Nota: DKIM2 è attualmente in fase di bozza negli archivi dei documenti dell'IETF e potrebbe subire modifiche in futuro.
DKIM o DomainKeys Identified MailLa versione attuale è stata pubblicata per la prima volta nel 2011, come protocollo di autenticazione delle e-mail che aiutava a firmare i messaggi con firme digitali per autenticare il mittente. DKIM permetteva ai server di posta elettronica di verificare che il messaggio non fosse stato manomesso durante la trasmissione. DKIM è definito da RFC 6376 come un protocollo che "permette a una persona, un ruolo o un'organizzazione che possiede il dominio di firma di rivendicare una certa responsabilità per un messaggio associando il dominio al messaggio".
Nel 2024, DKIM potrebbe avere un nuovo aspetto, chiamato DKIM2! Si prevede che DKIM2 sostituirà presto il vecchio meccanismo di sicurezza delle e-mail (DKIM) con un meccanismo nuovo e aggiornato per una maggiore autenticazione e sicurezza.
La necessità di sostituire il DKIM
Il meccanismo nascente per DKIM - DKIM1 - è stato delineato per la prima volta in RFC 4871e pubblicato nel 2007. Da allora, nel corso degli anni, sono state scoperte diverse debolezze operative:
1. Problema della modifica dell'intermediario
In diversi casi di inoltro di e-maili server intermediari spesso si prendono la libertà di modificare un'e-mail legittima aggiungendo piè di pagina aggiuntivi o apportando modifiche alla firma. Questo rende la firma DKIM1 originale non verificabile, portando a fallimenti DKIM indesiderati. Le e-mail interessate possono essere potenzialmente segnalate o contrassegnate come spam, nonostante siano legittime.
2. Danno alla reputazione tramite attacchi di replica
In un attacco DKIM replayun attore pericoloso invia nuovamente un'e-mail originariamente autenticata e firmata con una firma DKIM, spacciandola per un messaggio nuovo e autentico. Tuttavia, il messaggio potrebbe essere stato alterato e potrebbe ora essere potenzialmente dannoso. In breve, i malintenzionati possono "riprodurre" le e-mail con firma DKIM, danneggiando la reputazione dei firmatari legittimi.
3. Mancanza di feedback standardizzato
Esistono alcuni meccanismi di feedback informali creati da alcuni sistemi per notificare ai mittenti di posta elettronica l'andamento delle loro e-mail con firma DKIM. Questi meccanismi di feedback aiutano i mittenti a sapere se i loro messaggi vengono consegnati correttamente o segnalati come problematici. Tuttavia, attualmente non esistono regole ufficiali per il funzionamento di questi sistemi di feedback. Questa mancanza di standardizzazione può portare all'invio di feedback non necessari o non utili.
4. Problema di retrodiffusione
Se qualcuno finge di essere il mittente di un'e-mail (falsificandone l'origine) e l'e-mail non può essere consegnata, il sistema invia spesso una "notifica di fallimento". Questo avviso viene definito Delivery Status Notification (DSN). L'avviso raggiunge l'ignara vittima il cui dominio è stato falsificato. Ciò significa che una persona innocente, che non ha nulla a che fare con l'e-mail, riceve una notifica confusa o indesiderata. Questo fenomeno è noto come backscatter.
Che cos'è il DKIM2?
Si prevede che DKIM2 sia la prossima versione aggiornata di DKIM1, volta a correggere le carenze della versione precedente, come la vulnerabilità agli attacchi di replay, i problemi con l'inoltro della posta e la fornitura di una crittografia migliorata per una migliore autenticazione e successiva protezione.
Si prevede inoltre che DKIM2 risolva i problemi di firma delle intestazioni, prevenga il backscatter e supporti più algoritmi crittografici per facilitare la migrazione da una versione algoritmica obsoleta a una nuova.
In che modo DKIM2 potrebbe essere un vantaggio per le aziende?
