หลักการทำงานของ Domain Blacklist
เราอาจจะเคยได้ยินว่า “ไม่สามารถส่งอีเมลไปหาปลายทางได้เพราะเราติด Blacklist” แล้วระบบ Blacklist คืออะไร หากติดแล้วจะเกิดอะไรขึ้น เราจะมาหาคำตอบของเรื่องนี้กัน
เนื่องจากการใช้งานระบบอีเมลเป็นระบบได้รับความนิยมสูงและถือได้ว่าเป็นมาตรฐานติดต่อทางธุรกิจในปัจจุบัน ซึ่งก็เป็นช่องทางของผู้ไม่ประสงค์ดีในการส่งอีเมลเพื่อหลอกลวง (phishing) การส่งมัลแวร์ (malware) เพื่อโจมตีหรือเรียกค่าไถ่ (ransomware) รวมไปถึงการส่งโฆษณาอีกด้วย จึงได้มีการคิดค้นเทคนิคในการคัดกรองอีเมลโดยใช้ไอพีแอดเดรสในการตรวจสอบ ซึ่งเป็นหนึ่งในวิธีที่ได้รับความนิยมในการป้องกันสแปม (spam) ที่เกิดขึ้นเพราะใช้การตรวจสอบไม่มาก ซึ่งเราเรียกเทคนิคนี้ว่า Domain Name System blocklist, Domain Name System-based blackhole list, Domain Name System blacklist (DNSBL) หรือ Real-time blackhole list (RBL) นั่นเอง
สำหรับการทำงานของ RBL จะเป็นการรวบรวมรายไอพีแอดเดรสของผู้ไม่ประสงค์ดีเอาไว้ และให้อีเมลเซิร์ฟเวอร์ผู้รับเข้ามาตรวจสอบว่าไอพีแอดเดรสของผู้ส่งน่าเชื่อถือหรือไม่ หากไอพีแอดเดรสดังกล่าวอยู่ในระบบก็จะปฎิเสธไม่รับอีเมลฉบับนั้นนั่นเอง
จากรูปด้านบนแสดงให้เห็นว่าอีเมลเซิร์ฟเวอร์ผู้รับ (ในภาพคือ Email Security Gateway) จะตรวจสอบไอพีแอดเดรสของผู้ส่งว่าอยู่ในฐานข้อมูล Blacklist หรือไม่ หากมีไอพีแอดเดรสอยู่ก็ขึ้นอยู่กับอีเมลเซิร์ฟเวอร์ผู้รับว่าจะจัดการกับอีเมลฉบับนั้นอย่างไร (ตามดังรูปด้านล่าง) ข้อสังเกตอย่างหนึ่งคึอ อุปกรณ์ไฟร์วอลล์ไม่สามารถป้องกันสแปมเมอร์ได้ เนื่องจากไฟร์วอลล์จะต้องเปิดให้บริการ SMTP (TCP/25) ทั้งขาเข้าและขาออกเอาไว้ทั้งหมด หากไม่เปิดก็จะไม่สามารถรับส่งอีเมลได้ โดยอุปกรณ์ไฟร์วอลล์บางยี่ห้ออาจจะมีฟีเจอร์ Email Filtering ที่สามารถตรวจสอบโดยใช้เทคนิค RBL ได้ แต่ก็จะเป็นการเพิ่มโหลดการทำงานให้กับไฟร์วอลล์นั่นเอง
สำหรับการติด Blacklist นั้น ขึ้นอยู่กับผู้ให้บริการแต่ละรายว่ามีนโบบายและขั้นตอนการตรวจสอบ รวมไปถึงการปลด (Delist) ได้อย่างไร สำหรับการในการใช้งานจริงจะมีผู้ให้บริการทั้งแบบชุมชน (Community) ซึ่งสามารถใช้งานได้ฟรี และในเชิงพาณิชย์ (Commercial) ซึ่งจะอยู่ในรูปแบบของอุปกรณ์รักษาความปลอดภัยของระบบอีเมล (Email Security Gateway) นั่นเอง
