DKIM2: następna generacja zabezpieczeń poczty e-mail

Uwaga: DKIM2 jest obecnie w wersji roboczej w archiwach dokumentów IETF i może podlegać zmianom w przyszłości.

DKIM lub DomainKeys Identified Mailzostała po raz pierwszy opublikowana w 2011 roku jako protokół uwierzytelniania wiadomości e-mail, który pomagał podpisywać wiadomości podpisami cyfrowymi w celu uwierzytelnienia nadawcy. DKIM pozwolił serwerom pocztowym zweryfikować, czy wiadomość nie została zmodyfikowana podczas transmisji. DKIM jest zdefiniowany w dokumencie RFC 6376 jako protokół, który "pozwala osobie, roli lub organizacji, która jest właścicielem domeny podpisującej, domagać się pewnej odpowiedzialności za wiadomość poprzez powiązanie domeny z wiadomością".

W 2024 roku DKIM może mieć zupełnie nowy wygląd, zwany DKIM2! Oczekuje się, że DKIM2 wkrótce zastąpi stary mechanizm bezpieczeństwa poczty e-mail (DKIM) nowym i zaktualizowanym mechanizmem zwiększonego uwierzytelniania i bezpieczeństwa.

Kluczowe wnioski

DKIM2 ma na celu wyeliminowanie słabości operacyjnych obecnego protokołu DKIM1, zwiększając bezpieczeństwo poczty e-mail i uwierzytelnianie.
Ta zaktualizowana wersja ustandaryzuje podpisywanie nagłówków, minimalizując luki, które mogą wykorzystać aktorzy zagrożeń.
DKIM2 zapobiega rozpraszaniu wstecznemu, kierując powiadomienia o niepowodzeniu dostawy do ostatniego serwera, który obsłużył wiadomość e-mail.
Ulepszona obsługa błędów i uproszczone odsyłanie wiadomości pomogą chronić prywatność odbiorców i usprawnić zarządzanie pocztą e-mail.
Obsługując wiele algorytmów kryptograficznych, DKIM2 zapewnia zabezpieczenie na przyszłość przed ewoluującymi zagrożeniami bezpieczeństwa.

Potrzeba zastąpienia DKIM

Powstający mechanizm DKIM - DKIM1 został po raz pierwszy opisany w dokumencie RFC 4871i opublikowany w 2007 roku. Od tego czasu, na przestrzeni lat, odkryto kilka słabości operacyjnych:

1. Kwestia modyfikacji pośrednika

W kilku przypadkach przekierowania wiadomości e-mailserwery pośredniczące często modyfikują legalne wiadomości e-mail, dodając dodatkowe stopki lub modyfikując podpisy. Sprawia to, że oryginalny podpis DKIM1 jest nieweryfikowalny, co prowadzi do niepożądanych błędów DKIM. Wiadomości e-mail, których to dotyczy, mogą być potencjalnie oflagowane lub oznaczone jako spam, mimo że są legalne.

2. Uszkodzenie reputacji poprzez ataki powtórkowe

W ataku DKIM replay attackaktor zagrożeń ponownie wysyła wiadomość e-mail, która została pierwotnie uwierzytelniona i podpisana podpisem DKIM, udając, że jest to nowa i autentyczna wiadomość. Wiadomość mogła jednak zostać zmieniona i może być teraz potencjalnie szkodliwa. Krótko mówiąc, złośliwi aktorzy mogą "odtwarzać" wiadomości e-mail z podpisem DKIM, szkodząc reputacji legalnych sygnatariuszy.

3. Brak ustandaryzowanych informacji zwrotnych

Istnieją pewne nieformalne mechanizmy informacji zwrotnej tworzone przez niektóre systemy w celu powiadamiania nadawców wiadomości e-mail o tym, jak dobrze działają ich wiadomości e-mail z podpisem DKIM. Te pętle zwrotne pomagają nadawcom wiedzieć, czy ich wiadomości są dostarczane prawidłowo, czy też są oznaczane jako problematyczne. Jednakże, obecnie nie ma oficjalnych zasad dotyczących tego, jak te systemy informacji zwrotnej powinny działać. Ten brak standaryzacji może prowadzić do niepotrzebnego lub nieprzydatnego wysyłania informacji zwrotnych.

4. Problem rozproszenia wstecznego

Jeśli ktoś podszywa się pod nadawcę wiadomości e-mail (fałszuje pochodzenie), a wiadomość e-mail nie może zostać dostarczona, system często wysyła "powiadomienie o niepowodzeniu". To powiadomienie jest określane jako powiadomienie o stanie dostawy (DSN). Powiadomienie to dociera do niczego niepodejrzewającej ofiary, której domena została sfałszowana. Oznacza to, że niewinna osoba, która nie miała nic wspólnego z wiadomością e-mail, otrzymuje mylące lub niechciane powiadomienie. Zjawisko to znane jest jako backscatter.

Uprość DKIM2 z PowerDMARC!

15-dniowy trial Zamów demo

Czym jest DKIM2?

DKIM2 ma być nadchodzącą zaktualizowaną wersją DKIM1, mającą na celu naprawienie niedociągnięć poprzedniej wersji, takich jak podatność na ataki typu replay, problemy z przekazywaniem poczty oraz zapewnienie ulepszonej kryptografii w celu lepszego uwierzytelniania i późniejszej ochrony.

Oczekuje się również, że DKIM2 rozwiąże problemy z podpisywaniem nagłówków, zapobiegnie rozpraszaniu wstecznemu i będzie obsługiwać wiele algorytmów kryptograficznych w celu łatwej migracji z przestarzałej wersji algorytmicznej do nowej.

W jaki sposób DKIM2 może być dobrodziejstwem dla firm?

