วันอาทิตย์ที่ 20 กุมภาพันธ์ พ.ศ. 2565

เทคนิคการส่ง spam/phishing โดยปลอม display name ของ Email

     ตั้งแต่ช่วง COVID-19 ระบาดมานี เหล่า hacker/spammer ขยันกันทำงาน และหาเทคนิคใหม่ ในการส่ง  Email มาหลอกพวกเรากันหนักเลยนะครับ เทคนิคนึงที่ผมเจอและอยากจะเตือนไว้ก็คือ การปลอม Display Name ครับ 


Display Name คืออะไร

    Display Name หรือบางคนก็เรียกว่า Sender Info จะเป็นข้อความที่ แสดงคู่กับ Email Address ซึ่งกำหนดให้เป็นอะไรก็ได้ โดยปกติ เราก็จะกำหนดเป็นชื่อ นามสกุล หรือ อาจจะมีตำแหน่ง หรือแผนกที่เราทำงานอยู่ไปได้วย ตัวอย่างเช่น  ถ้าดูใน Email ที่ได้รับมา  

       From:  Siwat Siwarborvorn IT Support <support@sampledomain.com>

ถ้าดูที่บรรทัด  From: ที่แสดงข้อมูลว่า Email ส่งมาจากใคร ปกติจะเห็นข้อมูลสองส่วน จะเห็นว่า Email นี้ถูกส่งมานี้จาก email address ชื่อ support@sampledomain.com โดยมี Display Name คือ Siwat Siwarborvorn IT Support 

Display Name นี้สามารถกำหนดเป็นอะไรก็ได้ โดยปกติกำหนดได้ที่โปรแกรม Email Client ของแต่ละคนซึ่งปกติรูปแบบของ display name ไม่มีข้อจำกัด จะเป็นภาษาไทยก็ได้  แต่อย่างไรก็ตาม แต่ละองค์กรอาจจะมีการกำหนดรูปแบบเป็นของตัวเองครับ  เช่น เป็น ชื่อ นามสกุล ตำแหน่ง แผนก เป็นต้น 

เพราะความที่ไม่มีข้อจำกัดนี่แหละครับ ทำให้เหล่าผู้ไม่ประสงค์ดี ใช้จุดนี้ในการส่ง Email หลอกลวงมาหาเรา 

แล้วพวกเราโดนหลอกได้อย่างไร 

จุดหลักที่พวกเราโดนหลอกก็คือ ในหน้าแสดงรายการของ Email ใน Zimbra Web Client และ Email Client อื่นๆ ส่วนใหญ่จะแสดง Display Name เพียงอย่างเดียว ไม่แสดง Email Address ครับ 

ตัวอย่างตามรุปนี้ 


จากรูปนี้เป็นหน้าจอ Web Client ปกติของ Zimbra ในคอลัมน์ From ที่เห็น จะแสดง Display Name ครับ 
จากรุปนี้ Email แรกที่เห็นเป็น  Email Address นั้นของปลอมครับที่จริงเป็น display name เดียวมาดูกันต่อ ผมจะเฉลยว่า hacker ทั้งหลาย หลอกเราได้อย่างไร 

รูปแบบของ Email ที่ส่งมาหลอกเรา โดยใช้ประโยชน์จาก Display Name ที่เจอกันบ่อยๆ มีัดังนี้ครับ 

รูปแบบที่  1: ปลอม Display Name เป็น Email Address  

        วิิธีการนี้ Email ที่ถูกส่งมา จะใส่ข้อความในส่วนของ Display Name เป็น  Email  Address ของคนในองค์กรเรา หรือคนที่เรารู้จักที่เคยติดต่อผ่านทาง Email ด้วย เช่น 

       From :  siwat@mydomain.com <hacker@truedomain.com>

    จากตัวอย่างนี้ ผู้ไม่ประสงค์ดี ส่ง Email มาจาก email address ที่ชื่อ hacker@truedomain.com โดยมีการปลอม display name  เป็น siwat@mydomain.com  ซึ่งถ้าคนที่ไม่สังเกตุดีๆ จะนึกว่า Email ่นี้ถูกส่งมาจาก siwat@mydomain.com 

ตัวอย่างต่อไปนี้ ผมจะใช้ Email address ของผม siwat@xsidekick.com  ส่ง  Email เข้าไปยังเครื่อง Zimbra โดยปลอม Display Name โดยใส่ somchai@abc.com เข้าไปในส่วนของ display name  มาดูผลลัพท์ในหน้าจอ Zimbra Web Client กัน 




ถ้า ผมส่ง Email ฉบับนี้ ไปที่บริษัท abc.com คนที่บริษัทนี้หลายคน อาจจะคิดว่าส่งมาจากเจ้าของ email address  somchai@abc.com จริงๆ 


รูปแบบที่ 2 : ปลอม Display Name เป็นชื่อคนอื่นและหรือตำแหน่ง 

ตัวอย่างเช่น 
    From :  ABC Co.,Ltd. IT Support <hacker@truedomain.com

ตัวอย่างนี้ จะคล้ายกับตัวอย่างแรก คือ Email ที่ใช้ส่ง เป็น Email ใครก็ไม่รู้ ที่เราไม่เคยติดต่อด้วย ( แต่ในส่วนของ Display Name  (ABC Co.,Ltd. IT Support) จะเป็นคนที่เรารู้จัก บางที่ใช้ชื่อ ตำแหน่ง และรูปแบบของคนในองค์กรเดียวกันกับเรา หรือของคนในองค์กรอื่นที่เราเคยติดต่อด้วย 

เรามาดูรูปตัวอย่างกันดีกว่า 




จากรูปผมทดลองส่ง Email โดยใส่ Display Name เป็น ABC Co., IT Support ถ้าสมมติว่าผมส่งไปยังบริษัท abc.com จริงๆ คนในบริษัทหลายๆคน อาจจะเชื่อว่าเป็น Email ที่ส่งมาจาก IT Support ของ  บริษัท abc.com จริงๆ ก็ได้ ถ้าไม่ได้สังเกตุ Email Address ในเนื้อ Email จริงๆ   


ทำไม่ต้องปลอม Display Name 

เท่าที่ผมวิเคราห์ได้ คงเป็นเพราะระบบป้องกัน Spam Email ปัจจุบัน ส่วนใหญ่ยังไม่มีการวิเคราะห์ส่วนของ Display Name ของ Email ครับ  ส่วนใหญ่ก็สนใจแต่ Email address , subject และ เนื้อหา และถึงแม้จะทำได้  ก็ท่าทางจะวิเคราห์หรือตรวจสอบจาก Display Name ได้ยาก ว่าเป็น spam หรือเปล่า 

