เหตุใดฉันจึงต้องกังวลเกี่ยวกับการรักษาความปลอดภัยอีเมล WordPress ของฉัน

เผยแพร่แล้ว: 2023-05-31

อีเมลมีอยู่ทั่วไป พวกเขาได้กลายเป็นหนึ่งในวิธีการสื่อสารทั่วไปในหมู่ผู้คนทางอินเทอร์เน็ต ผู้ดูแลระบบ WordPress และเจ้าของเว็บไซต์ใช้อีเมลเพื่อวัตถุประสงค์ต่างๆ เช่น การสื่อสารส่วนตัวและอาชีพ การตลาด การสรรหาบุคลากร และอื่นๆ

อีเมลอาจมีข้อมูลที่ละเอียดอ่อนซึ่งคุณใช้เพื่อตรวจสอบสิทธิ์ผู้ใช้ของคุณหรืออนุญาตให้ดำเนินการบางอย่าง เช่น การรีเซ็ตรหัสผ่าน เป็นต้น ในบทช่วยสอนนี้ เราจะพูดถึงทุกสิ่งที่เจ้าของเว็บไซต์จำเป็นต้องรู้เกี่ยวกับความปลอดภัยของอีเมลใน WordPress

เรามาเริ่มการสนทนาด้วยความจำเป็นในการรักษาความปลอดภัยอีเมลเว็บไซต์ WordPress ของคุณ การรักษาความปลอดภัยให้อีเมลของคุณช่วยได้หลายอย่าง เช่น:

  • การปกป้องข้อมูลที่ละเอียดอ่อน — ดังที่ได้กล่าวไว้ก่อนหน้านี้ คุณมักจะส่งอีเมลที่สามารถมีข้อมูลที่ละเอียดอ่อนได้ ซึ่งอาจรวมถึงสิ่งต่างๆ เช่น ข้อมูลรับรองการเข้าสู่ระบบของผู้ใช้และข้อมูลส่วนบุคคลที่เกี่ยวข้องกับสุขภาพหรือการเงินของผู้ใช้ ไม่ว่าในกรณีใด คุณต้องแน่ใจว่าไม่มีใครที่มีเจตนาร้ายสามารถสกัดกั้นข้อมูลนี้ได้
  • การส่งอีเมล — สแปมเป็นปัญหาใหญ่บนอินเทอร์เน็ต เรามั่นใจว่าคุณได้รับส่วนแบ่งจากอีเมลสแปมพอสมควร พวกมันน่ารำคาญในสถานการณ์ที่ดีที่สุดและอาจนำไปสู่ผลลัพธ์ที่รุนแรงกว่าในกรณีอื่นๆ วิธีหนึ่งที่เซิร์ฟเวอร์อีเมลจัดการกับสแปมที่อาจเกิดขึ้นคือการไม่ส่งอีเมลที่ไม่ได้มาตรฐานเลย ในทำนองเดียวกัน อีเมลที่อาจถูกพิจารณาว่าเป็นสแปมโดยไคลเอนต์อีเมลต่างๆ จะถูกทำเครื่องหมายและใส่ไว้ในโฟลเดอร์แยกต่างหากจากกล่องจดหมายหลัก
  • การรักษาชื่อเสียงของแบรนด์ — ชื่อเสียงของแบรนด์ของคุณอาจอยู่ในเกณฑ์หากคุณไม่ให้ความสำคัญกับความปลอดภัยของอีเมล WordPress อย่างจริงจัง ลองคิดดูสิ คุณจะรู้สึกอย่างไรกับแบรนด์ที่อีเมลติดอยู่ในตัวกรองสแปมตลอดเวลา หรือแบรนด์ที่ขาดความปลอดภัยส่งผลให้ข้อมูลส่วนบุคคลของคุณรั่วไหล
  • การป้องกันการโจมตีทางอีเมล — ผู้ที่มีเจตนาร้ายสามารถใช้อีเมลฟิชชิงเพื่อเข้าถึงเว็บไซต์ของคุณหรือเข้าถึงข้อมูลผู้ใช้ได้ สิ่งนี้อาจทำให้เกิดปัญหาด้านความปลอดภัยได้ทุกประเภท ไม่ว่าในกรณีใด คุณต้องใช้มาตรการที่เหมาะสมเพื่อรักษาความปลอดภัยอีเมล WordPress

การส่งอีเมลที่ปลอดภัยใน WordPress

WordPress มีฟังก์ชัน wp_mail() ในตัวที่ใช้ในการส่งอีเมล ฟังก์ชันนี้ใช้ไลบรารี PHPMailer ฟรีและโอเพ่นซอร์สยอดนิยมเพื่อส่งอีเมลทั้งหมดของคุณ

