EP3 — Email Security: ระบบที่สำคัญที่สุด แต่ถูกทำผิดมากที่สุด
“Email คือประตูหลักขององค์กร แต่ 80% ขององค์กรตั้งประตูผิดตั้งแต่วันแรก”
🔹 บทนำ: ระบบที่องค์กรคิดว่า “ปลอดภัยอยู่แล้ว”
อีเมลคือช่องทางการโจมตีอันดับ 1 ขององค์กร
ตั้งแต่ฟิชชิง, spoofing, malware ไปจนถึงการยึดบัญชีผู้บริหาร (BEC)
แต่ปัญหาใหญ่คือ…
เกือบทุกองค์กรเข้าใจว่า Email ปลอดภัยอยู่แล้ว
ทั้งที่จริงแล้วยังไม่ได้ตั้งค่าให้ถูกต้องเลยด้วยซ้ำ
โดยเฉพาะ SME ไทยที่:
-
ใช้ Google Workspace / Microsoft 365 แต่ ไม่เคยตั้ง SPF/DKIM/DMARC
-
ไม่เคยตรวจว่า domain ถูกปลอมใช้หรือไม่
-
ไม่รู้ว่า O365/Google มี Email Security baseline ให้ตั้งค่าเพิ่ม
-
ยังใช้ password weak / MFA off
-
ปล่อยให้ vendor คนเก่าถือ access DNS อยู่
-
ใช้ mail hosting ราคาถูกที่ไม่มี anti-spam ที่ดี
สุดท้าย email กลายเป็นระบบที่ “เสี่ยงที่สุด” ในองค์กรโดยไม่รู้ตัว
🔹 ทำไม Email Security จึงเป็นงาน System Security ที่ถูกลืมมากที่สุด?
✔ 1) คนเข้าใจผิดว่าเป็นงานของ “Mail Client / ผู้ใช้”
หลายองค์กรมองว่า:
-
Outlook มีปัญหา
-
Gmail ตกหล่น
-
ผู้ใช้โดนหลอกเอง
แต่ปัญหาส่วนใหญ่เกิดที่ “ระบบ” ไม่ใช่ “ผู้ใช้”
✔ 2) การตั้งค่าอยู่หลายที่ (DNS + Mail Server + Security Policy)
Email Security ไม่ได้อยู่ที่เดียว แต่กระจายเป็น 3 ระบบ:
-
DNS → SPF / DKIM / DMARC
-
Mail Server → Login, SMTP relay, Transport rules
-
Security Layer → Anti-Spam, Anti-Phishing, DLP
งานกระจายแบบนี้ทำให้ “ไม่มีคนดูเต็มตัว”
✔ 3) ความเข้าใจผิดของผู้บริหาร
ผู้บริหารจำนวนมากคิดว่า:
-
“ใช้ Microsoft 365 ก็ปลอดภัยแล้ว”
-
“จ่ายแพงก็ต้องปลอดภัยสิ”
-
“ระบบ Email มันทำงานของมันเองอยู่แล้ว”
ทั้งที่ในความจริง…
แม้แต่ Microsoft 365 / Google Workspace ก็ต้องตั้งค่าความปลอดภัยเพิ่มเติมอีกอย่างน้อย 10–20 จุด
✔ 4) ไม่มีการตรวจสอบความผิดปกติรายเดือน
องค์กรส่วนใหญ่:
-
ไม่เคยเช็ค DMARC Report
-
ไม่เคยดูการปลอมแปลง domain
-
ไม่รู้ว่าอีเมลถูกปฏิเสธเพราะ SPF/DKIM พังหรือไม่
-
ไม่รู้ว่ามีคนพยายาม login จากต่างประเทศ
ผลลัพธ์คือมีภัยคุกคามเกิดขึ้นแต่ไม่มีใครรู้
🔹 ส่วนประกอบสำคัญของ Email Security ที่ต้องทำให้ครบ
1) SPF – ระบุว่าใครมีสิทธิ์ส่งอีเมลแทนองค์กร
