Hvad er DKIM Replay-angreb, og hvordan beskytter man sig mod dem?
DKIM er et afgørende aspekt af e-mail-godkendelse, der bruger kryptografi i form af digitale signaturer til at signere meddelelser, der sendes fra et domæne. Det sikrer, at e-mails, der stammer fra en autoriseret kilde, ikke bliver ændret, før de når frem til den tilsigtede modtager, og dermed mindskes trusler om efterligning.
I et DKIM replay-angreb opsnapper en angriber en legitim DKIM-signeret e-mailbesked og sender den derefter til den tilsigtede modtager eller et andet mål flere gange uden at foretage nogen ændringer i beskedens indhold eller signatur. Målet med dette angreb er at drage fordel af den tillid, der er etableret af DKIM-signatur til at få modtageren til at tro, at de modtager flere kopier af den samme legitime besked.
Hvad er et DKIM Replay-angreb?
Et DKIM replay-angreb er et cyberangreb, hvor en trusselsaktør opsnapper en e-mail, der er signeret og betroet ved hjælp af DKIM, og derefter sender eller "afspiller" den samme e-mail igen for at narre modtageren til at tro, at det er en ny, troværdig besked, selvom den måske er ændret eller skadelig.
Før vi gennemgår anatomien i et DKIM-replay-angreb og diskuterer strategier til at afbøde det, skal vi lige se på, hvordan DKIM fungerer:
Hvordan autentificerer DKIM e-mails?
DKIM (DomainKeys Identified Mail) er en e-mail-godkendelsesmetode, der hjælper med at verificere ægtheden af e-mail-beskeder og opdage e-mail-spoofing og phishing-forsøg. DKIM tilføjer en digital signatur til e-mailbeskeden på afsenderserveren, og denne signatur kan verificeres af modtagerens e-mailserver for at sikre, at beskeden ikke er blevet manipuleret med under transporten.
DKIM fungerer ved hjælp af følgende processer:
1. Signering af meddelelser: Når en e-mail sendes fra et domæne, der bruger DKIM, genererer den afsendende mailserver en unik kryptografisk signatur til meddelelsen. Denne signatur er baseret på e-mailens indhold (header og brødtekst) og nogle specifikke headerfelter, såsom "Fra"-adressen og "Dato"-feltet. Signeringsprocessen involverer typisk brug af en privat nøgle.
2. Offentlig nøglepublikation: Det afsendende domæne offentliggør en offentlig DKIM-nøgle i sine DNS-poster (Domain Name System). Denne offentlige nøgle bruges af modtagerens e-mailserver til at verificere signaturen.
3. Overførsel af besked: E-mailbeskeden, der nu indeholder DKIM-signaturen, sendes over internettet til modtagerens e-mailserver.
4. Bekræftelse: Når modtagerens e-mailserver modtager e-mailen, henter den DKIM-signaturen fra e-mailens headers og slår afsenderens offentlige DKIM-nøgle op i DNS-posterne for afsenderens domæne.
Hvis signaturen stemmer overens med indholdet i e-mailen, kan modtageren være rimelig sikker på, at e-mailen ikke er blevet manipuleret undervejs, og at den virkelig kommer fra den påståede afsenders domæne.
5. Bestået eller ikke bestået: Baseret på resultatet af verificeringsprocessen kan modtagerens server markere e-mailen som DKIM-verificeret eller DKIM-failed.
DKIM hjælper med at forhindre forskellige e-mailbaserede angreb, såsom phishing og spoofing, ved at tilbyde en mekanisme til at verificere autenticiteten af afsenderens domæne.
Hvordan fungerer DKIM Replay-angreb?
I et DKIM-replay-angreb kan ondsindede personer bruge DKIM-signaturernes lempelighed til at narre e-mailmodtagere og potentielt sprede skadeligt indhold eller svindel.
Lad os se på, hvordan et DKIM replay-angreb fungerer, trin for trin:
DKIM-signaturens fleksibilitet
DKIM tillader, at signaturdomænet (det domæne, der underskriver e-mailen) er forskelligt fra det domæne, der er nævnt i e-mailens "From"-header. Det betyder, at selv om en e-mail hævder at være fra et bestemt domæne i "From"-headeren, kan DKIM-signaturen være knyttet til et andet domæne.
DKIM-verifikation
Når en e-mailmodtagers server modtager en e-mail med en DKIM-signatur, kontrollerer den signaturen for at sikre, at e-mailen ikke er blevet ændret, siden den blev signeret af domænets mailservere. Hvis DKIM-signaturen er gyldig, bekræfter den, at e-mailen er gået gennem det signerende domænes mailservere og ikke er blevet manipuleret undervejs.