Hacker เลยใช้ช่องโหว่นี้ ในการส่ง Email หลอกเรา โดยเบื้องต้น hacker จะพยายามเจาะ Email account ที่มีอยู่จริงๆ ( ที่ต้องทำเช่นนี้ เพราะระบบตรวจสอบ Email ส่วนใหญ่จะตรวจสอบว่า Email ที่ได้รับถูกส่งมาจาก Email ที่มีอยุ่จริงและถูกส่งออกมาจาก Email server ขององค์กรที่เป็นเจ้าของ domain จริงไหม ) เมื่อเจาะได้ ก็จะใช้ Email  Account นี้ทำการส่ง Spam หรือ Phishing Email  ออกไป ยัง Email เป้าหมาย โดย Email ที่ถุกส่งออกจะปลอม Display Name เพื่อให้เป้าหมายคิดว่าเป็น Email ของคนรุ้จักซีงเราเคยติดต่อด้วย หรือเป็นคนในองค์กรเดียวกัน  แต่ที่จริง มาจากคนอื่นที่อื่น 


ไม่ใช่แค่ปลอม Display Name 

 นอกจากนี้ Hacker ในยุคหลังๆมีความพยายามและใส่ใจในรายละเอียดของ Email ปลอมที่ส่งออกไปเพิ่มขึ้นครับ ที่ผมเจอมา Hacker รู้รูปแบบของ Display Name ขององค์กรที่เค้าต้องการปลอมตัว รวมไปถึงรูปแบบ Signature ใน Email ขององค์กรนั้นๆด้วย  ทำให้ทำ Email ปลอมที่ส่งออกมาเนียนมาก หลอกคนรับที่เป้าหมายได้เป็นผลสำเร็จ 


จะป้องกันได้อย่างไร 

คำถามนี้ผมตอบเลยว่า ณ. วันนี้คงยากครับ เพราะ ระบบ mail server หรืออุปกรณ์จำพวก Mail Gateway ที่ใช้กรอง Spam  mail  ในปัจจุบันจะกรอง Email โดยดูที่ Email Address เป็น และองค์ประกอบอื่นๆ ขอ Email แต่ไม่ได้สนใจ Display Name เป็นหลัก (ใครรู้ว่ามีระบบ  Email หรือ Mail Gateway ยี่ห้อไหนสามารถกรอง spam โดยดูจาก Display Name ได้ ช่วยบอกผมด้วยครับ) 

ดังนั้น ทุกวันนี้ ก็คงต้องพึี่งความรอบคอบและช่างสังเกตุของผู้ใช้งานระบบ  Email เอาเอง ว่า Email Address ใน Email ที่ได้รับจริงๆ คืออะไร มาจากคนหรือองค์กรที่เค้าอ้างถึงจริงๆ หรือเปล่า อย่าดูแต่ Display Name อย่างเดียวครับ

เทคนิคหนึ่ง ของ Zimbra Web Client ที่ช่วยได้ นอกจากจะเปิด Email ขึ้นมาดู Email Address คนส่งจริงๆแล้ว ยังมีอีกวิธีที่ใช้ดู Email Address คนส่งจากหน้า List Email   ได้ โดยการวาง เมาส์ไปที่ ชีือ Display Name (ไม่ต้องคลิ๊ก) รอสักครุ่ จะมี Pop up แสดง Display Name และ Email Address ที่ใช้ส่ง Email ฉบับนั้นๆ แสดงขึ้นมาครับ 



หวังว่าบทความนี้ คงช่วยให้หลายๆท่านสังเกตุ Email ที่ได้รับว่าเป็น Spam หรือไม่ ได้ดียิ่งขึ้นนะครับ 



วันอังคารที่ 4 มกราคม พ.ศ. 2565

จะทำอย่างไร เมื่อหา Email ที่ถุกส่งเข้ามาใน Zimbra ไม่เจอ

    ปัญหาหนึ่งทีี่ผู้ดูแลระบบ Zimbra มักจะถูกสอบถามหรือขอให้ตรวจสอบ จากผุ้ใช้ Zimbra อยู่บ่อยๆ อย่างหนึ่งก็คือ มีคนส่ง Email มายัง Email Address ของผู้ใช้ที่อยู่บน Zimbra แต่ผู้ใช้กลับหา Email ฉบับนั้นๆ ไม่เจอ  โดยที่ระบบ Zimbra เองก็ทำงานและรับ Email จากที่อื่นๆได้อยู่ตามปกติ  

    โดยในบทความนี้ ผมจะสรุปปัญหาที่เกิด และวิธีการแก้ไข ซึ่งขั้นตอนต่างๆ เหล่านี้ ผู้ใช้ หรือ User สามารถทำการตรวจสอบได้เองเบื้องต้นก่อนที่จะขอความช่วยเหลือจากผู้ดูและระบบ  

ในบทความนี้ผมจะพูดถึงเฉพาะในกรณีที่

  • ผู้ใช้ ใช้งาน Web Client ของ Zimbra 
  • คนที่ส่ง Email จากภายนอกระบุ Email Address คนรับถูกต้อง
  • เครื่อง Zimbra ทำงานปกติ 
  • Email ที่ได้รับ ไม่ถูกกัก (Quarantine) ไว้ใน Quarantine Account ของ Zimbra 

โดยสรุปคือเฉพาะกรณีที่ Email ส่งมาเข้า Mailbox หรือ Account ปลายทางที่อยู่บน Zimbra แต่ผู้ใช้หา Email ฉบับนั้นไม่เจอ 


สาเหตุเท่าที่เคยพบ

จากประสบการณ์ สาเหตุที่ผมเจอส่วนใหญ่เกิดจาก 

1) ผู้ใช้ปรับมุมมอง Email เป็นแบบ By Conversation
2) ผู้ใช้ปรับการเรียงลำดับ Email (โดยไม่ตั้งใจ) แทนที่จะเรียง Email ใหม่ ไว้บนสุด
3) Email ที่ได้รับ ถูกโยนไปเก็บไว้ที่ Folder อื่นจากการสร้าง Filter ที่ผู้ใช้แต่ละท่านได้เคยกำหนดไว้ ใน Account บน Zimbra ของตัวเอง 

ขั้นตอนแรก : ตรวจสอบ Email เข้ามาที่ Mailbox ของผู้ใช้แล้วหรือยัง 

เบื้องต้น ผมอยากให้ผู้ใช้ลองตรวจสอบว่า Email ฉบับที่เราหา อยู่ใน Mailbox ของเราแล้วจริงๆ หรือเปล่า โดยใช้ Search bar ที่มีอยู่ในหน้า Web Client ทำการค้นหา Email โดยระบุชื่อ Email Address ของผู้ส่ง โดยวิธีการ สามารถดูได้จากบทความ วิธีการค้นหา Email ใน Zimbra Web Client

