Znacznik DKIM l= (małe litery "L") w DKIM jest opcjonalnym znacznikiem, który określa długość treści wiadomości, która powinna zostać podpisana. Można to uznać za lukę w zabezpieczeniach DKIM, ponieważ tag l= umożliwia częściowe podpisanie treści wiadomości. Może to ułatwić podmiotom stanowiącym zagrożenie wykorzystanie wiadomości podpisanych DKIM.
Przyjrzyjmy się, w jaki sposób DKIM i dlaczego nie zachęcamy do używania tagu DKIM l= w podpisie DKIM.
Cel ograniczeń długości korpusu DKIM (l= tag)
DKIM (DomainKeys Identified Mail) to protokół uwierzytelniania poczty e-mail, który zapewnia, że zawartość wiadomości e-mail nie została zmieniona podczas przesyłania. Pozwala on odbiorcy zweryfikować, czy wiadomość e-mail została rzeczywiście wysłana i autoryzowana przez właściciela danej domeny.
Gdy serwery pośredniczące przesyłają dalej wiadomości, mogą zmienić treść wiadomości. Mogą dodać dodatkowe informacje w stopce lub do treści wiadomości. Znacznik DKIM l został wprowadzony, aby zapobiec niepowodzeniu DKIM w przypadku, gdy treść wiadomości została zmodyfikowana podczas przesyłania dalej lub przez listy mailingowe.
Jak działa znacznik DKIM l=
- Określanie długości: The l= następuje liczba całkowita, która wskazuje liczbę bajtów w treści wiadomości, które są objęte podpisem DKIM.
- Częściowe podpisywanie ciałem: Określając długość, tylko pierwsze "n" bajtów treści jest uwzględniane w skrócie używanym do generowania podpisu DKIM. Wszelkie modyfikacje treści wykraczające poza tę długość nie wpłyną na weryfikację podpisu DKIM.
Przykład: Podpis DKIM z podatnością na l-Tag DKIM
Rozważmy wiadomość e-mail, której treść ma długość 1000 bajtów, ale tylko pierwsze 500 bajtów jest podpisane:
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=notify.domain.com; s=selector1; t=1718098168; i=@notify.domain.com; l=500; bh=SF9K/AZh8dO2XDYZlOtjrmHj5txv4H4qjhFr+q3ASuM=; h=Subject:Message-ID:To:Date:Content-Type:From:To:Cc:Subject; b=h0Jp5xjZSjUo06er2Gm5k0Fvt0cuC0xOnfobu1oYAFT2ugVxY0h/xly6x/E/pPT2S
W tym przykładzie l=500 wskazuje, że tylko pierwsze 500 bajtów treści wiadomości e-mail jest zawarte w podpisie DKIM.
Jednak wiodący europejski rejestrator domen, zespół analityków Zone.eu odkrył poważną lukę związaną z tagiem l w sygnaturze DKIM. Oprócz korzyści w scenariuszach przekierowania poczty, tag l może być łatwo wykorzystany przez cyberprzestępców do wysyłania wiadomości phishingowych, które nadal przechodzą kontrole DKIM.
Podatność DKIM l= Tag
Nie zalecamy używania tagu DKIM l=, ponieważ może on osłabić poziom bezpieczeństwa, pozostawiając domenę podatną na ataki nawet przy skonfigurowanym uwierzytelnianiu poczty e-mail.
Atakujący może zmienić treść wiadomości i dołączyć złośliwe pliki lub linki w niepodpisanej sekcji wiadomości e-mail, która wykracza poza zakres bajtów zdefiniowany w znaczniku "l". Gdy ta wiadomość e-mail dotrze do odbiorcy, przejdzie weryfikację DKIM. Następnie, jeśli masz włączony DMARC dla swojej domeny, również przejdzie pomyślnie.
Odbiorca może otworzyć tę wiadomość e-mail, ufając nazwie domeny i paść ofiarą kolejnego ataku phishingowego! Może to spowodować poważne naruszenie prywatności, kradzież danych uwierzytelniających i utratę zaufania do Twojej wiarygodności. Jeśli Twój klient straci pieniądze w wyniku tego procesu, możesz być nawet zobowiązany do zapewnienia rekompensaty finansowej.