ช่วยป้องกัน email spoofing ระดับพื้นฐาน
แต่หลายองค์กรมีปัญหา:
-
ใส่ include ผิด
-
เก็บของเก่าไว้จน record เกิน limit
-
ไม่เคยอัปเดตตอนเปลี่ยนระบบส่งอีเมล
2) DKIM – ลายเซ็นดิจิทัลของอีเมล
ช่วยยืนยันว่าอีเมลไม่ถูกแก้ระหว่างทาง
แต่คนมักลืมเปิด หรือใช้ key ที่หมดอายุ
3) DMARC – กำหนดนโยบายป้องกันการปลอมแปลง
เป็นตัวที่องค์กรควบคุมเองได้
แต่ 90% ของ SME ยังตั้งเป็น:
แปลว่า “รับรู้ว่าโดนปลอมได้ แต่ไม่ต้องทำอะไร”
4) Email Security Policy (Google Workspace / M365)
ประกอบด้วย:
-
MFA
-
Impossible Travel Detection
-
Anti-Phishing Enhanced
-
Inbox rules monitoring
-
Block forwarding
-
Geo restrictions
-
Admin alert
สิ่งเหล่านี้ “ต้องเปิดเพิ่ม” ไม่ใช่ค่า default
5) Monitoring + DMARC Aggregate Report
องค์กรต้องดูรายงาน DMARC เพื่อรู้ว่าใครปลอมอีเมลเราอยู่
และจัด whitelist/blacklist ให้ถูกต้อง
🔹 ตัวอย่างเหตุการณ์จริงที่พบในองค์กรไทย
-
Vendor เดิมถือ DNS อยู่ → ใส่ SPF/DKIM ผิด จนระบบส่งอีเมลไม่ได้
-
ผู้ใช้ Outlook forward ไปอีเมลส่วนตัวโดยไม่รู้ → ข้อมูลรั่ว
-
ระบบ ERP ส่งเมลผ่าน SMTP ภายใน → ไม่มี SPF, DMARC fail
-
ผู้บริหารใช้รหัสผ่านเดิม 5 ปี → ถูก brute force จน OTP ไม่ได้เปิด
-
Domain ถูกใช้ในการส่ง Spam → ถูก blacklist ทั้งองค์กร
🔹 วิธีเริ่มต้นทำ Email Security แบบง่ายที่สุด
✔ 1) เปิด MFA ทุกบัญชี (สำคัญที่สุด)
ลดการถูกยึดบัญชี (BEC) ได้มากกว่า 90%
✔ 2) ตรวจสุขภาพ DNS ก่อน
-
SPF
-
DKIM
-
DMARC (ต้อง p=quarantine/ reject)
✔ 3) ปิดการ Forward อัตโนมัติทั้งหมด
พบในหลายกรณีที่เป็นต้นตอของข้อมูลรั่วไหล
✔ 4) ใช้ DMARC Report ส่งเข้า Dashboard
เพื่อ monitor ว่ามีใครปลอมอีเมลหรือไม่
✔ 5) ใช้เครื่องมือป้องกัน Phishing เพิ่มเติม
ถ้าใช้ Cloudflare, O365, Google → เปิดฟีเจอร์เสริม
🔹 สรุป
Email เป็นระบบที่ทุกคนใช้ทุกวัน
แต่กลับเป็นระบบที่ “ถูกทำผิดมากที่สุด” และให้ผลกระทบสูงสุด
“องค์กรไม่ถูกแฮกเพราะระบบซับซ้อน
แต่มักถูกแฮกเพราะการตั้งค่าอีเมลง่าย ๆ ที่ทำผิดมาตั้งแต่วันแรก”
Email Security จึงเป็น EP3 ในซีรีส์ System Security ที่ถูกลืม
เพราะมันคือประตูที่เปิดไว้ตลอด 24 ชั่วโมง และต้องปิดให้แน่นที่สุด