ข้อดีอย่างหนึ่งของการใช้ไลบรารีคือมีไคลเอนต์ SMTP ในตัวที่ให้คุณส่งอีเมลบนทุกแพลตฟอร์มโดยไม่จำเป็นต้องมีเซิร์ฟเวอร์เมลในเครื่อง

คำว่า SMTP ย่อมาจาก Simple Mail Transfer Protocol ไคลเอนต์ SMTP เป็นโปรแกรมที่เราสามารถใช้เพื่อส่งอีเมลจากเซิร์ฟเวอร์หนึ่งไปยังอีกเซิร์ฟเวอร์หนึ่ง ลูกค้าทำสิ่งที่มีค่าหลายอย่าง เช่น สร้างการเชื่อมต่อกับเซิร์ฟเวอร์อีเมล รับรองความถูกต้องของผู้ส่ง และส่งอีเมล

การใช้ฟังก์ชัน wp_mail() ไม่ใช่การรับประกันโดยอัตโนมัติว่าการรับอีเมลของคุณจะสำเร็จ มันจะคืนค่าจริงเมื่อคำขอสำเร็จ โดยไม่คำนึงถึงสถานะการนำส่งของอีเมล ดังนั้นคุณจะต้องแน่ใจว่าอีเมลที่คุณส่งนั้นถูกส่งไปแล้ว

คุณสามารถเพิ่มการตั้งค่าที่เกี่ยวข้องกับ SMTP ภายในไฟล์ wp-config.php โดยเพิ่ม PHP สองสามบรรทัดในซอร์สโค้ดที่มีอยู่ อย่างไรก็ตาม ตัวเลือกที่ง่ายกว่ามากคือการใช้ปลั๊กอิน
คุณสามารถใช้หนึ่งในปลั๊กอิน WordPress SMTP ฟรีมากมายที่จะช่วยคุณกำหนดการตั้งค่าทั้งหมดของคุณเพื่อส่งอีเมลของคุณอย่างมีประสิทธิภาพและปลอดภัย เราได้กล่าวถึงความสามารถในการส่งอีเมลของ WordPress โดยละเอียดแล้วในอดีต

การตั้งค่าปลั๊กอิน SMTP

เป็นมูลค่าการกล่าวขวัญว่ามีปลั๊กอิน SMTP หลายตัวที่คุณสามารถใช้บนเว็บไซต์ของคุณได้ คุณสามารถลองดูว่าอันไหนเหมาะกับคุณที่สุด หนึ่งในปลั๊กอินที่ได้รับความนิยมมากที่สุดคือปลั๊กอิน WP Mail SMTP

ปลั๊กอิน SMTP ยอดนิยมสำหรับ WordPress

ปลั๊กอินใดๆ ที่คุณใช้จะขอให้คุณเลือกเมล SMTP สำหรับเว็บไซต์ของคุณ มีหลายตัวเลือกให้เลือก เช่น SendLayer, Postmark, SendGrid, Zoho Mail เป็นต้น วิซาร์ดการตั้งค่าจะช่วยคุณในการกำหนดค่าเริ่มต้น โดยที่คุณให้ข้อมูลที่จำเป็นทั้งหมด เช่น คีย์ API เป็นต้น การตั้งค่าทั้งหมดนี้สำหรับ ปลั๊กอินจะพร้อมใช้งานในแดชบอร์ดของ WordPress

มีสองสิ่งสำคัญที่คุณควรคำนึงถึงขณะตั้งค่าปลั๊กอินเหล่านี้:

  1. ตรวจสอบให้แน่ใจว่าคุณกำลังส่งอีเมลผ่าน SSL ด้วยไคลเอ็นต์ SMTP ของคุณ วิธีนี้จะช่วยป้องกันอีเมลจากการถูกดักฟังขณะอยู่ระหว่างการส่ง บริการต่างๆ เช่น SendLayer เป็นต้น จะจัดการการเข้ารหัส SSL/TLS ให้คุณโดยอัตโนมัติ อย่างไรก็ตาม คุณยังสามารถให้ข้อมูลเกี่ยวกับโฮสต์ SMTP หมายเลขพอร์ต การเข้ารหัส ฯลฯ ได้ด้วยตนเอง หากคุณเลือก SMTP อื่นเป็น SMTP Mailer ของคุณ
  2. คุณอาจต้องการปิดใช้งานการบันทึกอีเมลหากคุณส่งข้อมูลที่ละเอียดอ่อนทางอีเมล วิธีนี้จะป้องกันการรั่วไหลของข้อมูลที่ไม่พึงประสงค์หากมีสิ่งผิดพลาดเกิดขึ้น เป็นเรื่องปกติที่จะเปิดใช้งานตัวเลือกนี้ขณะทดสอบ แต่ควรปิดในกรณีอื่น