ถ้าผู้ใช้หาเจอแสดงว่า Email อยู่ใน Mailbox ของเราเรียบร้อยแล้ว ค่อยทำตามขั้นตอนถัดไป แต่ถ้าไม่เจอ ค่อยขอความช่วยเหลือจากผู้ดูแลระบบละกัน 

ขั้นตอนที่สอง : ปรับรูปแบบการแสดงรายการ Email เป็นแบบ By Message

Zimbra สามารถแสดงรายชื่อ Email ได้สองแบบ คือแบบ By Conversation และ By Message โดย Default จะเป็นแบบ By Conversation คือจะจัดกลุ่ม Email ที่มีความเกี่ยวข้องกัน เช่นเป็น Email ที่มีการ Reply ตอบกลับกันไปมา อยู่ในกลุ่มเดียวกัน ซึ่งสามารถ กาง และหุบแสดง Email ในแต่ละกลุ่มได้ ซึ่งการแสดงผลแบบนี้ถ้าผู้ใช้งานไม่เข้าใจ อาจจะมองไม่เห้น Email ใหม่ ที่เข้ามาในระบบ (ส่วนตัวผมเอง ไม่ชอบการแสดงผลแบบนี้เลย)

รายละเอียดวิธีการปรับ สามารถอ่านได้จากบทความเรื่อง การแสดงผล Email แบบ By Message และ By Conversion บน Zimbra

หรือถ้าการแสดงผล เป็นแบบ By Message อยู่แล้ว ก็ข้ามไปขั้นตอนถัดไปได้เลย 

ขั้นตอนที่สาม : ตรวจสอบและปรับวิธีการเรียงลำดับ Email 

โดยปกติ Email จะถูกเรียงลำดับโดยดูจากวันที่ที่ได้รับ Email ที่ได้รับล่าสุดจะถูกแสดงผลอยู่แถวบนสุด แต่ในบางครั้ง ผู้ใช้อาจจะเผลอไปเปลี่ยนการเรียงลำดับของ Email โดยไม่ตั้งใจ ทำให้หา Email ที่อยู่ใน Account ของเราไม่เจอ 
สำหรับวิธีการ สามารถอ่านได้จากบทความ การปรับวิธีการจัดเรียง Email (sort) ในหน้าจอ Web Client ของ Zimbra


ถ้าเจอปัญหาหา Email ที่ได้รับไม่เจอ ลองทำตามขั้นตอนที่ผมเขียนในบทความนี้ (และบทความที่เกี่ยวข้อง) ดูนะครับ  

วันพุธที่ 22 ธันวาคม พ.ศ. 2564

การแสดงผล Email แบบ By Message และ By Conversion บน Zimbra

ใน Zimbra Web Client เราสามารถปรับรูปแบบการแสดงผลได้หลากหลาย การแสดงผลแบบหนึ่งที่น่าสนใจคือ การปรับการแสดงผล แบบ By Message และ By Conversation 

  • By Message เป็นการแสดงผลแบบปกติทั่วไป คือแสดงผลแยกแต่ละ Email ออกจากกัน
  • By Conversation เป็นการแสดงผลแบบพิเศษ คือ จัดกลุ่มของ Email ที่เกี่ยวข้องกันเป็นกลุ่มๆ โดยปกติ Email ที่อยู่ในกลุ่มเดียวกัน อาจจะเกิดจากการ Reply , Forward หรือมีการอ้างอิงเนื้อหาใน Email ฉบับหลัก 


การปรับแต่งให้แสดงผลแบบ By Conversation และ By Message 
    เจ้าของ Account บน Zimbra สามารถสลับการแสดงผล ระหว่าง  By Conversation และ By Message เองได้ โดย
  • ที่บริเวณมุมบนขวาของจอ กดที่ผุ่ม View 
  • เมนูจะแสดงขึ้นมา จะเห็นสองตัวเลือกในเมนูที่แสดงผลขึ้นมาเป็น By Message และ By Conversation  เลือกการแสดงผลที่ต้องการ 

และเมื่อปรับไปแล้ว การแสดงผลนี้จะเป็นแบบนี้ไปตลอดครับ ถึงแม้จะ logout และ login ใหม่ การแสดงผล  By Conversation และ By Message ก็จะเหมือนกับที่ปรับไว้ครั้งล่าสุด 

การแสดงผลแบบ By Conversation 
    ที่น่าสนใจก็คือ การจัดเรียง Emai แบบ By Conversation นี่หละครับ สำหรับ Account ที่กำหนดการแสดงผลเป็นแบบ By Conversation หน้าจอที่แสดงรายการ Email จะมีรูปแบบพิเศษเพิ่มขึ้นมาดังนี้ 
  1. Email จะถูกจัดเป็นกลุ่มๆ โดย Zimbra ในกรณีที่ Email ถูกจัดเป็นกลุ่มได้ ข้อความที่แสดงในบรรทัดแรก จะเป็นรายละเอียดทั่วไปของ Email ในกลุ่มนั้นๆ และท้ายข้อความที่อยู่ใน column subject จะแสดงจำนวน Email ทั้งหมดที่อยู่ในกลุ่มนี้
  2. จะมีเครื่องหมาย สามเหลี่ยม แสดงผลอยู่หน้า บรรทัดแสดงข้อความในกลุ่ม ซี่งสามารถกดเพื่อสลับการซ่อนหรือแสดง Email ที่อยู่ในกลุ่มได้ 
  3. Email ที่แสดงในกลุ่ม จะรวมไปถึง Email ที่ถูกส่งออกที่เกี่ยวข้อง ซึ่งปกติจะเห็นอยู่ใน Sent folder ด้วย 
  4. กรณีที่ Email ที่อยุ่จัดอยุ่ในกลุ่ม การแสดงผลในช่อง Subject จะไม่แสดง Subject ของ Email แต่จะแสดงเนื้อหาบางส่วนใน Email แทน

ปัญหาของการจัดเรียงแบบ By Conversation 
    จากประสบการณ์ของผม การจัดเรียง แบบ By Conversation หลายๆครั้งทำให้เกิดปัญหากับผู้ใช้งาน คือ เมื่อมี Email ฉบับใหม่ถูกส่งเข้ามา Email มาถึง Account ปลายทางเรียบร้อย แต่เจ้าของ Account หา Email ไม่เจอ เพราะ Zimbra Web Client  แสดงผล Email ใหม่นี้ ไปอยู่ในกลุ่ม ซึ่งถ้าเราซ่อนการแสดง Email ที่อยู่ในกลุ่มไว้ เราจะมองไม่เห็น Email นั้น ซึ่ง ไม่เหมือนกับการแสดงผลแบบ by message 


