Opmerking: DKIM2 is momenteel in concept in de documentarchieven van de IETF en kan in de toekomst worden gewijzigd.
DKIM of DomainKeys Identified MailDe huidige versie werd voor het eerst gepubliceerd in 2011, als een e-mailverificatieprotocol dat hielp bij het ondertekenen van berichten met digitale handtekeningen om de afzender te verifiëren. Met DKIM konden e-mailservers controleren of er tijdens de verzending niet met het bericht was geknoeid. DKIM is gedefinieerd onder RFC 6376 als een protocol dat "staat een persoon, rol of organisatie die eigenaar is van het ondertekeningsdomein toe om enige verantwoordelijkheid voor een bericht op te eisen door het domein met het bericht te associëren."
In 2024 kan DKIM een gloednieuw uiterlijk hebben, genaamd DKIM2! DKIM2 zal naar verwachting binnenkort het oude e-mailbeveiligingsmechanisme (DKIM) vervangen door een nieuw en bijgewerkt mechanisme voor verbeterde verificatie en beveiliging.
De noodzaak om DKIM te vervangen
Het opkomende mechanisme voor DKIM - DKIM1 werd voor het eerst beschreven in RFC 4871en gepubliceerd in 2007. Sindsdien zijn er in de loop der jaren verschillende operationele zwakheden ontdekt:
1. Intermediair Wijzigingsprobleem
In verschillende gevallen van e-mail doorsturennemen tussenliggende servers vaak de vrijheid om een legitieme e-mail aan te passen door extra voetteksten toe te voegen of wijzigingen in de handtekening aan te brengen. Hierdoor wordt de originele DKIM1 handtekening oncontroleerbaar, wat leidt tot ongewenste DKIM mislukkingen. De betreffende e-mails kunnen worden gemarkeerd als spam, ondanks dat ze legitiem zijn.
2. Reputatieschade via herhalingsaanvallen
In een DKIM replay-aanvalverstuurt een bedreigende actor een e-mail die oorspronkelijk was geverifieerd en ondertekend met een DKIM-handtekening opnieuw en doet zich voor als een nieuw en authentiek bericht. Het bericht kan echter zijn gewijzigd en kan nu potentieel schadelijk zijn. Kortom, kwaadwillende actoren kunnen DKIM-ondertekende e-mails "replayen" en zo de reputatie van legitieme ondertekenaars schaden.
3. Gebrek aan gestandaardiseerde feedback
Er zijn bepaalde informele feedbackmechanismen gecreëerd door sommige systemen om e-mailverzenders te informeren over hoe goed hun DKIM-ondertekende e-mails presteren. Deze feedback helpt afzenders om te weten of hun berichten goed worden afgeleverd of als problematisch worden gemarkeerd. Er zijn momenteel echter geen officiële regels voor hoe deze feedbacksystemen moeten werken. Dit gebrek aan standaardisatie kan ertoe leiden dat feedback onnodig of nutteloos wordt verzonden.
4. Backscatter probleem
Als iemand de afzender van een e-mail vervalst (de herkomst vervalst) en de e-mail kan niet worden afgeleverd, stuurt het systeem vaak een "foutmelding". Deze melding wordt een "Delivery Status Notification" of DSN genoemd. De melding bereikt het nietsvermoedende slachtoffer wiens domein werd vervalst. Dit betekent dat een onschuldig persoon, die niets met de e-mail te maken had, een verwarrende of ongewenste melding krijgt. Dit fenomeen staat bekend als backscatter.
Wat is DKIM2?
DKIM2 is naar verwachting de komende bijgewerkte versie van DKIM1 en is bedoeld om de tekortkomingen van de vorige versie te verhelpen, zoals de kwetsbaarheid voor replay-aanvallen, problemen met het doorsturen van mail en het bieden van verbeterde cryptografie voor betere authenticatie en daaropvolgende bescherming.
DKIM2 zal naar verwachting ook problemen met ondertekening van headers oplossen, backscatter voorkomen en meerdere cryptografische algoritmen ondersteunen voor eenvoudige migratie van een verouderde algoritmische versie naar een nieuwe.
Hoe kan DKIM2 een voordeel zijn voor bedrijven?
DKIM2 kan de mogelijkheden van DKIM1 overtreffen door de volgende belangrijke voordelen te bieden:
Gestandaardiseerde koppen ondertekenen
Terwijl DKIM1 headers soms gedeeltelijk ondertekent, waardoor er onbeveiligde mazen in de wet blijven waar bedreigingsactoren misbruik van kunnen maken, zal DKIM2 standaardiseren welke headers moeten worden ondertekend. Dit vermindert verwarring en zorgt ervoor dat alle belangrijke headers consistent worden ondertekend en beveiligd.