กรอบความปลอดภัยอีเมลทั่วไป

การติดตั้งและใช้ใบรับรอง SSL ในการส่งอีเมลจะช่วยให้แน่ใจว่าเนื้อหาอีเมลนั้นปลอดภัยระหว่างการส่งระหว่างไคลเอนต์อีเมลและเซิร์ฟเวอร์อีเมล สิ่งนี้เกิดขึ้นได้ด้วยการป้องกันการเข้าถึงหรือการสกัดกั้นอีเมลโดยไม่ได้รับอนุญาตระหว่างการส่ง

ขั้นตอนต่อไปในการปรับปรุงความปลอดภัยของอีเมล WordPress คือการใช้การเข้ารหัสเพื่อให้ผู้รับที่ต้องการเท่านั้นที่สามารถอ่านเนื้อหาของอีเมลที่ส่งไปได้

มีกรอบความปลอดภัยอีเมลหลายแบบที่คุณสามารถใช้เพื่อรักษาความปลอดภัยอีเมลบนไซต์ WordPress ของคุณได้ คำว่ากรอบการรักษาความปลอดภัยของอีเมลหมายถึงชุดแนวทางและมาตรฐานที่มีอยู่เพื่อให้มั่นใจว่าการสื่อสารทางอีเมลทั้งหมดของคุณปลอดภัยจากความเสี่ยงด้านความปลอดภัย เช่น สแปม ฟิชชิง และการเข้าถึงโดยไม่ได้รับอนุญาต

เซิร์ฟเวอร์ SMTP ที่แตกต่างกันอาจใช้เฟรมเวิร์กการรักษาความปลอดภัยอีเมลหลายชุดร่วมกันเพื่อให้บรรลุเป้าหมายในการรักษาความปลอดภัยอีเมล ลองเรียนรู้เกี่ยวกับบางส่วนของพวกเขา

กรอบนโยบายผู้ส่ง

Sender Policy Framework หรือที่เรียกว่า SPF เป็นกรอบการตรวจสอบความถูกต้องของอีเมลที่อนุญาตให้เซิร์ฟเวอร์อีเมลของผู้รับตรวจสอบว่าอีเมลมาจากแหล่งที่ถูกต้องหรือไม่

กล่าวโดยสรุปคือ SPF ทำงานโดยการตรวจสอบบันทึก DNS (Domain Name System) ของโดเมนของผู้ส่งเพื่อตรวจสอบว่าที่อยู่ IP ของผู้ส่งตรงกับที่อยู่ IP ที่ได้รับอนุญาตสำหรับโดเมนนั้น

เมื่อส่งอีเมลแล้ว เซิร์ฟเวอร์อีเมลที่ปลายทางของผู้รับจะตรวจสอบระเบียน SPF เพื่อดูว่าอีเมลนั้นส่งมาจากเซิร์ฟเวอร์อีเมลที่ได้รับอนุญาตจากฝั่งผู้ส่งหรือไม่ ระเบียน SPF จะมีข้อมูลเกี่ยวกับที่อยู่ IP และโดเมนทั้งหมดที่สามารถส่งอีเมลในนามของโดเมนใดโดเมนหนึ่งได้ ที่ไม่ตรงกันจะส่งผลให้มีการทำเครื่องหมายอีเมลว่าน่าสงสัย

SPF ช่วยต่อต้านการโจมตีจากสแปมและฟิชชิงที่ซึ่งบางคนแสร้งทำเป็นสิ่งที่พวกเขาไม่ใช่

จดหมายระบุโดเมนคีย์

กรอบงาน DomainKeys Identified Mail (DKIM) ใช้ลายเซ็นดิจิทัลเพื่อตรวจสอบว่าผู้ส่งอีเมลเป็นบุคคลที่ถูกต้องตามกฎหมาย นอกจากนี้ยังช่วยให้แน่ใจว่าเนื้อหาของอีเมลจะไม่ถูกเปลี่ยนแปลงในขณะที่ส่งอีเมล

ลายเซ็นดิจิทัลไม่ได้เป็นอะไรนอกจากค่าการเข้ารหัสที่สร้างขึ้นโดยใช้คีย์ส่วนตัวที่เชื่อมโยงกับชื่อโดเมนที่ถูกต้องตามกฎหมาย ข้อความอีเมลมีค่าการเข้ารหัสเป็นฟิลด์ DKIM-Signature ในส่วนหัว

