DKIM è un aspetto cruciale dell'autenticazione delle e-mail che utilizza la crittografia sotto forma di firme digitali per firmare i messaggi inviati da un dominio. Ciò garantisce che le e-mail provenienti da una fonte autorizzata non vengano alterate prima di raggiungere il destinatario, attenuando così le minacce di impersonificazione.
In un attacco DKIM replay, un aggressore intercetta un messaggio di posta elettronica legittimo con firma DKIM e lo reinvia più volte al destinatario previsto o a un bersaglio diverso senza apportare alcuna modifica al contenuto o alla firma del messaggio. L'obiettivo di questo attacco è sfruttare la fiducia instaurata dalla firma DKIM. firma DKIM per far credere al destinatario di ricevere più copie dello stesso messaggio legittimo.
Che cos'è un attacco DKIM Replay?
Un attacco DKIM replay è un cyberattacco in cui un attore di minacce intercetta un'e-mail firmata e attendibile utilizzando DKIM e poi reinvia o "riproduce" la stessa e-mail per ingannare il destinatario e fargli credere che si tratti di un nuovo messaggio attendibile, anche se potrebbe essere alterato o dannoso.
Prima di analizzare l'anatomia di un attacco replay DKIM e di discutere le strategie di mitigazione, parliamo di come funziona il DKIM:
Come fa il DKIM ad autenticare le e-mail?
DKIM (DomainKeys Identified Mail) è un metodo di autenticazione delle e-mail che aiuta a verificare l'autenticità dei messaggi di posta elettronica e a rilevare i tentativi di spoofing e phishing. Il DKIM aggiunge una firma digitale al messaggio di posta elettronica presso il server di invio, che può essere verificata dal server di posta elettronica del destinatario per garantire che il messaggio non sia stato manomesso durante il transito.
DKIM opera sfruttando i seguenti processi:
1. Firma dei messaggi: Quando un messaggio di posta elettronica viene inviato da un dominio che utilizza DKIM, il server di posta che lo invia genera una firma crittografica unica per il messaggio. Questa firma si basa sul contenuto dell'e-mail (intestazione e corpo) e su alcuni campi specifici dell'intestazione, come l'indirizzo "Da" e il campo "Data". Il processo di firma prevede in genere l'utilizzo di una chiave privata.
2. Pubblicazione della chiave pubblica: Il dominio mittente pubblica una chiave pubblica DKIM nei suoi record DNS (Domain Name System). Questa chiave pubblica viene utilizzata dal server di posta elettronica del destinatario per verificare la firma.
3. Trasmissione del messaggio: Il messaggio e-mail, ora contenente la firma DKIM, viene trasmesso via Internet al server e-mail del destinatario.
4. Verifica: Quando il server di posta elettronica del destinatario riceve l'e-mail, recupera la firma DKIM dalle intestazioni dell'e-mail e cerca la chiave DKIM pubblica del mittente nei record DNS del dominio del mittente.
Se la firma corrisponde al contenuto dell'e-mail, il destinatario può essere ragionevolmente certo che l'e-mail non sia stata manomessa durante il trasporto e che provenga effettivamente dal dominio del mittente dichiarato.
5. Passare o non passare: In base all'esito del processo di verifica, il server del destinatario può contrassegnare l'e-mail come DKIM-verificato o DKIM-fallito.
DKIM aiuta a prevenire vari attacchi basati sulle e-mail, come il phishing e lo spoofing, fornendo un meccanismo per verificare l'autenticità del dominio del mittente.
Come funzionano gli attacchi DKIM Replay?
In un attacco DKIM replay, i malintenzionati possono sfruttare l'indulgenza delle firme DKIM per ingannare i destinatari delle e-mail e potenzialmente diffondere contenuti dannosi o truffe.
Vediamo come funziona un attacco replay DKIM, passo dopo passo:
Flessibilità della firma DKIM
DKIM consente al dominio della firma (il dominio che firma l'e-mail) di essere diverso dal dominio indicato nell'intestazione "Da" dell'e-mail. Ciò significa che anche se un'e-mail dichiara di provenire da un particolare dominio nell'intestazione "Da", la firma DKIM può essere associata a un dominio diverso.
Verifica DKIM
Quando il server di un destinatario di posta elettronica riceve un'e-mail con una firma DKIM, controlla la firma per assicurarsi che l'e-mail non sia stata alterata da quando è stata firmata dai server di posta del dominio. Se la firma DKIM è valida, conferma che l'e-mail è passata attraverso i server di posta del dominio firmatario e non è stata manomessa durante il transito.
