DKIM ist ein entscheidender Aspekt der E-Mail-Authentifizierung, bei der Kryptographie in Form digitaler Signaturen verwendet wird, um Nachrichten zu unterzeichnen, die von einer Domäne gesendet werden. Dies wiederum stellt sicher, dass E-Mails, die von einer autorisierten Quelle stammen, nicht verändert werden, bevor sie den beabsichtigten Empfänger erreichen, und entschärft so die Bedrohung durch Imitationen.
Bei einem DKIM-Wiederholungsangriff fängt ein Angreifer eine legitime, mit DKIM signierte E-Mail-Nachricht ab und sendet sie anschließend mehrmals an den vorgesehenen Empfänger oder ein anderes Ziel, ohne den Inhalt oder die Signatur der Nachricht zu ändern. Ziel dieses Angriffs ist es, das Vertrauen auszunutzen, das durch die DKIM-Signatur um den Empfänger glauben zu machen, dass er mehrere Kopien derselben legitimen Nachricht erhält.
Was ist ein DKIM-Replay-Angriff?
Ein DKIM-Wiederholungsangriff ist ein Cyberangriff, bei dem ein Bedrohungsakteur eine mit DKIM signierte und vertrauenswürdige E-Mail abfängt und dann dieselbe E-Mail erneut sendet oder "wiedergibt", um dem Empfänger vorzugaukeln, dass es sich um eine neue, vertrauenswürdige Nachricht handelt, obwohl sie möglicherweise verändert oder schädlich ist.
Bevor die Anatomie eines DKIM-Wiederholungsangriffs aufgeschlüsselt und Strategien zur Schadensbegrenzung erörtert werden, soll zunächst erläutert werden, wie DKIM funktioniert:
Wie werden E-Mails durch DKIM authentifiziert?
DKIM (DomainKeys Identified Mail) ist eine E-Mail-Authentifizierungsmethode, mit der die Echtheit von E-Mail-Nachrichten überprüft und E-Mail-Spoofing und Phishing-Versuche erkannt werden können. DKIM fügt der E-Mail-Nachricht auf dem sendenden Server eine digitale Signatur hinzu. Diese Signatur kann vom E-Mail-Server des Empfängers überprüft werden, um sicherzustellen, dass die Nachricht während der Übertragung nicht manipuliert wurde.
DKIM funktioniert durch die Nutzung der folgenden Prozesse:
1. Signieren von Nachrichten: Wenn eine E-Mail von einer Domäne gesendet wird, die DKIM verwendet, erzeugt der sendende E-Mail-Server eine eindeutige kryptografische Signatur für die Nachricht. Diese Signatur basiert auf dem Inhalt der E-Mail (Header und Body) und einigen spezifischen Header-Feldern, wie der "Von"-Adresse und dem "Datum"-Feld. Zum Signieren wird in der Regel ein privater Schlüssel verwendet.
2. Öffentlicher Schlüssel Veröffentlichung: Die sendende Domäne veröffentlicht einen öffentlichen DKIM-Schlüssel in ihren DNS-Einträgen (Domain Name System). Dieser öffentliche Schlüssel wird vom E-Mail-Server des Empfängers verwendet, um die Signatur zu überprüfen.
3. Übermittlung der Nachricht: Die E-Mail-Nachricht, die nun die DKIM-Signatur enthält, wird über das Internet an den E-Mail-Server des Empfängers übertragen.
4. Überprüfung: Wenn der E-Mail-Server des Empfängers die E-Mail erhält, ruft er die DKIM-Signatur aus den Kopfzeilen der E-Mail ab und sucht den öffentlichen DKIM-Schlüssel des Absenders in den DNS-Einträgen der Domäne des Absenders.
Wenn die Signatur mit dem Inhalt der E-Mail übereinstimmt, kann der Empfänger mit ziemlicher Sicherheit davon ausgehen, dass die E-Mail während des Transports nicht manipuliert wurde und tatsächlich von der Domäne des angeblichen Absenders stammt.
5. Bestehen oder Nichtbestehen: Je nach dem Ergebnis der Überprüfung kann der Server des Empfängers die E-Mail als DKIM-verifiziert oder DKIM-fehlgeschlagen kennzeichnen.
DKIM hilft, verschiedene E-Mail-Angriffe wie Phishing und Spoofing zu verhindern, indem es einen Mechanismus zur Überprüfung der Authentizität der Absenderdomäne bereitstellt.
Wie funktionieren DKIM-Replay-Angriffe?
Bei einem DKIM-Wiederholungsangriff können böswillige Personen die Nachsicht von DKIM-Signaturen nutzen, um E-Mail-Empfänger zu täuschen und möglicherweise schädliche Inhalte oder Betrug zu verbreiten.
Wir wollen nun Schritt für Schritt aufschlüsseln, wie ein DKIM-Wiederholungsangriff funktioniert:
DKIM-Signatur-Flexibilität
DKIM erlaubt es, dass die Signaturdomäne (die Domäne, die die E-Mail signiert) von der Domäne abweicht, die in der "Von"-Kopfzeile der E-Mail angegeben ist. Das bedeutet, dass die DKIM-Signatur einer anderen Domäne zugeordnet werden kann, auch wenn eine E-Mail in der Kopfzeile "Von" angibt, von einer bestimmten Domäne zu stammen.