เซิร์ฟเวอร์อีเมลในฝั่งของผู้รับสามารถเข้าถึงคีย์สาธารณะของโดเมนของผู้ส่งจากระเบียน DNS ระบบอีเมลใช้รหัสสาธารณะเพื่อถอดรหัสลายเซ็นเพื่อตรวจสอบความถูกต้องของผู้ส่ง ระบบจะส่งอีเมลไปยังกล่องจดหมายของผู้รับหลังจากตรวจสอบความถูกต้องของผู้ส่งแล้ว

ความลับในที่นี้คือคีย์ส่วนตัวถูกใช้เพื่อสร้างลายเซ็นเข้ารหัส และลายเซ็นนี้สามารถถอดรหัสได้ด้วยคีย์สาธารณะที่เกี่ยวข้องเท่านั้น ซึ่งหมายความว่าค่าที่ตรงกันในค่าแฮชที่สร้างขึ้นด้วยคีย์ส่วนตัวและคีย์สาธารณะจะรับประกันความถูกต้องของอีเมล

การรับรองความถูกต้องของข้อความตามโดเมน การรายงาน และความสอดคล้อง

เฟรมเวิร์กสองเฟรมก่อนหน้านี้ช่วยให้คุณตรวจสอบว่าผู้ส่งอีเมลเป็นคนที่พวกเขาอ้างว่าเป็น ซึ่งจะช่วยป้องกันการโจมตีจากสแปมและฟิชชิง

จะเกิดอะไรขึ้นหากอีเมลไม่ผ่านการตรวจสอบ SPF หรือ DKIM

คุณอาจสงสัยว่าอีเมลที่ถูกต้องจะไม่ผ่านการตรวจสอบ SPF หรือ DKIM ได้อย่างไร กรณีนี้อาจเกิดขึ้นได้ในหลายสถานการณ์ เช่น กำหนดค่าระเบียน SPF หรือ DKIM ไม่ถูกต้อง การประทับเวลาไม่ถูกต้องเนื่องจากเวลาส่งนานกว่าปกติ และการส่งต่ออีเมลโดยที่เซิร์ฟเวอร์ส่งต่อไม่ได้รับอนุญาตให้ส่งอีเมลในนามของโดเมนของผู้ส่งเดิม

เฟรมเวิร์กการรับรองความถูกต้องของข้อความตามโดเมน การรายงาน และความสอดคล้อง (DMARC) จะเข้ามาช่วยเหลือคุณในกรณีนี้

เจ้าของโดเมนสามารถเพิ่มนโยบาย DMARC ลงในระเบียน DNS เพื่อระบุสิ่งที่จะเกิดขึ้นกับข้อความอีเมลที่ไม่ผ่านการตรวจสอบสิทธิ์ SPF หรือ DKIM

เมื่ออีเมลไม่ผ่านการตรวจสอบ เซิร์ฟเวอร์อีเมลของผู้รับจะค้นหานโยบาย DMARC ของโดเมนของผู้ส่ง นโยบาย DMARC จะระบุว่าควรปฏิเสธ กักบริเวณ หรือส่งอีเมลไปยังกล่องจดหมายของผู้รับหรือไม่

นอกจากการตรวจสอบความถูกต้องของผู้ส่งแล้ว DMARC ยังมีกลไกในการรายงานข้อมูลทั้งหมดเกี่ยวกับอีเมลที่ส่งจากโดเมนของตนให้เจ้าของโดเมนทราบ การเข้าถึงข้อมูลนี้สามารถช่วยให้เจ้าของโดเมนระบุถึงการปลอมแปลงอีเมลหรือการโจมตีแบบฟิชชิงที่อาจเกิดขึ้นได้ ส่งผลให้อีเมลมีความปลอดภัยเพิ่มขึ้นในที่สุด

ความเป็นส่วนตัวค่อนข้างดี

Pretty Good Privacy หรือ PGP เป็นอีกหนึ่งเฟรมเวิร์กการรักษาความปลอดภัยอีเมลที่น่าสนใจที่ให้การเข้ารหัสแบบ end-to-end สำหรับอีเมลของคุณ เพื่อให้มั่นใจว่าเฉพาะผู้รับเท่านั้นที่สามารถอ่านอีเมลของคุณได้