DKIM2 può superare le capacità di DKIM1 fornendo i seguenti vantaggi chiave:
Firma dell'intestazione standardizzata
Mentre DKIM1 a volte firma parzialmente le intestazioni, lasciando scappatoie non protette che gli attori delle minacce possono sfruttare, DKIM2 standardizzerà quali intestazioni devono essere firmate. Ciò ridurrà la confusione e garantirà che tutte le intestazioni importanti siano firmate e protette in modo coerente.
Prevenzione della retrodiffusione
Il problema del DKIM1 che causa backscatter è stato spiegato nella sezione precedente. DKIM2 consentirà di inviare il DSN al server che ha gestito per ultimo l'e-mail, evitando di confondere terze parti innocenti.
Gestione semplificata degli errori
DKIM2 aumenta la sicurezza e l'efficienza delle e-mail migliorando la gestione dei bounce e degli errori. Assicura che i messaggi di rimbalzo seguano il percorso corretto, proteggendo la privacy dei destinatari e aiutando gli intermediari, come i provider di servizi e-mail e le mailing list, a tracciare e gestire facilmente i problemi di consegna. Inoltre, DKIM2 consente alle mailing list e ai gateway di sicurezza di registrare e annullare le modifiche apportate, semplificando la verifica e individuando i tentativi di manomissione.
Affrontare gli attacchi DKIM Replay
Sappiamo già che un'e-mail valida firmata DKIM può essere reinviata, cioè "riprodotta" a molti destinatari, senza essere individuata. DKIM2 potrebbe finalmente risolvere questo problema introducendo timestamp e intestazioni specifiche per il destinatario, rendendo più facile individuare e prevenire gli attacchi di email replay. Inoltre, riconoscerà anche i messaggi duplicati, individuando i responsabili.
Destrezza algoritmica
DKIM2 supporterà una vasta gamma di algoritmi crittografici, come RSA, curva ellittica e forse post-quantum. Questo garantirà flessibilità e sicurezza per il futuro. L'aspetto positivo del supporto di una gamma così diversificata di algoritmi è che se uno dei precedenti diventa obsoleto, la migrazione sarà facile.
La documentazione dell'IETF spiega che, nella remota possibilità che durante il processo di analisi crittografica un algoritmo venga deprecato o fallisca, l'altro dovrebbe passare. Per rendere questo possibile, gli sviluppatori di DKIM2 stanno adottando un approccio graduale per passare dagli algoritmi potenzialmente deprecati, includendo più di una firma in una singola intestazione di firma DKIM2. I sistemi che supportano l'analisi di entrambe le firme DKIM2 richiederanno che entrambe siano valide e corrette, altrimenti la posta verrà rifiutata.
Riduzione al minimo dei calcoli crittografici
DKIM2 è stato progettato per semplificare e ridurre al minimo la quantità di calcoli crittografici necessari per verificare l'autenticità del contenuto dei messaggi durante i controlli DKIM. I principali provider di caselle di posta elettronica hanno un gran numero di firme DKIM aggiunte ai messaggi in arrivo. Durante la crittoanalisi, DKIM2 verificherà solo la prima firma DKIM2 nel caso in cui il messaggio non sia stato alterato da alcun intermediario, mentre attualmente DKIM1 controlla tutte le firme DKIM. Questo introdurrà un processo più efficace e veloce per i calcoli crittografici.
Sintesi
Per riassumere i punti chiave della bozza dell'IETF, il protocollo DKIM2 mira a superare diversi inconvenienti dell'attuale versione del protocollo DKIM1, rendendo la gestione delle firme semplice, sicura e più efficace. Si prevede inoltre che migliorerà le funzionalità di reporting e standardizzerà i cicli di feedback, aiutando le aziende a rimanere al corrente più che mai! Speriamo di assistere presto al lancio ufficiale, per consentire alle aziende di sfruttare al meglio l'autenticazione DKIM.
Per assistenza sull'implementazione del DKIM e sulla gestione delle chiavi, contattateci oggi stesso!
- Yahoo Japan raccomanda l'adozione del DMARC per gli utenti nel 2025 - 17 gennaio 2025
- La botnet MikroTik sfrutta le errate configurazioni SPF per diffondere il malware - 17 gennaio 2025
- La posta non autenticata DMARC è proibita [RISOLTO] - 14 gennaio 2025