• Wat zijn DKIM Replay-aanvallen en hoe kan ik me ertegen beschermen?

Wat zijn DKIM Replay-aanvallen en hoe kan ik me ertegen beschermen?

Blog

Bij een DKIM replay-aanval kan een aanvaller een DKIM-ondertekend bericht opnieuw verzenden naar meerdere ontvangers en daarbij gebruikmaken van de reputatie van het oorspronkelijke domein.

door Ahona Rudra

Leestijd: 5 min
Wat zijn DKIM Replay-aanvallen en hoe kan ik me ertegen beschermen?
Inhoudsopgave-

DKIM is een cruciaal aspect van e-mailverificatie dat gebruikmaakt van cryptografie in de vorm van digitale handtekeningen om berichten te ondertekenen die vanaf een domein worden verzonden. Dit zorgt er op zijn beurt voor dat e-mails die afkomstig zijn van een geautoriseerde bron niet worden gewijzigd voordat ze de beoogde ontvanger bereiken, waardoor het risico op imitatie wordt beperkt. 

Bij een DKIM replay-aanval onderschept een aanvaller een legitiem DKIM-ondertekend e-mailbericht en stuurt het vervolgens meerdere keren opnieuw naar de beoogde ontvanger of een ander doelwit zonder de inhoud of de handtekening van het bericht te wijzigen. Het doel van deze aanval is om te profiteren van het vertrouwen dat is opgebouwd door de DKIM handtekening om de ontvanger te laten geloven dat hij meerdere kopieën van hetzelfde legitieme bericht ontvangt.

Wat is een DKIM Replay-aanval? 

Een DKIM replay-aanval is een cyberaanval waarbij een bedreigende actor een e-mail onderschept die is ondertekend en vertrouwd met DKIM en vervolgens dezelfde e-mail opnieuw verzendt of "herhaalt" om de ontvanger te laten denken dat het een nieuw, betrouwbaar bericht is, ook al is het mogelijk gewijzigd of schadelijk.

Voordat we de anatomie van een DKIM replay-aanval uit de doeken doen en strategieën voor risicobeperking bespreken, bespreken we eerst hoe DKIM werkt: 

Hoe verifieert DKIM e-mails?

DKIM (DomainKeys Identified Mail) is een e-mailverificatiemethode die helpt bij het verifiëren van de authenticiteit van e-mailberichten en het detecteren van e-mailspoofing en phishingpogingen. DKIM voegt een digitale handtekening toe aan het e-mailbericht op de verzendserver, en deze handtekening kan worden geverifieerd door de e-mailserver van de ontvanger om er zeker van te zijn dat er tijdens het verzenden niet met het bericht is geknoeid.

DKIM maakt gebruik van de volgende processen: 

1. Berichten ondertekenen: Wanneer een e-mail wordt verzonden vanaf een domein dat DKIM gebruikt, genereert de verzendende mailserver een unieke cryptografische handtekening voor het bericht. Deze handtekening is gebaseerd op de inhoud van de e-mail (header en body) en enkele specifieke headervelden, zoals het "Van" adres en het "Datum" veld. Voor het ondertekeningsproces wordt meestal een privésleutel gebruikt.

2. Openbare sleutel Publicatie: Het verzendende domein publiceert een openbare DKIM-sleutel in zijn DNS-records (Domain Name System). Deze openbare sleutel wordt gebruikt door de e-mailserver van de ontvanger om de handtekening te verifiëren.

3. Verzending van berichten: Het e-mailbericht, dat nu de DKIM-handtekening bevat, wordt via internet verzonden naar de e-mailserver van de ontvanger.

4. Verificatie: Wanneer de e-mailserver van de ontvanger de e-mail ontvangt, haalt hij de DKIM-handtekening op uit de headers van de e-mail en zoekt hij de openbare DKIM-sleutel van de afzender op in de DNS-records van het domein van de afzender.

Als de handtekening overeenkomt met de inhoud van de e-mail, kan de ontvanger er redelijk zeker van zijn dat er tijdens het verzenden niet met de e-mail is geknoeid en dat de e-mail echt afkomstig is van het domein van de vermeende afzender.

5. Geslaagd of gezakt: Op basis van de uitkomst van het verificatieproces kan de server van de ontvanger de e-mail markeren als DKIM-gecontroleerd of DKIM-gezakt.

DKIM helpt verschillende op e-mail gebaseerde aanvallen te voorkomen, zoals phishing en spoofing, door een mechanisme te bieden om de authenticiteit van het domein van de afzender te verifiëren.

Hoe werken DKIM Replay-aanvallen?

Bij een DKIM replay-aanval kunnen kwaadwillenden gebruikmaken van de soepelheid van DKIM-handtekeningen om e-mailontvangers te misleiden en mogelijk schadelijke inhoud of zwendel te verspreiden. 

Laten we stap voor stap uitleggen hoe een DKIM replay-aanval werkt:

DKIM Handtekening Flexibiliteit

DKIM staat toe dat het handtekeningdomein (het domein dat de e-mail ondertekent) verschilt van het domein dat in de "Van" header van de e-mail wordt genoemd. Dit betekent dat zelfs als een e-mail beweert afkomstig te zijn van een bepaald domein in de "Van" header, de DKIM handtekening geassocieerd kan zijn met een ander domein.