Preventie van verstrooiing
Het probleem met DKIM1 dat backscatter veroorzaakt is uitgelegd in het gedeelte hierboven. Met DKIM2 kan DSN worden verzonden naar de server die als laatste de e-mail heeft afgehandeld, waardoor verwarring voor onschuldige derde partijen wordt voorkomen.
Vereenvoudigde foutafhandeling
DKIM2 verbetert de beveiliging en efficiëntie van e-mail door de manier waarop bounces en fouten worden afgehandeld te verbeteren. Het zorgt ervoor dat bounce-berichten het juiste pad volgen, beschermt de privacy van de ontvanger en helpt tussenpersonen, zoals e-mailserviceproviders en mailinglijsten, om afleverproblemen eenvoudig op te sporen en te beheren. Daarnaast stelt DKIM2 mailinglijsten en beveiligingsgateways in staat om wijzigingen die ze aanbrengen te registreren en terug te draaien, waardoor verificatie wordt vereenvoudigd en pogingen tot knoeien worden ontdekt.
DKIM herhalingsaanvallen aanpakken
We weten al dat een geldige DKIM-ondertekende e-mail opnieuw kan worden verzonden - dat wil zeggen "gereplayed" naar veel ontvangers, zonder dat dit wordt opgemerkt. DKIM2 kan dit probleem eindelijk oplossen door tijdstempels en ontvangerspecifieke headers te introduceren, waardoor het makkelijker wordt om e-mail replay-aanvallen te detecteren en te voorkomen. Bovendien zal het ook gedupliceerde berichten herkennen en bijhouden wie verantwoordelijk is.
Algoritmische behendigheid
DKIM2 zal een groot aantal cryptografische algoritmen ondersteunen, zoals RSA, elliptische curve en mogelijk post-kwantum. Dit zorgt voor flexibiliteit en toekomstbestendigheid. De positieve kant van het ondersteunen van zo'n divers scala aan algoritmen is dat als een vorig algoritme verouderd raakt, migratie eenvoudig zal zijn.
De documentatie van de IETF legt uit dat in het onwaarschijnlijke geval dat tijdens het cryptografische analyseproces één algoritme verouderd raakt of faalt, het andere algoritme zou moeten slagen. Om dit mogelijk te maken, kiezen de DKIM2 ontwikkelaars voor een gefaseerde aanpak om over te schakelen van mogelijk afgeschreven algoritmen door meer dan één handtekening op te nemen in een enkele DKIM2 handtekeningkop. Systemen die de analyse van beide DKIM2 handtekeningen ondersteunen, vereisen dat beide geldig en correct zijn, anders wordt de mail geweigerd.
Crypto-berekeningen minimaliseren
DKIM2 zal naar verwachting de hoeveelheid cryptografische berekeningen vereenvoudigen en minimaliseren die nodig zijn om de authenticiteit van berichtinhoud te verifiëren tijdens DKIM-controles. Grote postbus providers hebben een groot aantal DKIM handtekeningen toegevoegd aan inkomende berichten. Tijdens de cryptoanalyse zal DKIM2 alleen de eerste DKIM2 handtekening controleren als het bericht niet is gewijzigd door tussenpersonen, terwijl DKIM1 momenteel alle DKIM handtekeningen controleert. Dit introduceert een effectiever en sneller proces voor cryptografische berekeningen.
Samenvatting
Om de belangrijkste punten uit het ontwerp van de IETF samen te vatten: het DKIM2 protocol is bedoeld om verschillende nadelen van de huidige DKIM1 protocolversie te omzeilen, waardoor het verwerken van handtekeningen eenvoudig, veilig en effectiever wordt. Er wordt ook verwacht dat het de rapportagemogelijkheden zal verbeteren en feedbacklussen zal standaardiseren - waardoor bedrijven meer dan ooit op de hoogte blijven! Hopelijk zullen we de officiële uitrol snel meemaken, zodat bedrijven het meeste uit hun DKIM authenticatie kunnen halen.
Voor hulp bij DKIM-implementatie en sleutelbeheer, neem vandaag nog contact met ons op!
- Yahoo Japan dwingt DMARC af voor gebruikers in 2025 - 17 januari 2025
- MikroTik-botnet maakt gebruik van SPF-foutconfiguraties om malware te verspreiden - 17 januari 2025
- DMARC niet-geverifieerde e-mail is verboden [OPGELOST] - 14 januari 2025