ทดลองปรับใช้งานตามความชอบดูได้นะครับ 


วันพุธที่ 3 พฤศจิกายน พ.ศ. 2564

เทคนิคการ Hack Email Account แบบ Social Engineering และการป้องกัน

 จากที่ผมเองมีประสบการณ์ดูและระบบ Zimbra Server ให้กับองค์กรหลายๆที่ มาเป็นเวลาหลายปี ปัญหาหลักหนึ่งที่เจอ ก็คือ Account บน Zimbra  ถูก Hack โดยผู้ไม่หวังดี  โดยในช่วงแรกจะใช้วิธี Brute force โดยเหล่า hacker จะใช้โปรแกรมพยายามเดา Password ของ Account บน Zimbra ที่ Password ถูกตั้งไว้ไม่ซับซ้อน ซึ่งผมได้เคยเขียนบทความที่เกี่ยวกับเรื่องนี้ไปแล้วหลายบทความ ลองหาอ่านดูย้อนหลังได้ครับ 

    หลังจากที่ได้ทำการให้ความรู้กับลูกค้าและแก้ปัญหาไปแล้ว ปัญหา Account ถูก Hack ของลูกค้าผมได้ลดน้อยลงและหายไปอยู่หลายปีครับ แต่ในช่วงหลังๆ ตั้งแต่ปี 2019 เป็นต้นมา ผมเจอว่า ลูกค้าของผมหลายๆที่ ที่ได้มีการตั้ง Password  ที่ซับซ้อนก็ยังโดน Hack ได้ ซึ่งหลังๆ เจอได้บ่อยขึ้นเรื่อยๆ จากการตรวจสอบและวิเคราะห์ พบว่า Hacker ใช้วิธีการ Email Social Engineering คือ ส่ง Email เข้ามาหลอกถาม Password  และก็มีคนหลงเชื่อและป้อน Password ให้เค้าไปเยอะเสียด้วย 


 Social Engineering คืออะไร 

    สรุปแบบง่ายๆ เป็น Email หลอกลวง หรือ Phishing Email รูปแบบหนึ่ง โดยจุดประสงค์หลัก คือการหลอกถาม Password นั่นเองครับ วิธีนี้ไม่ได้เป็นเรื่องใหม่ แต่เป็นเทคนิคดั้งเดิมของ Hacker ที่เอาประยุกต์เอามาใช้กับการ Hack Email Account ครับ โดยผู้ไม่หวังดี จะส่ง Email ไปยัง Email Address เป้าหมาย เพื่อ หลอกถาม Password 

 โดยวิธีการที่หลอกให้เราบอก Password มีหลายหลายรูปแบบครับ เช่น 

  • เป็น Link ฝังมากับ Email 
  • เป็น ไฟล์แนบ ที่แนบมากับ Email 
  • หรืออาจจะเป็นหน้าจอ ฝังมาในเนื้อ Email เลย 
ส่วนข้อความ ส่วนใหญ่เป็นภาษาอังกฤษ แต่เคยเจอเป็นภาษาไทยก็มี โดยข้อความหลอกจะมีหลายรุปแบบ ตัวอย่างเช่น
  • ระบบคุณไม่ได้ใช้งานนาน ให้ป้อน password เพื่อยืนยันตัวตน ไม่งั้น email account จะถูกลบทิ้งภายใน xxx วัน 
  • email account คุณ เนื้อที่ใช้งานใกล้เต็ม ของป้อน password เพื่อยืนยันการเพิ่มเนื้อที่ใช้งานให้ 
  • กรณีที่เป็นไฟล์แนบ ก็จะหลอกประมาณว่า เป็นไฟล์สำคัญ เช่น invoice จากคู่ค้า อะไรทำนองนี้เมื่อเราเปิดไฟล์ จะมีการถาม Password ของ Email Account เพื่อปลดล็อกการเข้ารหัส



ตัวอย่างหน้าจอหลอกถาม Password 

ตัวอย่างนี้ email จะถูกส่งมาโดยมีไฟล์แนบ ชื่อ Copy Payment slip xls.html และหลอกให้เราเปิดไฟล์แนบนี้  


ถ้าเปิดไฟล์แนบ จะมีหน้าจอหลอกถาม password ตามนี้ 



นอกจากนี้ ยังมี Email หลอกถาม password อีกหลายรูปแบบ ซึ่งผมเคยได้เขียนบทความไว้แล้ว ตามนี้ 

เมื่อเจอ Email หลอกถาม password ต้องทำอย่างไร 
  • ระดับผู้ใช้งานทั่วไป  ก็อย่าป้อน password ที่หน้าจอที่หลอกถามเรานะครับ
    •  ถ้า Email เหมือนจะส่งจากผู้ดุและระบบ ให้ถามผู้ดูแลระบบก่อนว่า เป็น Email ที่ระบบหรือผู้ดูและระบบหรือต้นทางตั้งใจส่งจริงๆ หรือไม่ (ซึ่งส่วนใหญ่เกือบ 100% ไม่ใช่ เพราะผู้ดูแลระบบของ Zimbra สามารถจัดการ account ใน Zimbra ได้โดยที่ไม่ต้องรู้ Password ของ User) 
    • ถ้า Email ถูกส่งจากคนที่เรารู้จัก ให้สอบถามก่อนว่าเค้าตั้งใจส่งมาจริงๆหรือเปล่า เพราะเป็นไปไปได้ว่า Account ของคนส่งถูก Hack และกลายเป็นที่กระจาย Email ทำนองนี้ออกไปแล้ว 
    • แต่ถ้าเป็น Email ที่ส่งมาจาก Email Address ที่เราไม่รู้จัก แนวโน้มว่าจะเป็น email หลอก ให้ลบทิ้งไปเลย 

สุดท้าย อย่าเผลอให้ Password ของ Email Account ไป  Account ของคุณจะกลายเป็น Account ที่ใช้ส่ง Spam ในอนาคต
  • ระดับผู้ดูแลระบบ 
    โดยปกติแล้ว การส่ง Email ประเภทนี้ เค้าจะส่งเป็นชุด ไปยังองค์กรเป้าหมาย เมื่อมี Account ในองค์กรได้รับ Email ทำนองนี้ แนวโน้มที่ Account อื่นๆ ในองค์กรจะได้รับ Email เดียวกันนี้ เป็นไปได้ค่อนข้างสูง ดังนั้น สิ่งที่ผู้ดุและระบบควรจะต้องทำ มีดังนี้ 
    1. แจ้ง user คนอื่นๆ ในองค์กร ให้ทราบ
      เมื่อมี User สอบถามมาเกี่ยวกับ Email ที่น่าสงสัย และพบว่าเป็น Email พวกนี้  แจ้งให้ User ทุกคนในองค์กรทราบว่า Email ที่อาจจะได้รับ เป็น Email หลอกถาม Password ถ้าเจอให้ลบทิ้ง หรือถ้าไม่แน่ใจ ให้สอบถามกลับมา ส่วนใหญ่ Email ประเภทนี้ในการส่งแต่ละรอบ จะส่งจาก Email address หรือ Domain เดียวกัน, Subject เนื้อหา รูปแบบ จะคล้ายๆ กันครับ ทำให้ระบุได้ไม่ยาก
    2. Setup firewall ให้ block การเชื่อมต่อจากเครื่องในองค์กรไปยัง Server ที่หลอกถามข้อมูล
      ถ้าตรวจสอบได้ว่า Link ที่แนบมากับ Email ชี้ไปที่ server ไหน และ Firewall ขององค์กร สามารถตั้งค่าให้ Block การเชื่อมต่อ ออกไปยัง Server ของ URL ที่หลอกถาม Password ได้ ก็ให้ทำการ Block เลยครับ วิธีการนี้เผื่อว่ามี User ในองค์กรที่ไม่ทราบ เผลอเชื่อมต่อไปยัง URL ที่จะหลอกถาม password จะได้ทำไม่ได้ 
      แต่วิธีการนี้ ก็ป้องกันไม่ได้ 100% นะครับ เพราะหลายๆ องค์กร User สามารถใช้งาน Email ผ่าน Mail client จากภายนอกองค์กรได้ ทำให้เราไม่สามารถปิดกั้นการเชื่อมต่อไปยัง server ที่หลอกถาม Password ได้ทุกกรณี
    3. Scan หาและลบ Email หลอกถาม Password ที่ได้รับออกจากทุก account  
      วิธีการนี้เป็นท่ายากครับ คือต้องเขียน Script บน Zimbra Server ไล่ scan หา Email หลอกถาม password ใน account ทั้งหมดบนเครื่อง Zimbra โดยดูจาก Email address ผู้ส่ง หรือ subject ของ Email
      อย่างไรก็ตาม วิธีนี้จะได้ผลถ้าเราทำการลบ Email พวกนี้ ก่อนที่ User เปิดอ่านเท่านั้น 

Mail Gateway ช่วยกรอง Email ทำนองนี้ได้หรือไม่ 

หลายๆ องค์กรมีการตั้ง Mail Gateway เพื่อกรอง Spam mail ก่อนที่จะผ่านเข้ามายัง Mail Server ขององค์กร คำถามคือ อุปกรณ์พวกนี้ สามารถช่วยกรอง Email ที่หลอกถาม Password ได้หรือไม่ 
ส่วนตัวผม คิดว่าสามารถกรองได้ระดับหนึ่งครับ แต่ไม่ 100%  จากประสบการณ์ก็ยังเจอว่า Mail Gateway ยี่ห้อดังๆ ก็ยังมี Email หลอกถาม Password หลุดเข้ามาได้ เพราะ hacker ก็จะพยายามหา เทคนิคและช่องทางใหม่ๆ ที่ให้ Email ที่ไม่ดีเหล่านี้ หลุดรอดผ่านเข้าไปถึง User ได้  การให้ความรู้ กับ User ให้ระวัง Email เหล่านี้อยู่เสมอ น่าจะเป็นคำตอบที่ดีที่สุดครับ 

วันพฤหัสบดีที่ 27 พฤษภาคม พ.ศ. 2564

วิธีการค้นหา Email ใน Zimbra Web Client และแก้ปัญหาการค้นหาคำในภาษาไทยไม่เจอ

 สำหรับผู้ที่ใช้งาน  Zimbra Web Client อาจจะยังมีบางท่านที่ไม่เคยใช้ Search ฺBar ในการค้นหา Email ในบทความนี้ เราจะมาพูดถึงเรื่องนี้กันครับ 

Zimbra Web Client จะมีช่องอยุ่ด้านบนเยื้องไปทางขวาของจอ สามารถให้เราป้อนคำ เพื่อใช้ในการค้นหาได้ ตามรุปครับ ซึ่งโดยปกติ จะตั้งค่าเริ่มต้นไว้ให้ค้นหาคำที่เราป้อนใน Email 

วิธีการค้นหา Email แบบง่ายๆ ก็คือ ป้อนคำที่เราต้องการค้นหาเข้าไป ที่ search bar แล้วกด  แล้วกด Enter 

Zimbra จะทำการค้นหาคำที่เราป้อนจาก  Email ทั้งหมดที่มีอยู่ในระบบ  โดยค้นหาจาก

  • Email Address ผู้ส่ง 
  • Email Address ของผู้รับ 
  • Subject ของ Email 
  • ข้อความในเนื้อ Email 

 โดย Web Client จะเปิด Tab ใหม่ชื่อว่า search  และแสดงรายการของ Email ที่มีข้อความตามที่เราป้อน ตัวอย่างเช่น ผมพิมพ์คำว่า accept ที่ search bar แล้วกด Enter ผลลัพท์ที่ได้จะเป็นตามรูป

แต่อย่างไรก็ตาม การค้นหาคำใน Email นี้มีส่ิงที่เราควรทราบเบื้องต้นตามนี้ครับ 

Folder ที่ถูกค้นหา

การ Search แบบนี้ จะค้นหาทุก folder ใน account ของเรา ยกเว้น Junk และ Trash  ดังนั้นจะค้นหาใน Draft และ Sent folder ด้วยครับ 

วิธีการค้นหาคำ 

ส่วนวิธีการที่ใช้ในการค้นหาข้อความของ Zimbra นั้นอ้างอิงวิธีการค้นหาคำในภาษาอังกฤษครับ ซึ่งกระบวนการคือ Zimbra จะทำการแยกประโยคยาวๆ ออกมาเป็นคำก่อน โดยใช้ช่องว่างและตัวอักษรอักขระพิเศษในการแบ่งคำ (เช่น . -,   อะไรทำนองนี้ ) เสร็จแล้วค่อยเทียบคำที่มีใน Email กับคำที่ใช้ในการค้นหาครับ 

ตัวอย่างเช่น ในประโยค "This is a big-fat boy"  Zimbra จะทำการแยกคำออกมาได้ เป็น "this" "is"  "a"  "big" "fat"  "boy" ครับ 

และเวลา Zimbra  ค้นหาคำที่เราป้อน ปกติจะหาคำที่ตรงกันเป๊ะๆ  ตัวอย่างเช่นคำว่า dictionary ถ้าเราป้อนแค่คำว่า "dict" เพื่อใช้ในการค้นหา  Zimbra จะหาไม่เจอครับ  

แต่อย่างไรก็ตามการหาของ Zimbra ไม่สนใจตัวอักษรตัวเล็กและตัวใหญ่ในภาษาอังกฤษ นะครับ ในกรณีนี้ Zimbra จะมองตัวอักษรตัวเล็กและตัวใหญ่ในภาษาอังกฤษเหมือนกัน 

ปัญหาการค้นหาคำโดยใช้ภาษาไทย

ปัญหาก็คือ คำในภาษาไทยไม่ได้แบ่งด้วยช่องว่างเหมือนภาษาอังกฤษครับ ดังนั้นหลายๆ คนอาจจะเคยสังเกตุว่า เวลาหาคำโดยป้อนคำที่ต้องการค้นหาโดยใช้ภาษาไทยแล้ว  Zimbra หา Email ที่มีคำที่เราต้องการหาไม่เจอ สาเหตุก็เพราะเรื่องนี้เองครับ 

บางคนอาจจะแย้งว่า ผมใช้คำไทยหาตามปกติ ก็เจอนี่  เท่าที่ผมเคยเห็น สาเหตุที่หาเจอก็เพราะใน Email ของเรา อาจจะมีคำที่ใช้ในการค้นหานี้อยู่หลายจุด ซึ่งบางจุด อาจจะสามารถแบ่งคำโดยใช้วิธีการแบ่งคำแบบภาษาอังกฤษได้ เลยหาเจอ 

Wildcard Search ค้นหาโดยใช้อักษรที่มีความหมายพิเศษ

    การค้นหาคำใน Zimbra มีอีกความสามารถหนึ่งคือเราสามารถใช้ตัวอักษร "*" ในคำที่เราป้อนใน search bar เพื่อใช้ในการค้นหาได้ครับ ตัวอักษรตัวนี้จะให้ความหมายเหมือนกับว่าเป็นตัวอักษรหรือคำอะไรก็ได้ หรือไม่มีก็ได้ 

ยกตัวอย่างเช่น ถ้าเราป้อนในช่อง search โดยใช้คำว่า

  • *do   จะหมายความว่าหาคำที่ลงท้ายด้วย do หรือคำว่า do
  • do*  จะหมายความว่าหาคำที่ขึ้นต้วด้วย do หรือคำว่า do
  • *do*  จะหมายความว่า ให้หาคำที่ลงท้ายด้วย do หรือ ขึ้นต้นด้วย do และรวมไปถึงคำว่า do ด้วย
แก้ปัญหาการค้นหาคำภาษาไทย โดยใช้ Wildcard 

    จากรูปแบบการใช้ wildcard search ข้างต้น เราสามารถนำมาประยุกต์เพื่อแก้ปัญหากับการค้นหาคำในภาษาไทยได้ โดยการใส่ * ก่อนและหลังคำที่ต้องการค้นหา 

เช่น เราต้องการค้นหาคำว่า สุภา ใน search bar ให้ป้อน *สุภา*  แบบนี้ Zimbra จะแสดงราย Email ที่มีคำว่าสุภาทั้งหมดออกมาครับ แต่จะรวมไปถึงคำอื่นๆ เช่น สุภาพ ด้วย ซึ่งกรณี อาจจะหาเจอมากกว่าที่เราต้องการ แต่ผมว่า ก็ยังดีกว่าหาไม่เจอเลยครับ 

ลองนำไปใช้กันดูนะครับ 


วันจันทร์ที่ 19 เมษายน พ.ศ. 2564

การปรับวิธีการจัดเรียง Email (sort) ในหน้าจอ Web Client ของ Zimbra

 สำหรับท่านที่ใช้ web client ของ Zimbra เราจะสามารถปรับแต่งวิธีการเรียง Email บนหน้าจอได้ครับ โดยวิธีการจะแตกต่างกันสำหรับหน้าจอแต่ละแบบ ผมขอแยกเป็นสองกลุ่ม ตามนี้ครับ 


หน้าจอ Reading Pane at the bottom หรือ Off 

หน้าจอแบบนี้ เราสามารถจัดเรียง Email ได้ โดยการกดปุ่มเมาส์ซ้ายที่หัวคอลัมน์ในส่วนของหน้าจอแสดง รายการ Email ดังรูป คลิ็กที่คอลัมน์ไหน จะเป็นการจัดเรียง Email ตามคอลัมน์นั้นๆ  เช่น คลิ๊กที่ หัวคอลัมน์ Subject จะเป็นการเรียงลำดับ Email ตามข้อความที่อยู่ใน Subject  ของแต่ละ Email  ตัวอย่างตามรูปครับ


ถ้าคลิ๊กซ้ำ จะเป็นการสลับการเรียงในหัวข้อนั้นๆ จากน้อยไปมาก และมากไปน้อย สลับกันไป  ซึ่งเรียงอยางไร เราสามารถสังเกตุได้จากรูปเครื่องหมายสามเหลี่ยมที่ถูกแสดงขึ้นมาหลังมีการคลิ็กที่หัวคอลัมน์  ว่าชืีขึ้นหรือชี้ลง



หน้าจอ Reading Pane on the right

 สำหรับหน้าจอแบบนีี้ ที่หัวคอลัมน์ในส่วนที่แสดงรายการของ Email จะบอกอยู่แล้วว่า  Email ถูกจัดเรียงแบบไหน และเรียงจากมากไปน้อย หรือน้อยไปมาก โดยดูที่รูปเครื่องหมายสามเหลึยม ตามรูป  โดยการสลับการเรียง น้อยไปมาก และมากไปน้อย สามารถทำได้โดยการกดปุ่มเมาส์ซ้ายที่หัวคอลัมน์ 



ถ้าต้องการเปลี่ยนหัวข้อที่ใช้ในการเรียงลำดับ ให้กดปุ่มเมาส์ขวาที่หัวคอลัมน์ และเลือกหัวข้อที่ต้องการจัดเรียง ตามรูป 


สุดท้าย  Zimbra จะจำวิธีการเรียง Email ล่าสุดไว้  ในหน้าจอทั้งสองแบบ ครับ ลองนำไปใช้งานกันดูนะครับ 

ศิวัฒน์ ศิวะบวร


วันจันทร์ที่ 27 กรกฎาคม พ.ศ. 2563

Email หาย เมื่อส่งจาก Outlook ไปที่ Zimbra


      ปัญหาหนึ่งที่ผู้ดูแลระบบหรือผู้ใช้ zimbra อาจจะเคยเจอหรือได้รับรายงาน คือมีการส่ง Email เข้ามาที่เครื่อง Zimbra แล้วผู้รับไม่ได้รับ แต่ไม่ได้เป็นทุกครั้ง และส่วนใหญ่จะหาสาเหตุไม่ได้ ผมเองก็ได้รับรายงานจากลูกค้าผมเหมือนกัน ตอนแรกๆ ก็สงสัยว่าเกิดอะไรขึ้น จนสุดท้าย เมื่อได้รับรายงานและมีข้อมูลให้วิเคราะห์มากพอ เมื่อตรวจสอบลึกลงไป ก็ได้ทราบถึงสาเหตุ และวิธีการแก้ไข ตามนี้ครับ

สถานการณ์ที่เกิดขึ้นกับผม 
  • user_a@senderdomain.com มีการส่ง Email มายัง Zimbra  โดยส่งมาให้ user_b@zimbradomain.com และ CC: user_c@zimbradomain.com
  • user_b@zimbradomain.com ไม่ได้รับ Email นี้
  • แต่ user_c@zimbradomain.com ได้รับ Email 
ส่ิงที่ผมทำก็คือ ดูที่ /var/log/zimbra.log  เพื่อดูว่า เครื่อง Zimbra ได้รับ Email ที่ว่านี้จาก user_a  หรือไม่ ข้อมูลจาก log file คือ เครื่อง Zimbra ได้รับ Email และส่งต่อไปให้ ยัง User B และ User C แล้ว ตามข้อมูลนี้ 
Jul 16 17:22:36 mail amavis[595]: (00595-15) Passed CLEAN {RelayedInternal}, ORIGINATING_POST/MYNETS LOCAL [127.0.0.1]:43744 [110.170.164.226] <user_a@senderdomain.com> -> <user_c@zimbradomain.com>,<user_b@zimbradomain.com>, Queue-ID: 559BC40DE6EAE, Message-ID: <!&!AAAAAAAAAAAYAAAAAAAAAHMG31lBzq9EnA4ND3fjIazCgAAAEAAAALwAfFLJ9TdEgSYwUSy/GGEBAAAAAA==@senderdomain.com>, mail_id: I

Jul 16 17:22:36 mail amavis[595]: (00595-15) IyGsl1CPBC8i FWD from <user_a@senderdomain.com> -> <user_c@zimbradomain.com>,<user_b@zimbradomain.com>, BODY=7BIT 250 2.0.0 from MTA(smtp:[127.0.0.1]:10025): 250 2.0.0 Ok: queued as CF12E40DE6E91

.....

Jul 16 17:22:37 mail postfix/lmtp[1001]: CF12E40DE6E91: to=<user_c@zimbradomain.com>, relay=mail.zimbradomain.com[192.168.22.43]:7025, delay=0.22, delays=0.06/0/0.05/0.12, dsn=2.1.5, status=sent (250 2.1.5 Delivery OK)

Jul 16 17:22:37 mail postfix/lmtp[1001]: CF12E40DE6E91: to=<user_b@zimbradomain.com>, relay=mail.zimbradomain.com[192.168.22.43]:7025, delay=0.22, delays=0.06/0/0.05/0.12, dsn=2.1.5, status=sent (250 2.1.5 Delivery OK)

Jul 16 17:22:37 mail postfix/qmgr[5540]: CF12E40DE6E91: removed
วิเคราะห์ข้อมูลต่อ ใน mailbox.log

สิ่งที่ผมทำต่อคือ ดูข้อมูลในไฟล์ /opt/zimbra/log/mailbox.log ดูว่า user_b ทำไม่ได้รับ Email โดยผมกรองเฉพาะ log ที่เกี่ยวข้องกับ user_b มาดู ผมไปเจอ message ที่น่าสนใจคือ 
2020-07-16 17:22:37,066 INFO  [LmtpServer-59285] [name=user_b@zimbradomain.com;mid=175;ip=192.168.22.43;]
lmtp - Not delivering message with duplicate Message-ID
 <!&!AAAAAAAAAAAYAAAAAAAAAHMG31lBzq9EnA4ND3fjIazCgAAAEAAAALwAfFLJ9TdEgSYwUSy/GGEBAAAAAA==@senderdomain.com>
ลองหาข้อมูลเกี่ยวกับ "Not delivering message with duplicate Message-ID" ที่เกียวข้องกับ Zimbra ว่าคืออะไร สรุปก็คือ Zimbra จะมีการ เก็บ Message-ID ของ Email แต่ละฉบับที่ส่งเข้ามาให้กับแต่ละ Account บน Zimbra ย้อนหลังไว้จำนวนหนึ่ง ซึ่งเมื่อ มี Email ใหม่เข้ามา Zimbra จะตรวจสอบ Message-ID ของ Email ใหม่เที่ยบกับ Message-id ที่เคยเก็บไว้ของ User นั้นๆ ซึ่งถ้าเจอว่า มี Message-ID ซ้ำ Zimbra ก็จะไม่ส่ง Email นี้ไปที่ inbox ของ User

Message-ID คืออะไร 

    เมื่ออ่านถึงตรงนี้ ผู้อ่านหลายท่านคงสงสัยว่า แล้ว Message-id นี้คืออะไร ขออธิบายง่ายๆ แล้วกันครับ ว่า Message-ID จะเหมือนหมายเลขประจำตัว ของ Email แต่ละฉบับ จะถูกสร้างตั้งแต่ต้นทางที่สร้าง Email ขึ้นมา เช่น Email Client (MS outlook , thunderbird, ...) หรือ ระบบ Webmail  โดย Message-ID นี้จะฝังอยู่ใน Email Header  เราสามารถหาดูได้โดยดูบรรทัดที่ขึ้นต้นด้วยคำว่า Message-ID: ใน Email Header ดังตัวอย่างตามรูป


จากรุป Message-ID ของ Email ในรูปคือ 5ec3add-be8b-c846-1c55-0fa33428aac1@xsidekick.com

ซึ่งโดยปกติ ค่าจะถูกสร้างมาโดยไม่ซ้ำกัน และไม่ซ้ำกับ Email อื่นๆ ด้วยครับ

ส่วนวิธีการดู  Email Header ของ Email ใน Zimbra โดยใช้ Web client ลองอ่านวิธีดูบทความนี้ดูนะครับ