Udnyttelse af højt ansete domæner
Det er her, angrebet kommer ind i billedet. Hvis det lykkes en angriber at overtage eller hacke sig ind i en postkasse, eller oprette en postkasse med et domæne, der har et godt omdømme (hvilket betyder, at det er en pålidelig kilde i e-mailservernes øjne), udnytter de domænets omdømme til deres fordel.
Afsendelse af den første e-mail
Angriberen sender en enkelt e-mail fra sit velrenommerede domæne til en anden postkasse, som han kontrollerer. Denne første e-mail kan være harmløs eller endda legitim for at undgå mistanke.
Genudsendelse
Nu kan angriberen bruge den optagede e-mail til at genudsende den samme besked til et andet sæt modtagere, ofte dem, der ikke oprindeligt var tiltænkt af den legitime afsender. Da e-mailen har sin DKIM-signatur intakt fra domænet med det høje omdømme, er det mere sandsynligt, at e-mailservere stoler på den og tror, at det er en legitim besked - og derved omgår godkendelsesfiltre.
Skridt til at forhindre DKIM Replay-angreb
DKIM-strategier til forebyggelse af replay-angreb for e-mail-afsendere:
1. Overtegning af overskrifter
For at sikre, at vigtige overskrifter som Dato, Emne, Fra, Til og CC ikke kan tilføjes eller ændres efter signering, kan du overveje at oversignere dem. Denne sikkerhedsforanstaltning forhindrer ondsindede aktører i at manipulere med disse kritiske meddelelseskomponenter.
2. Indstilling af korte udløbstider (x=)
Implementer så kort en udløbstid (x=) som praktisk muligt. Det reducerer muligheden for replay-angreb. Nyoprettede domæner skal have en endnu kortere udløbstid end ældre, da de er mere sårbare over for angreb.
3. Brug af tidsstempler (t=) og nonces
For yderligere at forhindre replay-angreb skal du inkludere tidsstempler og nonces (tilfældige tal) i e-mailens headers eller body. Det gør det svært for angribere at sende den samme e-mail igen på et senere tidspunkt, fordi værdierne ville have ændret sig.
4. Periodisk rotation af DKIM-nøgler
Udskift DKIM-nøgler regelmæssigt og opdater dine DNS-poster i overensstemmelse hermed. Dette minimerer eksponeringen af langlivede nøgler, der kan kompromitteres og bruges i replay-angreb.
DKIM-strategier til forebyggelse af replay-angreb for e-mailmodtagere:
1. Implementering af hastighedsbegrænsning
Modtagere kan implementere hastighedsbegrænsning på indgående e-mailbeskeder for at forhindre angribere i at oversvømme dit system med genafspillede e-mails. For at gøre dette kan du sætte grænser for antallet af e-mails, der accepteres fra en bestemt afsender inden for en given tidsramme.
2. Undervis modtagere af e-mails
Oplys dine e-mailmodtagere om vigtigheden af DKIM, og opfordr dem til at verificere DKIM-signaturer på indgående e-mails. Det kan være med til at reducere virkningen af eventuelle replay-angreb på dine modtagere.
3. Foranstaltninger til netværkssikkerhed
Implementer netværkssikkerhedsforanstaltninger for at opdage og blokere trafik fra kendte ondsindede IP-adresser og kilder, der kan være involveret i replay-angreb.
Sådan hjælper PowerDMARC med at afbøde DKIM replay-angreb
For at gøre DKIM-nøglehåndtering let og ubesværet for domæneejere har vi introduceret vores omfattende hostede DKIM løsning. Vi hjælper dig med at overvåge dine e-mailstrømme og DKIM-signeringspraksis, så du hurtigt kan opdage uoverensstemmelser, samtidig med at du altid er et skridt foran angriberne.
Record-optimering på vores dashboard er automatisk uden behov for at tilgå din DNS flere gange for manuelle opdateringer. Skift til automatisering med PowerDMARC ved at foretage ændringer i dine signaturer, håndtere flere selectors og rotere dine DKIM-nøgler uden besværet med manuelt slid. Tilmeld dig i dag for at tage en gratis prøveversion!
- Sådan beskytter du dine adgangskoder mod AI - 20. september 2023
- Hvad er identitetsbaserede angreb, og hvordan stopper man dem? - 20. september 2023
- Hvad er Continuous Threat Exposure Management (CTEM)? - 19. september 2023