Rola BIMI w zwiększaniu podatności na ataki DKIM
BIMI to rozwijający się protokół, który zyskuje popularność zarówno w branży bezpieczeństwa, jak i marketingu ze względu na możliwość dołączania logo marki do wiadomości e-mail. Niedawno główni dostawcy poczty e-mail, tacy jak Gmail i Apple Mail, rozszerzyli wsparcie dla BIMI, aby nadać e-mailom profesjonalny wygląd i zwiększyć bezpieczeństwo poprzez weryfikację wizualną.
Ponieważ fałszywe wiadomości wysyłane z domen używających tagu DKIM l w swoim podpisie przechodzą kontrole DKIM i DMARC - logo BIMI marki jest również dołączane do tych złośliwych e-maili! Teraz ta fałszywa wiadomość wysłana z Twojej domeny nie tylko przechodzi wszystkie filtry uwierzytelniające, ale ma również dołączone logo Twojej marki! To jeszcze bardziej zwiększa szanse na to, że odbiorcy zaufają jej wiarygodności.
Ze względu na potencjalnie exploitacyjny charakter tagu DKIM l=, Gmail w swoim Centrum pomocy Google Admin Workspace zdecydowanie odradza jego używanie. Oto co Google ma do powiedzenia na ten temat:
"Jeśli konfigurujesz DKIM w systemie poczty e-mail innym niż Google Workspace, nie używaj tagu długości DKIM (l=) w wiadomościach wychodzących. Wiadomości używające tego tagu są podatne na nadużycia".
Ryzyko związane z tagiem DKIM l zostało szerzej opisane w dokumencie RFC 6376 sekcja 8.2 zatytułowanej "Misuse of Body Length Limits ("l=" Tag)". RFC ostrzega użytkowników, że określenie tagu l w podpisie DKIM może prowadzić do uzyskania przez użytkowników dostępu do złośliwych treści wiadomości e-mail bez żadnego ostrzeżenia. RFC wzywa sygnatariuszy DKIM do zachowania szczególnej ostrożności w obecności tego tagu, a także zaleca serwerom oceniającym całkowite ignorowanie podpisów DKIM z określonym tagiem l=.
Sprawdź swój podpis DKIM pod kątem l-Tag DKIM Vulnerabilities
Ważne jest, aby najpierw ustalić, czy domena jest podatna na ataki. Aby to zrobić, wymieniliśmy poniżej kilka metod, których możesz użyć:
Metoda ręczna: Sprawdzanie oryginalnych nagłówków podpisów DKIM
1. Wyślij pustą wiadomość e-mail do siebie (w tym przypadku bierzemy przykład użytkownika Gmaila)
2. Otwórz tę wiadomość e-mail.
3. Przejdź do opcji "więcej opcji", która jest oznaczona trzema kropkami w prawym górnym rogu.
4. Kliknij "Pokaż oryginał".
5. Na stronie oryginalnej wiadomości przewiń w dół, aby zobaczyć nieprzetworzone nagłówki.
6. Przejdź do sekcji "DKIM-Signature:" i przeanalizuj składnię. Jeśli widzisz, że tag DKIM l= jest obecny w nagłówku sygnatury DKIM, Twoja domena jest podatna na ataki. Jeśli go nie ma, wszystko jest w porządku i nie trzeba podejmować żadnych działań.
Metoda automatyczna: Korzystanie z narzędzia do analizy nagłówków wiadomości e-mail
1. Zarejestruj się w PowerDMARC, aby skorzystać z bezpłatnej wersji próbnej. Przejdź do Narzędzia analityczne > MailAuth Analyzer.
2. Skopiuj automatycznie wygenerowany adres e-mail i wklej go jako odbiorcę nowej wiadomości testowej w Gmailu. Wyślij wiadomość testową.
3. Teraz wróć do portalu i odśwież stronę. Kliknij ikonę "Widok" w sekcji Działania, aby sprawdzić wyniki.
4. Natychmiast tworzymy zbiorczy raport z informacjami na temat konfiguracji DKIM, SPF i DMARC i wiele więcej!
5. Możesz przewinąć w dół, aby wyświetlić nagłówek podpisu DKIM w formacie nieprzetworzonym i przetworzonym. Tutaj będzie można określić, czy podpis zawiera tag l=. Jeśli jest obecny, należy podjąć działania w celu usunięcia tej luki.
