by A.Pinya Hom-anek, CISSP

ระบบอีเมล์ (e-mail), Messaging หรือ Collaborative Computing นั้น กลายเป็นสิ่งสำคัญในชีวิตประจำวันของคนไอที ที่ต้องใช้อีเมล์ในการติดต่อประสานงานกับผู้ใช้คอมพิวเตอร์ด้วยกัน ระบบอีเมล์ ที่ใช้ในอินเทอร์เน็ตนั้น มีการใช้งานผ่านทาง SMTP Services (TCP Port 25) เป็นกลไกหลักที่เราเรียกว่า “Mail Relay” ทำให้ Mail Server ทั่วโลกสามารถติดต่อแลกเปลี่ยนข้อมูลกันได้ สมัยก่อนที่ยังไม่มีระบบ “Collaborative Computing” นั้น โปรแกรมยอดนิยมที่นำมาใช้เป็น Mail Server ได้แก่โปรแกรม “Sendmail” (http://www.sendmail.org) ซึ่งถูกติดตั้งเป็น Default Program อยู่บนระบบ UNIX แทบทุก Platform ไม่ว่าจะเป็น Solaris หรือ Linux มักจะนิยมใช้ Sendmail เป็นหลักในระบบ Messaging ขององค์กร เช่นในมหาวิทยาลัยมักจะใช้โปรแกรม PINE จาก Washington University เป็นโปรแกรม Text-based Mail client เป็นต้น

จากวันนั้นถึงวันนี้ ระบบ Messaging ธรรมดาที่ใช้ Sendmail เป็นหลัก ก็มีการพัฒนาเป็นระบบที่เราเรียกว่า “Collaborative Computing” หรือ “GroupWare” มีความสามารถต่างๆ เพิ่มขึ้นเช่น มีระบบปฏิทิน (Calendar) , ระบบนัดหมายการประชุม (Meeting/Conference) , ระบบ Workflow และอื่นๆ อีกมากมายที่สามารถทำให้ทุกคนในองค์กรทำงานโดยใช้อีเมล์ได้อย่างมีประสิทธิภาพมากขึ้น ตัวอย่างโปรแกรมประเภทนี้ได้แก่ Microsoft Exchange, IBM Lotus Notes และ Novell GroupWise เป็นต้น
โปรแกรม Lotus Notes และ Microsoft Exchange เป็น GroupWare ที่นิยมใช้ในองค์กรและมักจะมีบริการ (services) การติดตั้งต่อเชื่อมกับระบบอินเทอร์เน็ต โดยเปิด SMTP Services เพื่อให้สามารถติดต่อกับระบบ Messaging อื่นๆที่ใช้ SMTP Services ในการทำงานเช่น Sendmail, qmail (www.qmail.org) หรือ IMail (www.ipswitch.com)

จะเห็นได้ว่า SMTP Services นั้น เป็นหัวใจหลักในการทำงานของระบบ Messaging หรือ GroupWare ทุกโปรแกรมที่มีการต่อเชื่อมรับส่งอีเมล์กับอินเทอร์เน็ต ดังนั้นแฮกเกอร์ (Hacker) หรือสแปมเมอร์ (Spammer) ทั้งหลาย จึงพยายามหาทางเจาะช่องโหว่ใน Mail Server ของเรา เพื่อที่จะเข้ามาใช้ Mail Server ของเราในการส่งอีเมล์ไปยังเป้าหมาย เรียกได้ว่าแอบมาขโมยใช้งาน Mail Server ของเราก็คงไม่ผิดนัก ทำให้ Mail Server ของเราทำงานช้าลงและกิน Bandwidth ในวงจรเช่าของเรา เช่น เราเช่าวงจร 256 Kbps อยู่ อาจจะเหลืออยู่เพียง 8 Kbps ในช่วงที่มีการ Spam mail เกิดขึ้น และที่ร้ายที่สุดก็คือคนอื่นอาจจะไม่อยากคุยกับ Mail Server ของเรา เพราะคิดว่าเราเป็นสแปมเมอร์

โดยชื่อ Mail Server ของเราอาจจะเข้าไปอยู่ใน RBL (Realtime Blackhole Lists) ของ MAPS (Mail Abuse Prevention Systems) ดูที่ www.mail-abuse.org/rbl ซึ่งถ้า IP Address ของ Mail Server เราไปอยู่ใน RBL แล้วละก็ Mail Server ทั่วโลกที่มีการ Update ข้อมูลกับ MAPS ก็จะไม่คุยกับ Mail Server ของเรา ทำให้เราติดต่อกับชาวบ้านไม่ได้ เราต้องทำการแก้ปัญหาการสแปมบน Mail Server ของเราก่อน แล้วทาง MAPS ก็จะถอดถอนรายชื่อเราออกการ RBL ซึ่งเราไม่ควรให้สแปมเมอร์เข้ามาเจอช่องโหว่ของ SMTP Services บน Mail Server เราตั้งแต่ต้นน่าจะดีกว่านะครับ

