Hinweis: DKIM2 befindet sich derzeit im Entwurfsstadium in den Dokumentenarchiven der IETF und kann in Zukunft Änderungen unterliegen.
DKIM oder DomainKeys Identified MailDie aktuelle Version von DKIM wurde erstmals 2011 als E-Mail-Authentifizierungsprotokoll veröffentlicht, mit dessen Hilfe Nachrichten mit digitalen Signaturen versehen werden können, um den Absender zu authentifizieren. DKIM ermöglichte es E-Mail-Servern, zu überprüfen, dass die Nachricht während der Übertragung nicht manipuliert wurde. DKIM ist definiert unter RFC 6376 als ein Protokoll definiert, das "einer Person, Rolle oder Organisation, die die signierende Domäne besitzt, erlaubt, eine gewisse Verantwortung für eine Nachricht zu beanspruchen, indem die Domäne mit der Nachricht verknüpft wird".
Im Jahr 2024 könnte DKIM ein brandneues Aussehen erhalten, nämlich DKIM2! DKIM2 wird voraussichtlich bald den alten E-Mail-Sicherheitsmechanismus (DKIM) durch einen neuen und aktualisierten Mechanismus für eine verbesserte Authentifizierung und Sicherheit ersetzen.
Die Notwendigkeit der Ersetzung von DKIM
Der im Entstehen begriffene Mechanismus für DKIM - DKIM1 - wurde erstmals in RFC 4871beschrieben und im Jahr 2007 veröffentlicht. Seitdem wurden im Laufe der Jahre mehrere operative Schwachstellen entdeckt:
1. Zwischengeschaltete Modifikation
In mehreren Fällen von E-Mail-Weiterleitungnehmen sich Vermittlungsserver oft die Freiheit, eine legitime E-Mail zu modifizieren, indem sie zusätzliche Fußzeilen anfügen oder Änderungen an der Signatur vornehmen. Dadurch wird die ursprüngliche DKIM1-Signatur nicht überprüfbar, was zu unerwünschten DKIM-Fehlschlägen führt. Die betroffenen E-Mails werden möglicherweise als Spam gekennzeichnet oder markiert, obwohl sie legitim sind.
2. Rufschädigung durch Replay-Attacken
Bei einem DKIM-Wiederholungsangriffsendet ein Bedrohungsakteur eine E-Mail, die ursprünglich authentifiziert und mit einer DKIM-Signatur signiert wurde, erneut und gibt sie als neue und authentische Nachricht aus. Die Nachricht könnte jedoch verändert worden sein und nun potenziell schädlich sein. Kurz gesagt, böswillige Akteure können DKIM-signierte E-Mails "nachspielen" und so den Ruf rechtmäßiger Unterzeichner schädigen.
3. Mangel an standardisiertem Feedback
Es gibt bestimmte informelle Feedback-Mechanismen, die von einigen Systemen eingerichtet wurden, um E-Mail-Versender darüber zu informieren, wie gut ihre DKIM-signierten E-Mails funktionieren. Diese Feedback-Schleifen helfen den Absendern zu wissen, ob ihre Nachrichten ordnungsgemäß zugestellt oder als problematisch gekennzeichnet werden. Allerdings gibt es derzeit keine offiziellen Regeln dafür, wie diese Rückmeldesysteme funktionieren sollten. Dieser Mangel an Standardisierung kann dazu führen, dass Rückmeldungen unnötigerweise gesendet werden oder nicht hilfreich sind.
4. Problem der Rückstreuung
Wenn jemand den Absender einer E-Mail fälscht und die E-Mail nicht zugestellt werden kann, sendet das System häufig eine "Fehlermeldung". Diese Benachrichtigung wird als "Delivery Status Notification" (DSN) bezeichnet. Die Benachrichtigung erreicht das ahnungslose Opfer, dessen Domäne gefälscht wurde. Dies bedeutet, dass eine unschuldige Person, die nichts mit der E-Mail zu tun hatte, eine verwirrende oder unerwünschte Benachrichtigung erhält. Dieses Phänomen wird als Backscatter bezeichnet.
Was ist DKIM2?
DKIM2 wird voraussichtlich die nächste aktualisierte Version von DKIM1 sein, die die Mängel der Vorgängerversion beheben soll, wie z. B. die Anfälligkeit für Replay-Angriffe, Probleme bei der Weiterleitung von E-Mails und die Bereitstellung einer verbesserten Kryptografie für eine bessere Authentifizierung und einen späteren Schutz.
DKIM2 soll auch Probleme bei der Header-Signierung beheben, Rückstreuungen verhindern und mehrere kryptografische Algorithmen unterstützen, um die Migration von einer veralteten zu einer neuen Version zu erleichtern.
Wie kann DKIM2 ein Segen für Unternehmen sein?
