วันพุธที่ 14 มีนาคม พ.ศ. 2561

เมื่อ Zimbra มองไฟล์แนบ pdf ที่ต้องใช้ password เปิดอ่าน ว่าเป็น virus

เรื่องนี่อาจจะดูเก่าไปสักนิด ตอนแรกคิดว่าผู้ใช้และผู้ดูแลระบบส่วนใหญ่จะรู้กันแล้ว แต่ก็ยังมีหลายๆท่านที่ยังไม่รู้ เลยต้องขอมาเขียนเป็นบทความกันสักหน่อย

เคยเจอไหมครับ อยู่ๆ ก็มี email แจ้งมากจาก account ที่ชื่อ admin บนเครื่อง Zimbra ของเรา โดยมีหัวเรื่องว่า


       VIRUS (Heuristics.Encrypted.PDF) in mail TO YOU from ......

เนื้อหาภายใน พอจะจับใจความได้ว่ามี email ส่งมาจากใครคนหนึ่ง ใน Email มี virus เนื้อหานอกนั้นคนทั่วไปอ่านแล้วไม่ค่อยจะเข้าใจ  ตัวอย่าง Email แจ้งเตือน หน้าตาทำนองนี้ครับ


สาเหตุที่เราได้รับ Email แจ้งเตือน

คำถามคือ มันเกิดอะไรขึ้น  ผมขอสรุปสิ่งที่เกิดขึ้นให้เข้าใจง่ายๆ ตามนี้ครับ 

  1.  มีคนส่ง email มาหา account บนเครื่อง zimbra  ซึ่ง email ที่ส่งมาแนบไฟล์ที่ Zimbra ไม่สามารถเปิดอ่านไฟล์แนบ เพื่อตรวจสอบได้  ส่วนใหญ่ที่เจอกันบ่อยๆ จะเป็นไฟล์ pdf ที่เมื่อเปิดอ่านจะถาม password ก่อน  และเท่าที่ผมเจอส่วนใหญ่ในไทย เกือบ 100% คนส่งคือธนาคารครับ ส่งข้อมูลที่ค่อนข้างเป็นข้อมูลส่วนตัว ให้กับลูกค้าของธนาคาร 
  2. Zimbra จะกัก email address ที่แนบ ไฟล์ pdf ที่ต้องใช้ password เพื่อเปิดอ่านนี้ไว้ใน account พิเศษที่เป็น  virus quarantine account (อ่านเรื่อง virus quarantine account ได้จากบทความเรื่อง Account พิเศษของ Zimbra ที่ห้ามลบทิ้ง )
  3.  สุดท้าย  Zimbra จะส่ง email  แจ้งเตือนไปยัง 
  • เจ้าของ email address ปลายทาง ของ email เจ้าปัญหานี้ 
  • Account ที่ทำหน้าที่ admin ระบบ บนเครื่อง Zimbra ซึ่งปกติ จะชื่อ admin
แล้วเราจะทำอย่างไรดี

ถ้าคุณเป็นผู้ใช้งาน Zimbra ธรรมดา  คงต้องดูว่าคนที่ส่ง email มาน่าเชื่อถือ หรือรูปแบบ email ที่ส่ง เป็น email จริงๆหรือไม่ใช่ email หลอกลวงหรือเปล่า ถ้าใช่หรือไม่แน่ใจ ติดต่อคนที่ ดูแล Zimbra ของคุณอยู่เพื่อขอดู Email ที่ถูกกักอยู่ที่ Virus Quarantine Account ครับ 

แต่ถ้าคุณเป็นผู้ดูแลระบบ มีสิ่งที่ต้องตัดสินใจอยู่สองอย่างคือ 
  1. ถ้ามีคนส่ง email ทำนองนี้มาอีก จะให้ zimbra กัก email แบบนี้เหมือนเดิมหรือไม่ หรือจะให้ Zimbra ปล่อย Email แบบนี้ผ่านไปให้คนรับเลย 
  2.  ถ้า user ที่เป็นคนรับ email อยากได้ email และไฟล์แนบที่ถูกกักไว้ จะเอาให้ user ได้อย่างไร 

กำหนดให้ Zimbra ไม่กัก Email ที่แนบไฟล์ที่ไม่สามารถเปิดอ่านได้ 

ถ้าตัดสินใจให้ Zimbra ไม่กัก Email ทำนองนี้ไว้ต่อไปในอนาคต ต้องทำแบบนี้ครับ 
 1. Login Zimbra Admin Console (https://zimbra-hostname:7071) ด้วย Account ที่มีสิทธิ admin  Zimbra  ปกติจะเป็น Account ที่ชื่อ admin
2. ดูที่คอลัมน์ด้านซ้ายของ  Admin Console เลือก Configure  และ Global Settings ตามลำดับ 
 3. เลือกหัวข้อ AS/AV  และดูที่ด้านขวาในหัวข้อ  “Antivirus Setting”  เอาเครื่องหมายติ๊กถูกออกจาก บรรทัด “Block encrypted archives”  เสร็จแล้ว กดปุ่ม “Save” (อยู่แถวๆ มุมบนขวาของหน้าจอ )


หลังจากนี้ ถ้า Zimbra ได้รับ email ที่มีไฟล์แนบที่เปิดออกเพื่อตรวจเช็คไม่ได้  Zimbra จะส่งต่อไปให้กับคนรับเหมือน Email อื่นๆ ตามปกติ 

Email เก่าๆ ที่ถูกกักไว้

คำถามที่ตามมาก็คือ แล้ว Email ที่ถูกกักไว้ที่ Virus Quarantine Account หละ จะทำอย่างไร  

ถ้า admin ของ Zimbra ได้ทำการยกเลิกการตรวจสอบตามวิธีการข้างต้นแล้ว  admin สามารถไปที่ virus quarantine account (โดยการใช้ view mail) และ forward email ไปยังผู้รับได้ 

แต่ถ้า admin Zimbra ตัดสินใจที่จะให้ Zimbra ยังคงกัก email ทำนองนี้ไว้ ก็คงต้อง download attach ไฟล์ใน email ที่ถูกกักไว้ ไปส่งให้ user (โดยไม่ใช้ระบบ Email บนเครื่อง Zimbra) ครับ เช่น download มาลง file server หรือ thumb drive 

ซึ่งการเข้าถึง Email ที่ถูกกักไว้ ก็ต้องไปที่ Virus Quarantine Account โดยใช้วิธีการ view mail  เหมือนกันครับ


หวังว่า คงจะมีประโยชน์บ้าง ไม่มากก็น้อยครับ 


ไม่มีความคิดเห็น:

แสดงความคิดเห็น