เบื้องหลังการเรียกใช้งาน RBL นั้น จะทำงานอยู่บนพื้นฐานของ Domain Name Service หรือ DNS (UDP/53) หากอีเมลเซิร์ฟเวอร์ที่มีการใช้งาน RBL แล้วติดต่อ DNS ช้า ก็จะส่งผลกระทบกับอีเมลขาเข้าได้ เพราะอีเมลเซิร์ฟเวอร์จะต้องตรวจสอบไอพีแอดเดรสของผู้ส่งทุกฉบับนั่นเอง
การประยุกต์ใช้งาน RBL กับระบบอีเมล
สำหรับการใช้งาน RBL นั้น แนะนำให้เปิดใช้งานหากเซิร์ฟเวอร์หรืออุปกรณ์รองรับ โดยเลือกใช้งาน RBL ที่ได้รับความนิยม เช่น Spamcop.net, Spamhaus.org และ Sorbs.net เป็นต้น ซึ่งการคอนฟิกให้ใช้งานฐานข้อมูลจากหลายที่นั้น อาจจะส่งผลกระทบให้ไม่ได้รับอีเมลได้ แนะนำให้เลือกใช้งาน RBL ที่ได้รับความนิยมตามที่ได้แจ้งเอาไว้
จากรูปด้านบนแสดงตัวอย่างการคอนฟิก RBL (หรือ DNSBL) ของอุปกรณ์ FortiMail โดยการใช้ฐานข้อมูลของ Spamcop.net (แบบชุมชน) และยังมีการใช้งานฐานข้อมูลของ Fortinet ที่ชื่อบริการ FortiGuard (แบบเชิงพาณิชย์) เพื่อเป็นการป้องกันอีเมลที่จะเข้าถึงระบบนั่นเอง สำหรับการคอนฟิก RBL ของอีเมลเซิร์ฟเวอร์แต่ละราย เราสามารถหาข้อมูลได้จากเอกสารคู่มือของผู้พัฒนาโดยตรง
ข้อสังเกตอย่างหนุ่ง หากมีการติดตั้งระบบอีเมลเซิร์ฟเวอร์เพื่อใช้ในองค์กรเอง เราจำเป็นต้องใช้งานอินเทอร์เน็ตที่มี Fixed IP Address เป็นอย่างน้อย เนื่องจากไอพีแอดเดรสที่ให้บริการสำหรับผู้ใช้งานตามบ้านนั้นจะเป็นไอพีแอดเดรสชั่วคราวและมักจะติด Blacklist อยู่แล้ว จึงไม่เหมาะกับการใช้งาน โดยมีทางเลือกในการใช้งานระบบอีเมลคือ ติดตั้งอีเมลเซิร์ฟเวอร์ภายในองค์กรและใช้งานอินเทอร์เน็ตแบบ Fixed IP Address หรือ Corporate Internet (Leased Line), ใช้งานระบบ Email Hosting ของผู้ให้บริการที่น่าเชื่อถือ, ติดตั้งระบบอีเมลเซิร์ฟเวอร์บนระบบคลาวด์คอมพิวติ้ง หรือเลือกใช้งานระบบอีเมลของผู้ให้บริการ เช่น Microsoft 365 เป็นต้น
การตรวจสอบว่าไอพีติด Blacklist หรือไม่
การตรวจสอบว่าไอพีแอดเดรสเราติด Blacklist หรือไม่ เราสามารถตรวจสอบได้จากเว็บไซต์ https://mxtoolbox.com/blacklists.aspx โดยการกรอกไอพีแอดเดรสลงไปในช่องและกด “Blacklist Check” เพื่อตรวจสอบ
จากรูปด้านบนแสดงให้เห็นว่าไอพีแอดเดรสดังกล่าวติด Blacklist จำนวน 3 ที่ ซึ่งมีรายที่ได้รับความนิยมคือ Spamhaus.org อยู่ด้วย หากติดตั้งระบบอีเมลเซิร์ฟเวอร์และลองส่งไปยัง Hotmail.com ก็จะไม่สามารถส่งได้ เนื่องจากระบบ Hotmail.com มีการใช้งานฐานข้อมูลของ Spamhaus.org นั่นเอง ดังรูปด้านล่าง

อ้างอิง: