La etiqueta DKIM l= ("L" minúscula) en DKIM es una etiqueta opcional que especifica la longitud del cuerpo del mensaje que debe ser firmado. Esto puede considerarse una vulnerabilidad de DKIM, ya que la etiqueta l= permite la firma parcial del cuerpo del mensaje. Esto puede facilitar que los actores de amenazas se aprovechen de los mensajes firmados por DKIM.
Exploremos cómo DKIM y por qué no recomendamos utilizar la etiqueta DKIM l= en su firma DKIM.
Finalidad de las limitaciones de longitud del cuerpo DKIM (etiqueta l=)
DKIM (DomainKeys Identified Mail) es un protocolo de autenticación de correo electrónico que garantiza que el contenido de sus mensajes no ha sido alterado durante el tránsito. Permite al receptor verificar que un correo electrónico ha sido efectivamente enviado y autorizado por el propietario de ese dominio.
Cuando los servidores intermediarios reenvían sus mensajes, pueden cambiar el cuerpo del mensaje. Pueden añadir información adicional en el pie de página o en el contenido del mensaje. La etiqueta DKIM l se introdujo para evitar que sus mensajes legítimos fallaran en DKIM, en caso de que el contenido fuera modificado durante el reenvío o por listas de correo.
Funcionamiento de la etiqueta DKIM l
- Especificación de la longitud: La dirección l= va seguida de un número entero que indica el número de bytes del cuerpo del mensaje cubiertos por la firma DKIM.
- Firma parcial del cuerpo: Al especificar una longitud, sólo los primeros 'n' bytes del cuerpo se incluyen en el hash utilizado para generar la firma DKIM. Cualquier modificación del cuerpo más allá de esta longitud no afectará a la verificación de la firma DKIM.
Ejemplo: Firma DKIM con la vulnerabilidad l-Tag DKIM
Considere un correo electrónico cuyo cuerpo tiene 1000 bytes, pero sólo los primeros 500 bytes están firmados:
En este ejemplo, los valores l=500 indica que sólo los primeros 500 bytes del cuerpo del correo electrónico se incluyen en la firma DKIM.
Sin embargo, el principal registrador de dominios de Europa, El equipo de analistas de Zone.eu ha descubierto una grave vulnerabilidad relacionada con la etiqueta l de la firma DKIM. Más allá de sus ventajas en los escenarios de reenvío de correo, la etiqueta l puede ser fácilmente explotada por los ciberdelincuentes para enviar correos electrónicos de phishing que siguen pasando las comprobaciones DKIM.
DKIM l= Vulnerabilidad de la etiqueta
No recomendamos utilizar la etiqueta DKIM l=, ya que puede debilitar su postura de seguridad, dejando su dominio vulnerable a ataques incluso con la autenticación de correo electrónico configurada.
Un atacante puede cambiar el contenido del cuerpo de su mensaje y adjuntar archivos maliciosos o enlaces en la sección sin firmar del correo electrónico que está más allá del alcance de bytes definido en su etiqueta "l". Cuando este correo electrónico llegue a su destinatario, pasará la verificación DKIM. Posteriormente, si tiene DMARC activado para su dominio, también pasará.
Su destinatario puede abrir este correo electrónico, confiando en su nombre de dominio, y ser víctima de otro ataque de phishing. Esto puede causar una grave violación de la privacidad, robo de credenciales y pérdida de confianza en su credibilidad. Si su cliente pierde dinero en el proceso, usted puede incluso ser responsable de proporcionar una compensación económica.
El papel de BIMI en el empeoramiento de esta vulnerabilidad DKIM
BIMI es un protocolo emergente que está ganando popularidad en los sectores de la seguridad y el marketing gracias a su capacidad para añadir logotipos de marca a los correos electrónicos. No hace mucho, los principales proveedores de correo electrónico, como Gmail y Apple Mail, ampliaron la compatibilidad con BIMI para dar a los mensajes un aspecto profesional y mejorar la seguridad mediante verificaciones visuales.
Como los mensajes falsos enviados desde dominios que utilizan la etiqueta DKIM l en su firma pasan las comprobaciones DKIM y DMARC, ¡el logotipo BIMI de la marca también se adjunta a estos correos maliciosos! Ahora, este mensaje falso enviado desde su nombre de dominio no sólo pasa todos los filtros de autenticación, ¡sino que también lleva adjunto el logotipo de su marca! Esto aumenta aún más las posibilidades de que los destinatarios confíen en su credibilidad.
Debido a esta naturaleza potencialmente explotadora de la etiqueta DKIM l=, Gmail desaconsejó encarecidamente su uso en el Centro de asistencia del espacio de trabajo de administración de Google. Esto es lo que Google tiene que decir al respecto:
"Si configuras DKIM con un sistema de correo electrónico distinto de Google Workspace, no utilices la etiqueta de longitud DKIM (l=) en los mensajes salientes. Los mensajes que utilizan esta etiqueta son vulnerables a abusos".
