Presentazione di DKIM2: il futuro della sicurezza delle e-mail

Blog

DKIM sta per essere aggiornato. DKIM2 promette di migliorare la sicurezza delle e-mail, risolvendo i limiti del suo predecessore.

di YunesTarada

Ultimo aggiornamento:
5 Tempo di lettura: 5 minuti
Presentazione di DKIM2: il futuro della sicurezza delle e-mail
Indice dei contenuti-

Nota: DKIM2 è attualmente in fase di bozza negli archivi dei documenti dell'IETF e potrebbe subire modifiche in futuro.

DKIM o DomainKeys Identified MailLa versione attuale è stata pubblicata per la prima volta nel 2011, come protocollo di autenticazione delle e-mail che aiutava a firmare i messaggi con firme digitali per autenticare il mittente. DKIM permetteva ai server di posta elettronica di verificare che il messaggio non fosse stato manomesso durante la trasmissione. DKIM è definito da RFC 6376 come un protocollo che "permette a una persona, un ruolo o un'organizzazione che possiede il dominio di firma di rivendicare una certa responsabilità per un messaggio associando il dominio al messaggio".

Nel 2024, DKIM potrebbe avere un nuovo aspetto, chiamato DKIM2! Si prevede che DKIM2 sostituirà presto il vecchio meccanismo di sicurezza delle e-mail (DKIM) con un meccanismo nuovo e aggiornato per una maggiore autenticazione e sicurezza.

I punti chiave da prendere in considerazione

  1. DKIM2 mira a risolvere le debolezze operative dell'attuale protocollo DKIM1, migliorando la sicurezza e l'autenticazione delle e-mail.
  2. Questa versione aggiornata standardizzerà la firma delle intestazioni, riducendo al minimo le scappatoie che gli attori delle minacce possono sfruttare.
  3. DKIM2 previene il backscatter indirizzando le notifiche di mancata consegna all'ultimo server che ha gestito l'e-mail.
  4. Una migliore gestione degli errori e una semplificazione dei bounce contribuiranno a proteggere la privacy dei destinatari e a semplificare la gestione delle e-mail.
  5. Grazie al supporto di più algoritmi crittografici, DKIM2 è a prova di futuro contro le minacce alla sicurezza in continua evoluzione.

La necessità di sostituire il DKIM 

Il meccanismo nascente per DKIM - DKIM1 - è stato delineato per la prima volta in RFC 4871e pubblicato nel 2007. Da allora, nel corso degli anni, sono state scoperte diverse debolezze operative:

1. Problema della modifica dell'intermediario

In diversi casi di inoltro di e-maili server intermediari spesso si prendono la libertà di modificare un'e-mail legittima aggiungendo piè di pagina aggiuntivi o apportando modifiche alla firma. Questo rende la firma DKIM1 originale non verificabile, portando a fallimenti DKIM indesiderati. Le e-mail interessate possono essere potenzialmente segnalate o contrassegnate come spam, nonostante siano legittime.

2. Danno alla reputazione tramite attacchi di replica

In un attacco DKIM replayun attore pericoloso invia nuovamente un'e-mail originariamente autenticata e firmata con una firma DKIM, spacciandola per un messaggio nuovo e autentico. Tuttavia, il messaggio potrebbe essere stato alterato e potrebbe ora essere potenzialmente dannoso. In breve, i malintenzionati possono "riprodurre" le e-mail con firma DKIM, danneggiando la reputazione dei firmatari legittimi.

3. Mancanza di feedback standardizzato

Esistono alcuni meccanismi di feedback informali creati da alcuni sistemi per notificare ai mittenti di posta elettronica l'andamento delle loro e-mail con firma DKIM. Questi meccanismi di feedback aiutano i mittenti a sapere se i loro messaggi vengono consegnati correttamente o segnalati come problematici. Tuttavia, attualmente non esistono regole ufficiali per il funzionamento di questi sistemi di feedback. Questa mancanza di standardizzazione può portare all'invio di feedback non necessari o non utili.

4. Problema di retrodiffusione

Se qualcuno finge di essere il mittente di un'e-mail (falsificandone l'origine) e l'e-mail non può essere consegnata, il sistema invia spesso una "notifica di fallimento". Questo avviso viene definito Delivery Status Notification (DSN). L'avviso raggiunge l'ignara vittima il cui dominio è stato falsificato. Ciò significa che una persona innocente, che non ha nulla a che fare con l'e-mail, riceve una notifica confusa o indesiderata. Questo fenomeno è noto come backscatter.

Semplificate il DKIM2 con PowerDMARC!

Prova di 15 giorniPrenota una demo

Che cos'è il DKIM2?