DKIM2 kann die Fähigkeiten von DKIM1 übertreffen, indem es die folgenden Hauptvorteile bietet:
Standardisierte Kopfzeilen-Signierung
Während DKIM1 die Kopfzeilen manchmal nur teilweise signiert und damit ungesicherte Schlupflöcher für Bedrohungsakteure hinterlässt, wird DKIM2 standardisieren, welche Kopfzeilen signiert werden sollten. Dies wird die Verwirrung verringern und sicherstellen, dass alle wichtigen Header einheitlich signiert und gesichert sind.
Prävention von Rückstreuung
Das Problem, dass DKIM1 zu Rückstreuungen führt, wurde bereits im obigen Abschnitt erläutert. DKIM2 ermöglicht es, DSN an den Server zu senden, der die E-Mail zuletzt bearbeitet hat, um Verwirrung bei unschuldigen Dritten zu vermeiden.
Vereinfachte Fehlerbehandlung
DKIM2 erhöht die Sicherheit und Effizienz von E-Mails, indem es den Umgang mit Bounces und Fehlern verbessert. Es stellt sicher, dass Bounce-Nachrichten den richtigen Weg nehmen, schützt die Privatsphäre der Empfänger und hilft Zwischenhändlern wie E-Mail-Dienstleistern und Mailinglisten, Zustellungsprobleme einfach zu verfolgen und zu verwalten. Darüber hinaus ermöglicht DKIM2 Mailinglisten und Sicherheits-Gateways, Änderungen aufzuzeichnen und rückgängig zu machen, was die Überprüfung vereinfacht und Manipulationsversuche aufdeckt.
Bekämpfung von DKIM-Replay-Angriffen
Wir wissen bereits, dass eine gültige, mit DKIM signierte E-Mail unbemerkt an viele Empfänger erneut gesendet werden kann. DKIM2 könnte dieses Problem endlich beheben, indem es Zeitstempel und empfängerspezifische Kopfzeilen einführt, wodurch es einfacher wird, E-Mail-Wiederholungsangriffe zu erkennen und zu verhindern. Darüber hinaus werden auch doppelte Nachrichten erkannt und der Verantwortliche ermittelt.
Algorithmische Geschicklichkeit
DKIM2 wird eine breite Palette von kryptografischen Algorithmen wie RSA, elliptische Kurven und möglicherweise Post-Quantum unterstützen. Dies wird Flexibilität und Zukunftssicherheit gewährleisten. Der positive Aspekt der Unterstützung einer solchen Vielfalt von Algorithmen ist, dass die Migration einfach ist, wenn ein früherer Algorithmus veraltet ist.
In der IETF-Dokumentation wird erklärt, dass für den Fall, dass ein Algorithmus während des kryptografischen Analyseprozesses veraltet oder fehlschlägt, der andere Algorithmus bestehen sollte. Um dies zu ermöglichen, verfolgen die DKIM2-Entwickler einen schrittweisen Ansatz, um von potenziell veralteten Algorithmen zu wechseln, indem sie mehr als eine Signatur in einen einzigen DKIM2-Signatur-Header aufnehmen. Systeme, die die Analyse beider DKIM2-Signaturen unterstützen, müssen beide gültig und korrekt sein, andernfalls wird die E-Mail zurückgewiesen.
Minimierung von Krypto-Berechnungen
DKIM2 soll den Umfang der kryptografischen Berechnungen vereinfachen und minimieren, die erforderlich sind, um die Authentizität des Nachrichteninhalts bei DKIM-Prüfungen zu verifizieren. Die großen Mailbox-Anbieter haben eine große Anzahl von DKIM-Signaturen an die eingehenden Nachrichten angehängt. Bei der Kryptoanalyse prüft DKIM2 nur die erste DKIM2-Signatur, falls die Nachricht nicht von Zwischenhändlern verändert wurde, während DKIM1 derzeit alle DKIM-Signaturen prüft. Damit wird ein effektiverer und schnellerer Prozess für kryptografische Berechnungen eingeführt.
Zusammenfassung
Um die wichtigsten Erkenntnisse aus dem IETF-Entwurf zusammenzufassen, soll das DKIM2-Protokoll mehrere Nachteile der aktuellen DKIM1-Protokollversion umgehen und die Handhabung von Signaturen einfacher, sicherer und effektiver machen. Es wird auch erwartet, dass es die Berichterstattungsmöglichkeiten verbessert und die Feedback-Schleifen standardisiert - was den Unternehmen hilft, mehr als je zuvor auf dem Laufenden zu bleiben! Wir hoffen, dass die offizielle Einführung bald erfolgt, damit die Unternehmen das Beste aus ihrer DKIM-Authentifizierung machen können.
Für Unterstützung bei der DKIM-Implementierung und Schlüsselverwaltung, kontaktieren Sie uns noch heute!
- Yahoo Japan erzwingt DMARC-Einführung für Nutzer im Jahr 2025 - 17. Januar 2025
- MikroTik Botnet nutzt SPF-Fehlkonfigurationen zur Verbreitung von Malware aus - 17. Januar 2025
- Unauthentifizierte DMARC-Mails sind verboten [SOLVED] - 14. Januar 2025