โปรโตคอลความปลอดภัย PGP ใช้คีย์สาธารณะและคีย์ส่วนตัวสำหรับระบบการเข้ารหัส ผู้ใช้โปรโตคอล PGP ทุกคนจะมีคีย์สาธารณะและคีย์ส่วนตัวของตนเอง PGP ใช้รหัสสาธารณะสำหรับเข้ารหัสข้อความอีเมลและรหัสส่วนตัวสำหรับถอดรหัส ทุกคนที่ต้องการสื่อสารกับผู้ใช้สามารถเข้าถึงคีย์สาธารณะได้ รหัสส่วนตัวอยู่กับผู้ใช้

สมมติว่าคุณต้องการส่งอีเมลถึงใครสักคน ในฐานะผู้ส่ง คุณจะใช้รหัสสาธารณะที่ผู้รับมอบให้เพื่อเข้ารหัสข้อความของคุณ สิ่งนี้ทำให้แน่ใจว่าเฉพาะผู้รับเท่านั้นที่สามารถถอดรหัสข้อความได้ เนื่องจากมีเพียงพวกเขาเท่านั้นที่จะมีรหัสส่วนตัว

นอกจากนี้ PGP ยังใช้ลายเซ็นดิจิทัลเพื่อตรวจสอบความถูกต้องและความสมบูรณ์ของอีเมล และเพื่อให้แน่ใจว่าไม่มีการดัดแปลงระหว่างการส่ง

คีย์ส่วนตัวพิสูจน์ได้ว่ามีประโยชน์สำหรับการสร้างลายเซ็นดิจิทัล ซึ่งตรวจสอบความถูกต้องของผู้ส่ง รหัสส่วนตัวใช้เพื่อสร้างแฮชของข้อความอีเมล เนื่องจาก PGP ทำงานบนหลักการแบ่งปันรหัสสาธารณะ ผู้รับอีเมลจะสามารถเข้าถึงรหัสสาธารณะของผู้ส่งได้ รหัสสาธารณะนี้มีประโยชน์สำหรับการถอดรหัสแฮช ซึ่งตรวจสอบว่าข้อความไม่มีการเปลี่ยนแปลง

สิ่งสำคัญอีกประการหนึ่งของ PGP คือระบบ "web of trust" ซึ่งผู้ใช้ที่แตกต่างกันสามารถลงนามคีย์สาธารณะของกันและกันเพื่อระบุว่าพวกเขาได้ยืนยันเจ้าของคีย์แล้ว สิ่งนี้ทำให้ผู้ที่มีเจตนาร้ายแอบอ้างเป็นผู้ใช้ได้ยากยิ่งขึ้น

การใช้การรักษาความปลอดภัยอีเมลบนไซต์ WordPress ของคุณ

ตอนนี้เราจะเรียนรู้วิธีใช้เฟรมเวิร์กการรักษาความปลอดภัยอีเมลแบบต่างๆ บนเว็บไซต์ของคุณ

กรอบนโยบายผู้ส่ง

ตามที่กล่าวไว้ในส่วนก่อนหน้านี้ SPF ทำงานโดยการตรวจสอบบันทึก DNS ของโดเมนของผู้ส่ง จะตรวจสอบว่า IP ของผู้ส่งตรงกับที่อยู่ IP ที่ได้รับอนุญาตสำหรับโดเมนนั้นหรือไม่

เราสามารถทดสอบได้โดยใช้ wpwhitesecurity.com เป็นตัวอย่าง สิ่งที่เราต้องทำคือใช้คำสั่ง nslookup ดังนี้:
nslookup -type=txt ชื่อโดเมน

บันทึก WP White Security SPF

ผลลัพธ์ที่ได้จะบอกว่าเราใช้ระบบใดในการส่งอีเมล

v=spf1 a mx รวม:_spf.google.com รวม:relay.kinstamailservice.com รวม:servers.mcsv.net รวม:helpscoutemail.com รวม:sendgrid.net ~ทั้งหมด

หากอีเมลที่คุณได้รับจากเราไม่ได้มาจากระบบใดๆ เหล่านี้ เป็นไปได้ว่าอีเมลนั้นไม่ถูกต้องตามกฎหมาย

สิ่งที่เราต้องทำเพื่อใช้ SPF คือเพิ่มระเบียน TXT ลงในไฟล์โซน DNS ของโดเมน ระเบียน TXT สามารถมีข้อความที่คุณต้องการเชื่อมโยงกับชื่อโดเมนได้ตามอำเภอใจ ในกรณีนี้จะมีข้อมูล SPF

ขั้นตอนแรกคือการลงชื่อเข้าใช้บริการใดก็ตามที่คุณใช้เพื่อจัดการระเบียน DNS ของคุณ ในกรณีนี้ เราจะใช้ Cloudflare ดังนั้นเราจึงลงชื่อเข้าใช้บัญชี Cloudflare ก่อน และเลือกโดเมนที่จะแก้ไขระเบียน DNS