โปรแกรม Lotus Notes นั้นจะมี SMTP Services เป็นของตัวเองขณะที่ Microsoft Exchange Server 2000 จะใช้ SMTP Services ที่เป็น native ติดมากับ Windows 2000 Server ซึ่ง Windows 2000 Server จะมีการติดตั้ง SMTP Services โดยอัตโนมัติไม่ว่าเราจะลง Microsoft Exchange Server หรือไม่ก็ตามเราสามารถตรวจสอบได้จากการลอง “Telnet” ไปยัง IP Address ของ Server เรา ตามด้วยเบอร์พอร์ต 25 เช่น telnet 127.0.0.1 25 จะขึ้น Microsoft ESMTP Services

แต่ SMTP Services นั้นโดยปกติจะปิดความสามารถในการส่งอีเมล์ ( Mail Relay Feature ) ไว้ป้องกันพวกสแปมเมอร์ ศัพท์เทคนิคเรามักจะเรียกว่าเป็น “Close Relays” ดูรูปที่ 1

เราสามารถเซ็ทค่า IP Address Range ของเครื่อง Mail Client เพื่อที่จะอนุญาตให้ส่งเมล์ได้จากหน้าจอในรูปที่ 1 ซึ่ง Microsoft Exchange Server ก็ใช้ SMTP Services ตัวนี้เช่นเดียวกัน ปัญหาของเราก็คือ ถึงแม้ว่า SMTP Services ของเราจะเป็น “Close Relays” หรือเราได้ตั้งค่า IP Address Range อนุญาตเฉพาะ IP Address Range ในองค์กรของเราแล้วก็ตามแต่แฮกเกอร์หรือสแปมเมอร์ ก็ยังสามารถใช้ Mail Server ของเราส่ง Spam mail ได้อยู่ดี

ปัญหาใหญ่ขณะนี้ของ Mail Server ก็คือสแปมเมอร์สามารถจะตั้งค่าในโปรแกรม Outlook Express ดังรูปที่ 2 และ 3 ก็จะสามารถส่งเมล์ออกจาก SMTP Services ของเราได้เลยไม่ว่าเราจะบล็อกไว้อย่างไรก็ตามทำให้Mail Server เรากลายเป็นสแปมเมอร์ไปโดยปริยาย

ปัญหานี้คือปัญหาใน Microsoft Bulletin ที่มีชื่อว่า Authentication Flaw Could Allow Unauthorized Users To Authenticate To SMTP Service เกิดขึ้นเมื่อวันที่ 27 กุมภาพันธ์ 2545 ดูข้อมูลได้ที่ http://www.microsoft.com/technet/
security/bulletin/MS02-011.asp

ปัญหานี้กระทบถึง IMC ที่ใช้ใน Microsoft Exchange 5.5 ด้วย เราควรที่จะรีบลง patch แก้ปัญหานี้โดยเข้าไปที่ http://www.microsoft.com/Downloads/
Release.asp?ReleaseID=36556 สำหรับ Windows 2000 Server , Professional and Advanced Server และhttp://www.microsoft.com/Downloads/
Release.asp?ReleaseID=33423 

สำหรับ Microsoft Exchange Server 5.5
ช่องโหว่ของ SMPT Services นี้ถูกขึ้นบัญชีอย่างเป็นทางการที่http://cve.mitre.org ชื่อ CAN-2002-0054 เข้าไปดูได้ที่http://cve.mitre.org/cgi-bin/
cvename.cgi?name=CAN-2002-0054

ปัญหาอยู่ที่ Mail Server ขององค์กรเรากลายเป็น Mail Server สาธารณะที่ใครจะมาใช้ก็ได้แถมยังกลายเป็นสแปมเมอร์คอยก่อกวนชาวบ้านในอินเทอร์เน็ตนั้นคงไม่ใช่ปัญหาเล็กๆที่เรามองข้ามแต่เป็นปัญหาใหญ่ที่มีผลกระทบกับการใช้งานอีเมล์ในการทำธุรกิจขององค์กรเป็นอย่างมาก เพราะฉะนั้นเราควรหมั่นตรวจตรา Mail Server ของเราอยู่เสมอว่าเรามีช่องโหว่ (Vulnerability) อะไรใหม่ๆหรือไม่ โดยเข้าไปดูที่http://www.microsoft.com/technet/
security/current.asp ได้ทุกวันแล้ว

เราจะพบว่ามีช่องโหว่ใหม่ๆเกิดขึ้นให้เราตาม Patch อยู่แทบทุกเดือนเลยล่ะครับ รายละเอียดเพิ่มเติมดูได้ที่ www.acisonline.netหรือ มีคำถามอีเมล์มาคุยกับผมได้ที่  ขอบคุณครับ

จาก : หนังสือ eLeader Thailand
ปีที่14 ฉบับที่162 ประจำเดือน สิงหาคม 2545
Update Information : 18 กรกฎาคม 2545