DKIM2 może przyćmić możliwości DKIM1, zapewniając następujące kluczowe korzyści:

Znormalizowane podpisywanie nagłówków

Podczas gdy DKIM1 czasami podpisuje nagłówki częściowo, pozostawiając niezabezpieczone luki, które mogą wykorzystać aktorzy zagrożeń, DKIM2 ustandaryzuje, które nagłówki powinny być podpisane. Zmniejszy to zamieszanie i zapewni, że wszystkie ważne nagłówki są konsekwentnie podpisywane i zabezpieczane.

Zapobieganie rozpraszaniu wstecznemu

Problem z DKIM1 powodującym rozproszenie wsteczne został wyjaśniony w sekcji powyżej. DKIM2 pozwoli na wysyłanie DSN do serwera, który ostatnio obsługiwał wiadomość e-mail, unikając zamieszania dla niewinnych stron trzecich.

Uproszczona obsługa błędów

DKIM2 zwiększa bezpieczeństwo i wydajność poczty e-mail, poprawiając sposób obsługi odrzuceń i błędów. Gwarantuje, że wiadomości odesłane podążają właściwą ścieżką, chroniąc prywatność odbiorców i pomagając pośrednikom, takim jak dostawcy usług e-mail i listy mailingowe, w łatwym śledzeniu i zarządzaniu problemami z dostarczaniem. Dodatkowo, DKIM2 umożliwia listom mailingowym i bramom bezpieczeństwa rejestrowanie i cofanie wprowadzanych zmian, upraszczając weryfikację i wykrywanie prób manipulacji.

Przeciwdziałanie atakom DKIM Replay

Wiemy już, że prawidłowa wiadomość e-mail z podpisem DKIM może zostać ponownie wysłana - czyli "odtworzona" do wielu odbiorców, niewykryta. DKIM2 może w końcu rozwiązać ten problem, wprowadzając znaczniki czasu i nagłówki specyficzne dla odbiorcy, ułatwiając wykrywanie i zapobieganie atakom typu "replay". Co więcej, będzie również rozpoznawać zduplikowane wiadomości, śledząc, kto jest za nie odpowiedzialny.

Zręczność algorytmiczna

DKIM2 będzie obsługiwał szeroką gamę algorytmów kryptograficznych, takich jak RSA, krzywa eliptyczna i prawdopodobnie post-kwantowa. Zapewni to elastyczność i zabezpieczenie na przyszłość. Pozytywną stroną obsługi tak różnorodnych algorytmów jest to, że jeśli poprzedni stanie się przestarzały, migracja będzie łatwa.

Dokumentacja IETF wyjaśnia, że w przypadku, gdy podczas procesu analizy kryptograficznej jeden algorytm zostanie przestarzały lub zawiedzie, drugi powinien przejść pomyślnie. Aby było to możliwe, programiści DKIM2 przyjmują stopniowe podejście do przełączania się z potencjalnie przestarzałych algorytmów poprzez włączenie więcej niż jednego podpisu do pojedynczego nagłówka podpisu DKIM2. Systemy obsługujące analizę obu podpisów DKIM2 będą wymagały, aby oba były ważne i poprawne, w przeciwnym razie poczta zostanie odrzucona.

Minimalizacja obliczeń kryptograficznych

DKIM2 ma uprościć i zminimalizować ilość obliczeń kryptograficznych wymaganych do weryfikacji autentyczności treści wiadomości podczas sprawdzania DKIM. Główni dostawcy skrzynek pocztowych mają dużą liczbę podpisów DKIM dołączonych do wiadomości przychodzących. Podczas kryptoanalizy DKIM2 sprawdzi tylko pierwszy podpis DKIM2 w przypadku, gdy wiadomość nie została zmieniona przez żadnych pośredników, podczas gdy obecnie DKIM1 sprawdza wszystkie podpisy DKIM. Wprowadzi to bardziej efektywny i szybszy proces obliczeń kryptograficznych.

Podsumowanie

Podsumowując kluczowe wnioski z projektu IETF, protokół DKIM2 ma na celu ominięcie kilku wad obecnej wersji protokołu DKIM1, dzięki czemu obsługa podpisów będzie prosta, bezpieczna i bardziej skuteczna. Oczekuje się również, że poprawi on możliwości raportowania i ustandaryzuje pętle informacji zwrotnych - pomagając firmom być na bieżąco znacznie bardziej niż kiedykolwiek wcześniej! Miejmy nadzieję, że wkrótce będziemy świadkami oficjalnego wdrożenia, aby firmy mogły w pełni wykorzystać swoje uwierzytelnianie DKIM.

Aby uzyskać pomoc dotyczącą wdrożenia DKIM i zarządzania kluczami, skontaktuj się z nami już dziś!

O
Latest Posts

Yunes Tarada

Ekspert ds. bezpieczeństwa domen i poczty e-mail w PowerDMARC

Yunes jest liderem zespołu operacyjnego w PowerDMARC z wiedzą ekspercką w zakresie uwierzytelniania i bezpieczeństwa poczty elektronicznej. Yunes jest certyfikowanym przez Microsoft Azure Administrator Associate z certyfikatami CompTIA A+ i wieloma innymi.

Najnowsze posty autorstwa Yunes Tarada (zobacz wszystkie)

Czym jest BIMI? Zaufanie do poczty elektronicznej i tożsamość marki – 26 grudnia 2025 r.
Co to jest rekord CAA? Przewodnik po zabezpieczeniach DNS – 24 grudnia 2025 r.
Czy otwieranie wiadomości spamowych jest bezpieczne? Ryzyko i wskazówki dotyczące bezpieczeństwa – 16 grudnia 2025 r.

Przedstawiamy DKIM2: przyszłość bezpieczeństwa poczty e-mail