DKIM-verificatie

Wanneer de server van een ontvanger een e-mail ontvangt met een DKIM-handtekening, controleert deze de handtekening om er zeker van te zijn dat de e-mail niet is gewijzigd sinds deze werd ondertekend door de mailservers van het domein. Als de DKIM handtekening geldig is, bevestigt dit dat de e-mail door de mailservers van het ondertekenende domein is gegaan en dat er tijdens het transport niet mee is geknoeid.

Bekende domeinen exploiteren

Hier komt de aanval om de hoek kijken. Als een aanvaller erin slaagt om een mailbox over te nemen of te hacken, of een mailbox aanmaakt met een domein dat zeer bekend is (wat betekent dat het een vertrouwde bron is in de ogen van e-mailservers), dan gebruiken ze de reputatie van het domein in hun voordeel.

De eerste e-mail versturen

De aanvaller stuurt een enkele e-mail vanaf zijn domein met hoge reputatie naar een andere mailbox die hij controleert. Deze eerste e-mail kan onschuldig of zelfs legitiem zijn om verdenking te voorkomen.

Heruitzending

Nu kan de aanvaller de opgenomen e-mail gebruiken om hetzelfde bericht opnieuw uit te zenden naar een andere groep ontvangers, vaak ontvangers die oorspronkelijk niet bedoeld waren door de legitieme afzender. Omdat de e-mail zijn DKIM-handtekening van het hoog aangeschreven domein intact heeft, zullen e-mailservers deze waarschijnlijk eerder vertrouwen en denken dat het een legitiem bericht is, waardoor de verificatiefilters worden omzeild. 

Stappen om DKIM Replay-aanvallen te voorkomen

DKIM replay-aanvalpreventiestrategieën voor e-mailverzenders: 

1. Headers oversigneren

Om ervoor te zorgen dat belangrijke headers zoals Datum, Onderwerp, Van, Aan en CC niet kunnen worden toegevoegd of gewijzigd na het ondertekenen, kun je overwegen om ze te over-ondertekenen. Deze beveiliging voorkomt dat kwaadwillenden kunnen knoeien met deze kritieke berichtcomponenten.

2. Korte verlooptijden instellen (x=)

Implementeer een zo kort mogelijke verlooptijd (x=). Dit verkleint de kans op replay-aanvallen. Nieuw aangemaakte domeinen moeten een nog kortere verlooptijd hebben dan oudere, omdat ze kwetsbaarder zijn voor aanvallen. 

3. Timestamps (t=) en Nonces gebruiken

Om replay-aanvallen verder te voorkomen, kun je tijdstempels en nonces (willekeurige getallen) opnemen in de e-mailheaders of -tekst. Dit maakt het moeilijk voor aanvallers om dezelfde e-mail op een later tijdstip opnieuw te versturen omdat de waarden dan veranderd zijn.

4. DKIM-sleutels periodiek roteren

Draai DKIM-sleutels regelmatig en werk je DNS-records dienovereenkomstig bij. Dit minimaliseert de blootstelling van langlevende sleutels die kunnen worden gecompromitteerd en gebruikt in replay-aanvallen.

 

DKIM replay-aanvalpreventiestrategieën voor e-mailontvangers: 

1. Tariefbeperking implementeren

Ontvangers kunnen de snelheid van inkomende e-mailberichten beperken om te voorkomen dat aanvallers je systeem overspoelen met herhalende e-mails. Hiervoor kun je limieten instellen op het aantal e-mails dat van een specifieke afzender wordt geaccepteerd binnen een bepaald tijdsbestek.

2. E-mailontvangers informeren

Informeer uw e-mailontvangers over het belang van DKIM en moedig hen aan om DKIM-handtekeningen op inkomende e-mails te verifiëren. Dit kan de impact van mogelijke replay-aanvallen op uw ontvangers helpen verminderen.

3. Netwerkbeveiligingsmaatregelen

Implementeer netwerkbeveiligingsmaatregelen om verkeer te detecteren en blokkeren van bekende kwaadaardige IP-adressen en bronnen die betrokken kunnen zijn bij replay-aanvallen.

Hoe PowerDMARC DKIM replay-aanvallen helpt beperken

Om DKIM-sleutelbeheer eenvoudig en moeiteloos te maken voor domeineigenaren, hebben we onze uitgebreide gehoste DKIM oplossing. Wij helpen u bij het bewaken van uw e-mailstromen en DKIM-ondertekenpraktijken, zodat u snel afwijkingen kunt detecteren en aanvallers altijd een stap voor kunt blijven.

Recordoptimalisatie op ons dashboard gebeurt automatisch zonder dat je meerdere keren naar je DNS hoeft te gaan voor handmatige updates. Stap over op automatisering met PowerDMARC door wijzigingen aan te brengen in uw handtekeningen, meerdere selectors te verwerken en uw DKIM-sleutels te roteren zonder het gedoe van handmatig zwoegen. Meld u vandaag nog aan voor een gratis proefabonnement!

Nieuwste berichten van Ahona Rudra (zie alle)
Top 5 geëvolueerde oplichtingspraktijken via e-mail: Trends voor 20242021 oplichtingWat is Continuous Threat Exposure Management (CTEM)?