Przykład: Podpis DKIM bez podatności na l-Tag DKIM
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=notify.domain.com; s=selector1; t=1718098168; i=@notify.domain.com; bh=SF9K/AZh8dO2XDYZlOtjrmHj5txv4H4qjhFr+q3ASuM=; h=Subject:Message-ID:To:Date:Content-Type:From:To:Cc:Subject; b=h0Jp5xjZSjUo06er2Gm5k0Fvt0cuC0xOnfobu1oYAFT2ugVxY0h/xly6x/E/pPT2S
Zapobieganie lukom w zabezpieczeniach DKIM: Jakie są najlepsze praktyki DKIM?
Jeśli chcesz w pełni wykorzystać protokół DKIM, oto kilka wskazówek, które zalecają nasi eksperci:
- Unikaj używania tagu DKIM l= w nagłówku sygnatury DKIM.
- Skontaktuj się z dostawcą usług poczty e-mail, aby skonfigurować nowe klucze publiczne DKIM (bez tagu l=) w celu dodania ich do DNS.
- Należy okresowo zmieniać klucze DKIM, aby upewnić się, że stare klucze z l-tagiem mogą zostać zastąpione nowymi kluczami bez tej luki.
- Możesz użyć silnych kluczy DKIM, takich jak klucze 2048-bitowe, zamiast 1024-bitowych, aby zwiększyć siłę zabezpieczeń wiadomości e-mail DKIM.
- Używać hostowane rozwiązanie DKIM do zarządzania selektorami i kluczami DKIM oraz monitorowania wyników uwierzytelniania DKIM z jednego scentralizowanego pulpitu nawigacyjnego.
- Utwórz klucze DKIM za pomocą automatycznego Generator DKIM narzędzie. Pomoże to uniknąć błędów składni, które łatwo przeoczyć.
Protokoły uzupełniające do użycia z DKIM
Aby zwiększyć skuteczność DKIM, można wdrożyć następujące protokoły (wraz z dodatkową rekomendacją na końcu!):
- Użycie ARC (Authenticated Received Chain) aby upewnić się, że legalne wiadomości e-mail przechodzą kontrole uwierzytelniania nawet po przekazaniu lub podczas korzystania z list mailingowych. Automatycznie eliminuje to potrzebę stosowania tagu DKIM l=. ARC automatycznie zachowuje oryginalne nagłówki wiadomości, aby zapobiec fałszywym negatywom.
- Skonfiguruj mechanizmy awaryjne, takie jak SPF i DMARC, aby zwiększyć dokładność uwierzytelniania i ogólne bezpieczeństwo.
- Włącz Raporty DMARC aby śledzić swoje kanały e-mail i źródła wysyłania. Raporty DMARC mogą pomóc w wykryciu złośliwych adresów IP i nadawców, dzięki czemu można szybko podjąć działania przeciwko nim.
Przestrzegając tych najlepszych praktyk, organizacje mogą znacznie poprawić stan bezpieczeństwa poczty e-mail i chronić reputację swojej domeny. Chociaż tag l= może zapewnić elastyczność w obsłudze wiadomości e-mail, które mogą zostać zmienione podczas przesyłania, może osłabić bezpieczeństwo domeny. Dlatego też, wraz z różnymi dostawcami poczty e-mail, ekspertami branżowymi i organizacjami, nie zalecamy jego stosowania. Aby dowiedzieć się więcej o bezpieczeństwie domeny i usługach uwierzytelniania poczty e-mail, skontaktuj się z nami już dziś!
- Jak dodać logo do wiadomości Gmail: Gmail i markowe wiadomości e-mail - 2 lipca 2024 r.
- Jakie są zagrożenia dla cyberbezpieczeństwa podczas zezwalania na pliki cookie innych firm na komputerze Mac? - 29 czerwca 2024 r.
- DMARC: brakujące ogniwo w strategii obronnej MSP - 27 czerwca 2024 r.