นอกจากนี้ ใน /var/log/zimbra.log จะมีการเก็บ Message-ID ของ Email ทีี่มีการรับส่งด้วย ลองดูในตัวอย่าง log ที่ผมใส่ไว้ตอนต้นบทความก็ได้ จะเห็น Message-ID ของ Email นี้อยู่ด้วย และในไฟล์ /opt/zimbra/log/mailbox.log ที่บอกว่า เจอ duplicate Message-ID ก็จะมีการระบุ Message ID ที่เจอว่า Duplicate ไว้ด้วย

Microsoft Outlook ต้นเหตุของปัญหา

     เมื่อลองพยายามค้นหาข้อมูลต่อ ก็พบว่า มันคนเคยเจอปัญหานี้เหมือนกัน เค้าระบุว่า ต้นตอของปัญหานี้เกิดจากคนส่ง Email ใช้ Microsoft Outlook  เขียน Email และส่งออกมา ซึ่ง ตัว Outlook เองจะมีประเด็น (เท่าที่มีข้อมูลเป็น MS Outlook 2010) ที่ทำให้  Email  บางฉบับที่ส่งออก มี Message-ID ซ้ำกับ Email ที่เคยส่งออกมาแล้ว

โดยกรณีของผม  พบว่าสถานการณ์ที่ ทำให้ Outlook สร้าง Message-ID คือ

1) user_a@senderdomain.com ใช้งาน MS Outlook  ส่ง Email ฉบับหนึ่งให้ user_b@zimbradomain.com
2) หลังจากนั้น user_a@senderdomain.com ทำการเขียน Email อีกฉบับโดย Forward  จาก Email ในข้อ 1) ไปให้ user_b@zimbradomain.com ตามสถาณการณ์ ที่ได้เล่าไปตั้งแต่แรก 

ซึ่งในกรณีที่ผมเจอ พอสืบย้อนกลับไป พบว่า ก่อนหน้าที่จะเกิด Message-ID Duplication ใน Zimbra user_a@senderdomain.com ได้เคยส่ง Email ให้กับ user_b@zimbradomain.com จริงๆ และ หลังจากนั้น เค้าได้ Forward Email ที่เคยส่งไปแล้ว ให้กับ user_b@zimbradomain.com อีกครัั้ง แต่คราวนี้ CC: user_c@zimbradomain.com ด้วย

และถ้ากลับไปดูที่ Email header ทั้งสองฉบับ (ฉบับทีส่งครั้งแรก และ ฉบับที่ Forward ) เราจะเจอว่า

  • Message-ID ซ้ำกัน
  • แถมเจอร่องรอยอีกบรรทัดคือ  
X-Mailer: Microsoft Outlook 16.0
ซึ่งบรรทัดนี้ เป็นตัวบอกว่า Email ที่เกิดปัญหา ถูกส่งจาก MS Outlook จริงๆ แต่เป็น version  2016 (จุดนี้บอกพวกเราเป็นนัยๆ ว่าอาการแบบนี้มีใน MS Outlook หลายๆ version)

ปัญหาคือ ตกลงมันเป็น Bug ของ MS outlook จริงๆ หรือเป็นพฤติกรรมปกติของ Email Client ทั่วไป ผมเลยลองทดสอบส่ง Email โดยใช้ Thunderbird จำลองสถานการณ์แบบเดียวกัน ผลปรากฎว่า Message-ID ไม่ซ้ำ ทำให้คิดว่าน่าจะเป็น Bug ของ MS Outlook จริงๆ (ใครรู้จริงช่วยบอกหน่อย)

การแก้ไข

     ปัญหาอยู่ตรงนี้ครับ เพราะคนที่ส่ง Email ที่มี Message-ID ซ้ำนี้ เป็นคนนอกองค์กร จะไปบังคับเค้าให้ใช้ Email Client ยี่ห้ออื่น หรือลง Patch ของ MS Outlook ก็ลำบาก เราคงต้องมาหาทางแก้ปัญหากันที่ระบบ Zimbra ของเราเอง (แบบอ้อมๆ) ซึ่งก็โชคดีครับ พอจะทำได้

วิธีการก็คือ เราต้อง setup Zimbra ไม่ได้ทำการเช็ค Message-ID ซ้ำ โดย

ใช้คำสั่ง zmprov ที่ Linux command line แก้ไข config parameter ที่ชื่อ zimbraMessageIdDedupeCacheSize ให้เป็น 0 (ปกติ จะเป็น 3000)  ตามนี้
zmprov mcf zimbraMessageIdDedupeCacheSize 0 
คำสั่งนี้ ต้องเรียกใช้ในขณะที่เป็น Account ที่ชื่อ Zimbra บน Linux ซึ่งขั้นตอนดูตามบทความนี้ครับ

ซึ่งเราสามารถตรวจสอบได้ว่าค่า zimbraMessageIdDedupeCacheSize ถูก set เป็น 0 แล้วจริงๆ หรือเปล่าโดยใช้คำสั่ง
zmprov gcf zimbraMessageIdDedupeCacheSize
คำสั่งนี้จะแสดงค่า zimbraMessageIdDedupeCacheSize ที่ถูก set อยู่ ณ.ขณะนั้น

เสร็จแล้วทำการ Restart service ของ Zimbra ที่ชื่อ mailboxd เพื่อให้  Zimbra รับรู้ค่าที่เรา set ใหม่นี้ โดยใช้คำสั่ง
zmmailboxdctl restart
ตัวอย่างเช่น







ข้อควรระวังของการแก้ไขโดยใข้วิธีการนี้ 

      ตามที่ได้บอกไปว่าวิธีการแก้ไขนี้ เป็นการปิดระบบของ Zimbra ไม่ให้ตรวจสอบ Message-id ซ้ำ ดังนั้นเป็นไปได้ว่าหลังจากนี้ ผู้ใช้ระบบของเรา อาจจะเจอว่าได้รับ Email ซ้ำในระบบ ซึ่งส่วนใหญ๋ เกิดจากข้อผิดพลาดในระบบ Email ตั้งแต่ตั้นทางมาถึงปลายทางคือเครื่อง Zimbra ของเรา ดังนั้น ผู้ดูแลระบบควรจะต้องแจ้งให้ User หรือผู้ดูและระบบคนอื่นๆในองค์กรทราบด้วย

หวังว่าคงจะได้ประโยชน์ และสามารถนำความรู้จากบทความนี้ ไปแก้ไขปัญหา Zimbra กันนะครับ

อ้างอิง https://forums.zimbra.org/viewtopic.php?t=28155