Si prevede che DKIM2 sia la prossima versione aggiornata di DKIM1, volta a correggere le carenze della versione precedente, come la vulnerabilità agli attacchi di replay, i problemi con l'inoltro della posta e la fornitura di una crittografia migliorata per una migliore autenticazione e successiva protezione. 

Si prevede inoltre che DKIM2 risolva i problemi di firma delle intestazioni, prevenga il backscatter e supporti più algoritmi crittografici per facilitare la migrazione da una versione algoritmica obsoleta a una nuova. 

In che modo DKIM2 potrebbe essere un vantaggio per le aziende?

DKIM2 può superare le capacità di DKIM1 fornendo i seguenti vantaggi chiave: 

Firma dell'intestazione standardizzata

Mentre DKIM1 a volte firma parzialmente le intestazioni, lasciando scappatoie non protette che gli attori delle minacce possono sfruttare, DKIM2 standardizzerà quali intestazioni devono essere firmate. Ciò ridurrà la confusione e garantirà che tutte le intestazioni importanti siano firmate e protette in modo coerente. 

Prevenzione della retrodiffusione

Il problema del DKIM1 che causa backscatter è stato spiegato nella sezione precedente. DKIM2 consentirà di inviare il DSN al server che ha gestito per ultimo l'e-mail, evitando di confondere terze parti innocenti.

Gestione semplificata degli errori

DKIM2 aumenta la sicurezza e l'efficienza delle e-mail migliorando la gestione dei bounce e degli errori. Assicura che i messaggi di rimbalzo seguano il percorso corretto, proteggendo la privacy dei destinatari e aiutando gli intermediari, come i provider di servizi e-mail e le mailing list, a tracciare e gestire facilmente i problemi di consegna. Inoltre, DKIM2 consente alle mailing list e ai gateway di sicurezza di registrare e annullare le modifiche apportate, semplificando la verifica e individuando i tentativi di manomissione.

Affrontare gli attacchi DKIM Replay 

Sappiamo già che un'e-mail valida firmata DKIM può essere reinviata, cioè "riprodotta" a molti destinatari, senza essere individuata. DKIM2 potrebbe finalmente risolvere questo problema introducendo timestamp e intestazioni specifiche per il destinatario, rendendo più facile individuare e prevenire gli attacchi di email replay. Inoltre, riconoscerà anche i messaggi duplicati, individuando i responsabili.

Destrezza algoritmica

DKIM2 supporterà una vasta gamma di algoritmi crittografici, come RSA, curva ellittica e forse post-quantum. Questo garantirà flessibilità e sicurezza per il futuro. L'aspetto positivo del supporto di una gamma così diversificata di algoritmi è che se uno dei precedenti diventa obsoleto, la migrazione sarà facile.

La documentazione dell'IETF spiega che, nella remota possibilità che durante il processo di analisi crittografica un algoritmo venga deprecato o fallisca, l'altro dovrebbe passare. Per rendere questo possibile, gli sviluppatori di DKIM2 stanno adottando un approccio graduale per passare dagli algoritmi potenzialmente deprecati, includendo più di una firma in una singola intestazione di firma DKIM2. I sistemi che supportano l'analisi di entrambe le firme DKIM2 richiederanno che entrambe siano valide e corrette, altrimenti la posta verrà rifiutata.

Riduzione al minimo dei calcoli crittografici

DKIM2 è stato progettato per semplificare e ridurre al minimo la quantità di calcoli crittografici necessari per verificare l'autenticità del contenuto dei messaggi durante i controlli DKIM. I principali provider di caselle di posta elettronica hanno un gran numero di firme DKIM aggiunte ai messaggi in arrivo. Durante la crittoanalisi, DKIM2 verificherà solo la prima firma DKIM2 nel caso in cui il messaggio non sia stato alterato da alcun intermediario, mentre attualmente DKIM1 controlla tutte le firme DKIM. Questo introdurrà un processo più efficace e veloce per i calcoli crittografici.

Sintesi

Per riassumere i punti chiave della bozza dell'IETF, il protocollo DKIM2 mira a superare diversi inconvenienti dell'attuale versione del protocollo DKIM1, rendendo la gestione delle firme semplice, sicura e più efficace. Si prevede inoltre che migliorerà le funzionalità di reporting e standardizzerà i cicli di feedback, aiutando le aziende a rimanere al corrente più che mai! Speriamo di assistere presto al lancio ufficiale, per consentire alle aziende di sfruttare al meglio l'autenticazione DKIM. 

Per assistenza sull'implementazione del DKIM e sulla gestione delle chiavi, contattateci oggi stesso!

Ultimi messaggi di Yunes Tarada (vedi tutti)
Ultimo aggiornamento:
Le 10 migliori alternative e concorrenti di MxToolbox8 rischi per la sicurezza degli account di posta elettronica condivisi