนข้างต่ำหมายความว่าการปลอมแปลงยังคงมีอยู่อย่างแพร่หลาย

DMARC ทำงานโดยป้องกันการปลอมแปลงส่วนหัวจากที่อยู่ของผู้ใช้ มันทำได้โดย:

• จับคู่ชื่อโดเมน “header from” กับชื่อโดเมน “envelope from” โดเมน “envelope from” จะถูกระบุในระหว่างการทดสอบ SPF
• จับคู่ชื่อโดเมน “envelope from” กับ “d= ชื่อโดเมน” ที่พบในลายเซ็น DKIM

DMARC จะแนะนำผู้ให้บริการอีเมลถึงวิธีจัดการกับอีเมลขาเข้า หากอีเมลไม่เป็นไปตามมาตรฐานการทดสอบ SPF และการตรวจสอบสิทธิ์ DKIM อีเมลนั้นจะถูกปฏิเสธ DMARC เป็นเทคโนโลยีที่ช่วยให้โดเมนทุกขนาดสามารถปกป้องชื่อโดเมนของตนจากการปลอมแปลงได้

6. การเข้ารหัสจากต้นทางถึงปลายทางด้วย S/MIME

Secure/MultiPurpose Internet Mail Extensions (S/MIME) เป็นโปรโตคอลการเข้ารหัสจากต้นทางถึงปลายทางที่มีมายาวนาน S/MIME เข้ารหัสเนื้อหาอีเมลก่อนที่จะส่ง ไม่รวมผู้ส่ง ผู้รับ หรือส่วนอื่นๆ ของส่วนหัวของอีเมล มีเพียงผู้รับเท่านั้นที่สามารถถอดรหัสข้อความของผู้ส่งได้

S/MIME ใช้งานโดยโปรแกรมรับส่งเมล แต่ต้องมีใบรับรองดิจิทัล ไคลเอนต์อีเมลสมัยใหม่ส่วนใหญ่รองรับ S/MIME แต่ผู้ใช้จะยังคงต้องตรวจสอบการสนับสนุนเฉพาะสำหรับแอปพลิเคชันและผู้ให้บริการอีเมลของตน

7. PGP/OpenPGP คืออะไร?

Pretty Good Privacy (PGP) เป็นอีกหนึ่งโปรโตคอลการเข้ารหัสแบบ end-to-end ที่มีมายาวนาน อย่างไรก็ตาม ผู้ใช้มีแนวโน้มที่จะพบและใช้ OpenSource ซึ่งเป็น OpenPGP มากกว่า

OpenPGP เป็นเวอร์ชันโอเพ่นซอร์สของโปรโตคอลการเข้ารหัส PGP ได้รับการอัพเดตเป็นประจำและผู้ใช้จะพบสิ่งนี้ได้ในแอพพลิเคชั่นและบริการที่ทันสมัยมากมาย เช่นเดียวกับ S/MIME บุคคลที่สามยังคงสามารถเข้าถึงข้อมูลเมตาของอีเมล เช่น ข้อมูลผู้ส่งอีเมลและผู้รับ

ผู้ใช้สามารถเพิ่ม OpenPGP ลงในการตั้งค่าความปลอดภัยอีเมลของตนได้โดยใช้หนึ่งในแอปพลิเคชันต่อไปนี้:

• Windows: ผู้ใช้ Windows ควรพิจารณา Gpg4Win.org
• macOS: ผู้ใช้ macOS ควรตรวจสอบ Gpgtools.org
• Linux: ผู้ใช้ Linux ควรเลือก GnuPG.org
• Android: ผู้ใช้ Android ควรตรวจสอบ OpenKeychain.org
• iOS: ผู้ใช้ iOS ควรเลือก PGP Everywhere (pgpeverywhere.com)

การใช้งาน OpenPGP ในแต่ละโปรแกรมจะแตกต่างกันเล็กน้อย แต่ละโปรแกรมมีนักพัฒนาที่แตกต่างกันซึ่งตั้งค่าโปรโตคอล OpenPGP ให้ใช้การเข้ารหัสอีเมล อย่างไรก็ตาม สิ่งเหล่านี้ล้วนเป็นโปรแกรมเข้ารหัสที่เชื่อถือได้ซึ่งผู้ใช้สามารถไว้วางใจกับข้อมูลของตนได้

OpenPGP เป็นหนึ่งในวิธีที่ง่ายที่สุดในการเพิ่มการเข้ารหัสบนแพลตฟอร์มที่หลากหลาย

โปรโตคอลการรักษาความปลอดภัยของอีเมลมีความสำคัญอย่างยิ่งเนื่องจากเพิ่มระดับความปลอดภัยให้กับอีเมลของผู้ใช้ โดยพื้นฐานแล้ว อีเมลมีความเสี่ยงที่จะถูกโจมตี SMTP ไม่มีการรักษาความปลอดภัยในตัว และการส่งอีเมลในรูปแบบข้อความธรรมดา (เช่น ไม่มีการป้องกันใดๆ และใครก็ตามที่ขัดขวางสามารถอ่านเนื้อหาได้) ถือเป็นความเสี่ยงอย่างยิ่ง โดยเฉพาะอย่างยิ่งหากมีข้อมูลที่ละเอียดอ่อน

หวังว่าคุณจะพบทางเลือกที่ถูกต้อง!

ดูเพิ่มเติม:

• เคล็ดลับ 7 ข้อเพื่อช่วยรักษาความปลอดภัยให้กับอีเมล
• 4 วิธีง่ายๆ ในการรักษาความปลอดภัยอีเมล
• 8 บริการอีเมลที่ปลอดภัยที่สุดรับประกันความเป็นส่วนตัวของคุณ