DKIM-Prüfung
Wenn der Server eines E-Mail-Empfängers eine E-Mail mit einer DKIM-Signatur erhält, prüft er die Signatur, um sicherzustellen, dass die E-Mail nicht verändert wurde, seit sie von den Mailservern der Domäne signiert wurde. Wenn die DKIM-Signatur gültig ist, bestätigt sie, dass die E-Mail die Mailserver der signierenden Domäne durchlaufen hat und während der Übertragung nicht manipuliert wurde.
Hoch angesehene Domains ausnutzen
Und genau hier kommt der Angriff ins Spiel. Wenn es einem Angreifer gelingt, ein Postfach zu übernehmen oder zu hacken oder ein Postfach mit einer hoch angesehenen Domäne zu erstellen (was bedeutet, dass sie in den Augen von E-Mail-Servern eine vertrauenswürdige Quelle ist), nutzen sie den Ruf der Domäne zu ihrem Vorteil.
Versenden der ersten E-Mail
Der Angreifer sendet eine einzige E-Mail von seiner hoch angesehenen Domäne an eine andere Mailbox, die er kontrolliert. Diese erste E-Mail könnte harmlos oder sogar legitim sein, um keinen Verdacht zu erregen.
Neuausstrahlung
Nun kann der Angreifer die aufgezeichnete E-Mail verwenden, um dieselbe Nachricht erneut an eine andere Gruppe von Empfängern zu senden, oft an solche, die ursprünglich nicht vom rechtmäßigen Absender gemeint waren. Da die DKIM-Signatur der E-Mail von der renommierten Domäne intakt ist, ist es wahrscheinlicher, dass die E-Mail-Server ihr vertrauen und sie für eine legitime Nachricht halten - und so die Authentifizierungsfilter umgehen.
Schritte zur Verhinderung von DKIM-Replay-Angriffen
Strategien zur Verhinderung von DKIM-Wiedergabeangriffen für E-Mail-Versender:
1. Übersignieren von Kopfzeilen
Um sicherzustellen, dass wichtige Kopfzeilen wie Datum, Betreff, Von, An und CC nach dem Signieren nicht hinzugefügt oder geändert werden können, sollten Sie sie übersignieren. Diese Schutzmaßnahme verhindert, dass böswillige Akteure diese wichtigen Nachrichtenkomponenten manipulieren können.
2. Kurze Verfallszeiten einstellen (x=)
Setzen Sie die Verfallszeit (x=) so kurz wie praktisch möglich an. Dadurch wird das Zeitfenster für Replay-Angriffe verkleinert. Neu angelegte Domains müssen eine noch kürzere Ablaufzeit haben als ältere, da sie anfälliger für Angriffe sind.
3. Verwendung von Zeitstempeln (t=) und Nonces
Zur weiteren Verhinderung von Replay-Angriffen sollten Sie Zeitstempel und Nonces (Zufallszahlen) in die Kopfzeilen oder den Text der E-Mail einfügen. Dies erschwert es Angreifern, dieselbe E-Mail zu einem späteren Zeitpunkt erneut zu versenden, da sich die Werte geändert hätten.
4. Regelmäßige Rotation der DKIM-Schlüssel
Rotieren Sie DKIM-Schlüssel regelmäßig und aktualisieren Sie Ihre DNS-Einträge entsprechend. Dies minimiert die Exposition von langlebigen Schlüsseln, die kompromittiert und für Replay-Angriffe verwendet werden könnten.
Strategien zur Verhinderung von DKIM-Wiedergabeangriffen für E-Mail-Empfänger:
1. Einführung der Ratenbegrenzung
Empfänger können eine Ratenbegrenzung für eingehende E-Mails einführen, um zu verhindern, dass Angreifer Ihr System mit wiederholten E-Mails überschwemmen. Zu diesem Zweck können Sie die Anzahl der E-Mails, die von einem bestimmten Absender innerhalb eines bestimmten Zeitraums akzeptiert werden, begrenzen.
2. Informieren Sie die E-Mail-Empfänger
Klären Sie Ihre E-Mail-Empfänger über die Bedeutung von DKIM auf und fordern Sie sie auf, DKIM-Signaturen bei eingehenden E-Mails zu überprüfen. Dies kann dazu beitragen, die Auswirkungen möglicher Replay-Angriffe auf Ihre Empfänger zu verringern.
3. Maßnahmen zur Netzsicherheit
Implementieren Sie Netzwerksicherheitsmaßnahmen zur Erkennung und Blockierung von Datenverkehr von bekannten bösartigen IP-Adressen und Quellen, die in Replay-Angriffe verwickelt sein könnten.
Wie PowerDMARC DKIM-Wiederholungsangriffe abwehrt
Um das DKIM-Schlüsselmanagement für Domaininhaber einfach und mühelos zu gestalten, haben wir unser umfassendes gehostete DKIM Lösung eingeführt. Wir helfen Ihnen bei der Überwachung Ihres E-Mail-Verkehrs und Ihrer DKIM-Signierungspraktiken, sodass Sie Diskrepanzen schnell erkennen können und Angreifern immer einen Schritt voraus sind.
Die Datensatzoptimierung auf unserem Dashboard erfolgt automatisch, ohne dass Sie mehrmals auf Ihr DNS zugreifen müssen, um manuelle Aktualisierungen vorzunehmen. Stellen Sie mit PowerDMARC auf Automatisierung um, indem Sie Änderungen an Ihren Signaturen vornehmen, mehrere Selektoren handhaben und Ihre DKIM-Schlüssel rotieren, ohne sich mit manueller Arbeit abmühen zu müssen. Registrieren Sie sich noch heute für eine kostenlose Testversion!