Los riesgos asociados a la etiqueta DKIM l se destacan con más detalle en RFC 6376 sección 8.2 titulada "Uso indebido de los límites de longitud del cuerpo (etiqueta "l=")". La RFC advierte a los usuarios de que especificar la etiqueta l en su firma DKIM puede dar lugar a que los usuarios accedan a contenido de correo electrónico malicioso sin ninguna advertencia. La RFC insta a los firmantes DKIM a extremar las precauciones en presencia de esta etiqueta y también predica a los servidores de evaluación que ignoren por completo las firmas DKIM con una etiqueta l= especificada.
Compruebe su firma DKIM en busca de vulnerabilidades l-Tag DKIM
Es esencial determinar primero si su dominio es vulnerable. Para ello hemos enumerado a continuación algunos métodos que puede utilizar:
Método manual: Comprobación de cabeceras de firma DKIM originales
1. Envíate un correo electrónico en blanco a ti mismo (en este caso estamos tomando el ejemplo de un usuario de Gmail)
2. Abra este correo electrónico.
3. Vaya a "más opciones", que se indica con tres puntos en la esquina superior derecha.
4. Haga clic en "Mostrar original".
5. En la página Mensaje original, desplácese hacia abajo para ver las cabeceras sin procesar.
6. Vaya a la sección "DKIM-Signature:" y analice la sintaxis. Si ves que la etiqueta DKIM l= está presente en la cabecera de la firma DKIM, tu dominio es vulnerable. Si no está, no hay ningún problema y no es necesario tomar ninguna medida.
Método automatizado: Utilizar una herramienta de análisis de cabeceras de correo electrónico
1. Regístrese en PowerDMARC para realizar una prueba gratuita. 2. Vaya a Herramientas de análisis > MailAuth Analyzer.
2. Copia la dirección de correo electrónico generada automáticamente y pégala como destinatario de un nuevo correo de prueba en tu cuenta de Gmail. 3. Envía el correo de prueba.
3. Ahora vuelva al portal y actualice la página. Haga clic en el icono "ver" de la sección Acciones para examinar los resultados.
4. Producimos instantáneamente un informe agregado con información sobre sus configuraciones DKIM, SPF y DMARC, ¡y mucho más!
5. Puede desplazarse hacia abajo para ver el encabezado de su firma DKIM en formatos sin procesar y procesado. Aquí podrá determinar si su firma tiene la etiqueta l= presente. Si está presente, es necesario tomar medidas para eliminar esta vulnerabilidad.
Ejemplo: Una firma DKIM sin la vulnerabilidad DKIM l-Tag
Prevención de vulnerabilidades DKIM: ¿Cuáles son las mejores prácticas de DKIM?
Si desea sacar el máximo partido a su protocolo DKIM, aquí tiene algunos consejos que le recomiendan nuestros expertos:
- Evite utilizar la etiqueta DKIM l= en su cabecera de firma DKIM.
- Póngase en contacto con su proveedor de servicios de correo electrónico para que le proporcione nuevas claves públicas DKIM (sin la etiqueta l=) y las añada a sus DNS.
- Rote sus claves DKIM periódicamente para asegurarse de que las claves antiguas con la vulnerabilidad l-tag pueden ser sustituidas por nuevas claves sin esta vulnerabilidad.
- Puede utilizar claves DKIM potentes, como claves de 2048 bits, en lugar de 1024 bits, para reforzar la seguridad de su correo electrónico DKIM.
- Utilice un DKIM alojado para gestionar sus selectores y claves DKIM, y supervisar los resultados de autenticación DKIM desde un único panel centralizado.
- Cree sus claves DKIM utilizando un generador DKIM automático. Esto te ayudará a evitar errores de sintaxis que son fáciles de pasar por alto.
Protocolos complementarios a DKIM
Para aumentar la eficacia de DKIM, puede aplicar los siguientes protocolos (junto con una recomendación adicional al final):
- Utilice ARC (cadena de recepción autenticada) para garantizar que los correos electrónicos legítimos pasen las comprobaciones de autenticación incluso cuando se reenvían o cuando se utilizan listas de correo. Esto anula automáticamente la necesidad de la etiqueta DKIM l=. ARC conserva automáticamente las cabeceras originales del mensaje para evitar falsos negativos.
- Configure mecanismos alternativos como SPF y DMARC para aumentar la precisión de la autenticación y la seguridad general.
- Activar Informes DMARC para realizar un seguimiento de sus canales de correo electrónico y fuentes de envío. Los informes DMARC pueden ayudarte a detectar direcciones IP y remitentes maliciosos para que puedas tomar medidas contra ellos rápidamente.
Siguiendo estas buenas prácticas, las organizaciones pueden mejorar significativamente la seguridad de su correo electrónico y proteger la reputación de su dominio. Aunque la etiqueta l= puede proporcionar flexibilidad a la hora de gestionar correos electrónicos que podrían alterarse en tránsito, puede debilitar la seguridad de su dominio. Por lo tanto, nosotros, junto con varios proveedores de correo electrónico, expertos del sector y organizaciones, no la recomendamos. Para saber más sobre seguridad de dominios y servicios de autenticación de correo electrónico, póngase en contacto hoy mismo.
- Qué es el reenvío de DNS y sus 5 principales ventajas - 24 de noviembre de 2024
- DMARC será obligatorio para el sector de las tarjetas de pago a partir de 2025 - 22 de noviembre de 2024
- La vida después de p=reject: Por qué su viaje DMARC está lejos de terminar - 22 de noviembre de 2024