คุณควรเห็นตัวเลือกในการเปลี่ยน การตั้งค่า DNS ในแถบด้านข้างซ้ายหรือใต้การดำเนินการด่วน หากคุณใช้ Cloudflare คลิกเพื่อเพิ่มระเบียน DNS จะมีปุ่ม เพิ่มบันทึก ในหน้าถัดไป คลิกที่มันแล้วคุณจะเห็นหน้าจอต่อไปนี้

การเพิ่มระเบียน DNS ใน Cloudflare

เลือก TXT ใต้เมนูแบบเลื่อนลงประเภท ตั้งชื่อเป็นรูทโดเมนของคุณ ให้ TTL เป็นอัตโนมัติและตั้งค่าของเนื้อหาเป็น v=spf1 mx a ip4:XXX.XXX.XXX.XXX -all ใช้ภาพหน้าจอด้านล่างเพื่อเป็นข้อมูลอ้างอิง

ระเบียน DNS ประกอบด้วยส่วนต่างๆ มาดูกันว่าพวกเขาหมายถึงอะไร:

  1. v=spf1 — ส่วนนี้ระบุเวอร์ชันของโปรโตคอล SPF ที่ใช้งานอยู่ ในกรณีนี้ รุ่น SPF คือ 1
  2. mx — ส่วนนี้อนุญาตให้ระเบียน MX ของโดเมนส่งอีเมลในนามของโดเมน
  3. a — ส่วนนี้อนุญาตให้ระเบียน A ของโดเมนหรือที่อยู่ ipv4 ส่งอีเมลในนามของโดเมน
  4. ip4:XXX.XXX.XXX.XXX — คุณสามารถเพิ่มส่วนนี้เพื่อเพิ่มที่อยู่ IP เฉพาะในรายการที่อนุญาตสำหรับการส่งอีเมล
  5. -ทั้งหมด — ส่วนนี้ระบุว่าจะเกิดอะไรขึ้นกับอีเมลที่ไม่ตรงกับโดเมนหรือที่อยู่ IP ที่ได้รับอนุญาต

ตรวจสอบว่าคุณแทนที่ XXX.XXX.XXX.XXX ด้วยที่อยู่ IP ที่คุณต้องการอนุญาตพิเศษ คุณไม่จำเป็นต้องเพิ่มส่วนนี้หากคุณวางแผนที่จะส่งที่อยู่อีเมลจากโดเมนของคุณเท่านั้น อย่างไรก็ตาม คุณควรใส่ที่อยู่ IP ของเซิร์ฟเวอร์อีเมลของคุณที่นี่เพื่อป้องกันการปลอมแปลง

จดหมายระบุโดเมนคีย์

เฟรมเวิร์ก DKIM ยังอาศัยค่าที่จัดเก็บไว้ในระเบียน DNS เพื่อตรวจสอบความถูกต้องของผู้ส่งอีเมล

ข้อแตกต่างหลักๆ คือ แม้ว่า SPF จะอาศัยการตรวจสอบที่อยู่ IP ในระเบียน DNS เพื่อให้แน่ใจว่าอีเมลที่ได้รับอนุญาตบางส่วนได้ส่งอีเมลไปแล้ว แต่ DKIM อาศัยการใช้คีย์สาธารณะและคีย์ส่วนตัว

หากคุณใช้ Cloudflare เพื่อจัดการโดเมนของคุณ คุณสามารถเพิ่มระเบียน DNS ได้ เช่นเดียวกับที่เราทำในส่วนก่อนหน้า อย่างไรก็ตาม คุณสามารถอัปเดตระเบียน DNS จากแดชบอร์ดของผู้ให้บริการโฮสติ้งได้เช่นกัน

นี่คือภาพหน้าจอของบันทึก DKIM TXT ปัจจุบันใน cPanel ของบัญชีโฮสติ้ง คุณสามารถค้นหาตัวเลือกเหล่านี้ได้หลังจากลงชื่อเข้าใช้บัญชี cPanel จากนั้นตรวจสอบความสามารถในการส่งอีเมล

บันทึก cPanel DKIM

ชื่อของระเบียน DKIM ถูกตั้งค่าเป็น default._domainkey เพื่อให้แน่ใจว่าผู้ให้บริการอีเมลรายต่างๆ สามารถค้นหาชื่อนั้นได้ง่าย

เนื้อหาของบันทึก DKIM ประกอบด้วยหลายส่วน ดังที่อธิบายไว้ด้านล่าง:

  1. v=DKIM1 — ส่วนนี้ระบุเวอร์ชันของโปรโตคอล DKIM ที่ใช้งานอยู่
  2. k=rsa — ส่วนนี้ระบุว่ารหัสสาธารณะที่เราใช้อยู่คือรหัส RSA
  3. p=KEY_VALUE — ส่วนนี้เป็นรหัสสาธารณะที่เข้ารหัส Base64

การรับรองความถูกต้องของข้อความตามโดเมน การรายงาน และความสอดคล้อง

ตอนนี้เราจะเรียนรู้วิธีเพิ่มนโยบาย DMARC ในระเบียน DNS TXT ของเรา ขั้นตอนการเพิ่มระเบียน DNS จะยังคงเหมือนเดิมที่นี่ สิ่งเดียวที่เปลี่ยนแปลงคือชื่อของบันทึกและเนื้อหา

ชื่อระเบียน DNS TXT ของเราคือ _dmarc.yourwebsite.com โดยที่ yourwebsite.com เป็นเว็บไซต์จริงของคุณ ขอย้ำอีกครั้งว่านี่เป็นเพียงแบบแผนมาตรฐานเพื่อให้ระบุนโยบาย DMARC ได้ง่าย

คุณเพิ่มคู่ค่าแท็กได้ทั้งหมด 11 คู่เป็นเนื้อหาของระเบียน DNS TXT ของนโยบาย DMARC คุณสามารถอ่านเกี่ยวกับสิ่งเหล่านี้ได้ในหน้านี้ซึ่งอธิบายระเบียน DMARC DNS TXT อย่างละเอียด

มาใช้วิซาร์ดที่เพิ่งเปิดตัวใน Cloudflare เพื่อเพิ่มนโยบาย DMARC

การเพิ่มนโยบาย DMARC ใน Cloudflare

เมื่อคุณคลิกที่ลิงค์วิซาร์ด คุณจะเห็นหน้าจอต่อไปนี้ เพียงคลิกปุ่มเพิ่ม คุณก็พร้อมที่จะไป

หน้าจอการกำหนดค่าบันทึก DMARC

ตอนนี้เราจะเรียนรู้ว่าเนื้อหาในบันทึก DMARC หมายถึงอะไร:

  1. v=DMARC1 — ตามปกติ ค่านี้จะระบุเวอร์ชันของโปรโตคอล DMARC ที่ใช้งานอยู่
  2. p=none — ส่วนนี้ระบุว่าไม่มีการดำเนินการตามนโยบายสำหรับการตรวจสอบที่ล้มเหลว คุณยังสามารถตั้งค่านี้เป็นกักกันหรือปฏิเสธ การตั้งค่าเป็นกักกันจะทำเครื่องหมายอีเมลว่าน่าสงสัย แต่ยังคงส่งไปยังโฟลเดอร์สแปมของกล่องจดหมายของผู้รับ
  3. rua=mailto:[email protected] — ส่วนนี้ระบุที่อยู่อีเมลที่รับรายงาน รายงานจะมีข้อมูลเกี่ยวกับข้อความอีเมลที่ผ่านหรือไม่ผ่านการตรวจสอบ DMRC

การรักษาความปลอดภัยอีเมลเพื่อความปลอดภัยที่ดีขึ้น

ดังสุภาษิตโบราณที่ว่า ห่วงโซ่จะแข็งแรงพอๆ กับส่วนที่อ่อนแอที่สุดเท่านั้น นี่เป็นเรื่องจริงอย่างมากเมื่อพูดถึงเรื่องความปลอดภัย ซึ่งต้องการให้ผู้ดูแลระบบ WordPress และเจ้าของเว็บไซต์มองข้ามการรักษาความปลอดภัย WordPress และจัดการกับโครงสร้างพื้นฐานที่รองรับ/รอบข้าง

ความปลอดภัยของอีเมลมักจะถูกมองข้าม อย่างไรก็ตาม อย่างที่เราได้เห็นในบทความ การรักษาความปลอดภัยอีเมลนั้นค่อนข้างง่ายและเข้าถึงได้มาก ตั้งแต่การกำหนดค่าระเบียน DNS ไปจนถึงการเข้ารหัสอีเมล ไม่เพียงแต่จะช่วยให้เข้าถึงลูกค้าและผู้ใช้ได้ดีขึ้นเท่านั้น แต่ยังลดความเสี่ยงด้านความปลอดภัยให้เหลือน้อยที่สุดอีกด้วย