Sfruttare i domini di alta reputazione
È qui che entra in gioco l'attacco. Se un aggressore riesce a impossessarsi o a violare una casella di posta elettronica o a creare una casella di posta elettronica con un dominio molto rinomato (ovvero una fonte affidabile agli occhi dei server di posta elettronica), può sfruttare la reputazione del dominio a proprio vantaggio.
Invio dell'e-mail iniziale
L'aggressore invia una singola e-mail dal proprio dominio ad alta reputazione a un'altra casella di posta elettronica che controlla. Questa e-mail iniziale potrebbe essere innocua o addirittura legittima per evitare sospetti.
Ritrasmissione
A questo punto, l'aggressore può utilizzare l'e-mail registrata per ritrasmettere lo stesso messaggio a una serie diversa di destinatari, spesso non previsti dal mittente legittimo. Poiché l'e-mail ha la firma DKIM intatta del dominio ad alta reputazione, è più probabile che i server di posta elettronica si fidino, pensando che si tratti di un messaggio legittimo, aggirando così i filtri di autenticazione.
Passi per prevenire gli attacchi DKIM Replay
Strategie di prevenzione degli attacchi replay DKIM per i mittenti di e-mail:
1. Sovrascrittura delle intestazioni
Per garantire che intestazioni chiave come Data, Oggetto, Da, A e CC non possano essere aggiunte o modificate dopo la firma, si consiglia di sovrafirmarle. Questa salvaguardia impedisce ai malintenzionati di manomettere questi componenti critici dei messaggi.
2. Impostazione di tempi di scadenza brevi (x=)
Implementare un tempo di scadenza (x=) il più breve possibile. In questo modo si riduce la finestra di opportunità per gli attacchi di replay. I domini di nuova creazione devono avere un tempo di scadenza ancora più breve di quelli più vecchi, poiché sono più vulnerabili agli attacchi.
3. Impiego di timestamp (t=) e nonce
Per prevenire ulteriormente gli attacchi replay, includete timestamp e nonce (numeri casuali) nelle intestazioni o nel corpo dell'e-mail. In questo modo è difficile per gli aggressori inviare nuovamente lo stesso messaggio di posta elettronica in un momento successivo, perché i valori sarebbero cambiati.
4. Rotazione periodica delle chiavi DKIM
Ruotare le chiavi DKIM regolarmente e aggiornare i record DNS di conseguenza. In questo modo si riduce al minimo l'esposizione di chiavi a lunga durata che potrebbero essere compromesse e utilizzate in attacchi replay.
Strategie di prevenzione degli attacchi replay DKIM per i ricevitori di e-mail:
1. Implementazione della limitazione della velocità
I ricevitori possono implementare la limitazione della velocità dei messaggi di posta elettronica in entrata per evitare che gli aggressori inondino il sistema con messaggi di posta elettronica riprodotti. A tal fine, è possibile impostare limiti sul numero di e-mail accettate da un mittente specifico in un determinato arco di tempo.
2. Educare i destinatari delle e-mail
Istruite i vostri destinatari di e-mail sull'importanza del DKIM e incoraggiateli a verificare le firme DKIM sulle e-mail in arrivo. Questo può contribuire a ridurre l'impatto di potenziali attacchi di replay sui vostri destinatari.
3. Misure di sicurezza della rete
Implementare misure di sicurezza della rete per rilevare e bloccare il traffico proveniente da indirizzi IP e fonti note come dannose che potrebbero essere coinvolte in attacchi replay.
Come PowerDMARC aiuta a mitigare gli attacchi replay DKIM
Per rendere la gestione delle chiavi DKIM semplice e agevole per i proprietari di domini, abbiamo introdotto il nostro servizio completo di soluzione DKIM ospitata in hosting. Vi aiutiamo a monitorare i flussi di e-mail e le pratiche di firma DKIM in modo da poter individuare rapidamente le discrepanze, rimanendo sempre un passo avanti agli aggressori.
L'ottimizzazione dei record sul nostro dashboard è automatica, senza la necessità di accedere più volte al vostro DNS per gli aggiornamenti manuali. Passate all'automazione con PowerDMARC apportando modifiche alle vostre firme, gestendo più selettori e ruotando le vostre chiavi DKIM senza il fastidio della fatica manuale. Iscrivetevi oggi stesso per effettuare una prova gratuita!