เคล็ดลับเพิ่มเติมในการปรับปรุงความปลอดภัยของ WordPress

การทำให้อีเมลของคุณปลอดภัยเป็นเพียงส่วนหนึ่งของการรักษาความปลอดภัยโดยรวมของเว็บไซต์ ต่อไปนี้เป็นเคล็ดลับทั่วไปบางประการในการปรับปรุงความปลอดภัยรอบด้านของเว็บไซต์ของคุณ

  • อัปเดตเป็นประจำ — การอัปเดตธีมหรือปลั๊กอิน WordPress ทั้งหมดของคุณเป็นสิ่งสำคัญ การอัปเดตมักจะเพิ่มคุณสมบัติใหม่รวมถึงแก้ไขช่องโหว่ที่ทราบ
  • ใช้รหัสผ่านที่รัดกุม — คุณควรใช้รหัสผ่านที่รัดกุมและไม่ซ้ำใครสำหรับบัญชีที่เกี่ยวข้องกับเว็บไซต์ทั้งหมดของคุณ ซึ่งรวมถึงเว็บโฮสต์ ฐานข้อมูล บัญชี FTP บัญชีผู้ดูแลระบบ WordPress เป็นต้น วิธีนี้จะช่วยป้องกันการโจมตีแบบดุร้ายจากการถอดรหัสรหัสผ่านของคุณ คุณสามารถใช้ปลั๊กอินความปลอดภัยการเข้าสู่ระบบ MelaPress เพื่อปฏิบัติตามหลักปฏิบัติด้านความปลอดภัยในการเข้าสู่ระบบที่ดีที่สุดทั้งหมด เช่น รหัสผ่านที่รัดกุม บล็อกการพยายามเข้าสู่ระบบที่ล้มเหลวมากเกินไป เป็นต้น
  • ติดตั้งปลั๊กอินความปลอดภัย — คุณควรพิจารณาติดตั้งปลั๊กอินความปลอดภัยด้วย ตัวเลือกยอดนิยมบางตัว ได้แก่ Wordfence, iThemes Security, All-In-One security เป็นต้น คุณยังสามารถติดตั้งปลั๊กอิน เช่น บันทึกกิจกรรม WP เพื่อบันทึกการเปลี่ยนแปลงทั้งหมดที่เกิดขึ้นบนเว็บไซต์ WordPress ของคุณ
  • ใช้การยืนยันตัวตนแบบสองปัจจัย — คุณสามารถใช้การยืนยันตัวตนแบบสองปัจจัยเพื่อเพิ่มความปลอดภัยอีกชั้น ปลั๊กอินฟรี เช่น WP 2FA สามารถช่วยให้คุณทำได้อย่างง่ายดาย
  • ทำการสำรองข้อมูลเป็นประจำ — คุณควรสำรองข้อมูลเว็บไซต์ของคุณเป็นประจำ วิธีนี้จะช่วยให้เว็บไซต์ของคุณออนไลน์ได้อย่างรวดเร็วในกรณีที่เกิดการละเมิดความปลอดภัยหรือปัญหาอื่นๆ
  • ใช้โฮสต์เว็บที่เชื่อถือได้ — ตรวจสอบให้แน่ใจว่าคุณใช้โฮสต์เว็บที่มีชื่อเสียงและเชื่อถือได้ในการโฮสต์เว็บไซต์ของคุณ โฮสต์เว็บจะรับผิดชอบหลายสิ่งหลายอย่าง เช่น การรักษาความปลอดภัยของเว็บเซิร์ฟเวอร์ การอัปเดต การสำรองข้อมูลในแบ็กเอนด์ เป็นต้น
  • ใช้ไฟร์วอลล์ — การติดตั้งไฟร์วอลล์จะป้องกันการเข้าถึงโดยไม่ได้รับอนุญาต ในขณะเดียวกันก็ป้องกันภัยคุกคามความปลอดภัยทั่วไปและการโจมตี DDOS เป็นไปได้ที่จะติดตั้งไฟร์วอลล์ในระดับเซิร์ฟเวอร์โดยโฮสต์เว็บของคุณหรือในระดับเว็บไซต์โดยคุณเป็นปลั๊กอิน WordPress ข่าวดีก็คือปลั๊กอินเช่น Wordfence เป็นต้น มีไฟร์วอลล์อยู่แล้ว และจะปกป้องคุณจากมัลแวร์
  • จำกัดความพยายามในการเข้าสู่ระบบ — มาตรการรักษาความปลอดภัยอีกอย่างหนึ่งที่คุณสามารถทำได้คือการจำกัดจำนวนครั้งของการพยายามเข้าสู่ระบบที่ล้มเหลว เพื่อป้องกันการโจมตีแบบเดรัจฉานโดยบอท