Uwaga: DKIM2 jest obecnie w wersji roboczej w archiwach dokumentów IETF i może podlegać zmianom w przyszłości.
DKIM lub DomainKeys Identified Mailzostała po raz pierwszy opublikowana w 2011 roku jako protokół uwierzytelniania wiadomości e-mail, który pomagał podpisywać wiadomości podpisami cyfrowymi w celu uwierzytelnienia nadawcy. DKIM pozwolił serwerom pocztowym zweryfikować, czy wiadomość nie została zmodyfikowana podczas transmisji. DKIM jest zdefiniowany w dokumencie RFC 6376 jako protokół, który "pozwala osobie, roli lub organizacji, która jest właścicielem domeny podpisującej, domagać się pewnej odpowiedzialności za wiadomość poprzez powiązanie domeny z wiadomością".
W 2024 roku DKIM może mieć zupełnie nowy wygląd, zwany DKIM2! Oczekuje się, że DKIM2 wkrótce zastąpi stary mechanizm bezpieczeństwa poczty e-mail (DKIM) nowym i zaktualizowanym mechanizmem zwiększonego uwierzytelniania i bezpieczeństwa.
Potrzeba zastąpienia DKIM
Powstający mechanizm DKIM - DKIM1 został po raz pierwszy opisany w dokumencie RFC 4871i opublikowany w 2007 roku. Od tego czasu, na przestrzeni lat, odkryto kilka słabości operacyjnych:
1. Kwestia modyfikacji pośrednika
W kilku przypadkach przekierowania wiadomości e-mailserwery pośredniczące często modyfikują legalne wiadomości e-mail, dodając dodatkowe stopki lub modyfikując podpisy. Sprawia to, że oryginalny podpis DKIM1 jest nieweryfikowalny, co prowadzi do niepożądanych błędów DKIM. Wiadomości e-mail, których to dotyczy, mogą być potencjalnie oflagowane lub oznaczone jako spam, mimo że są legalne.
2. Uszkodzenie reputacji poprzez ataki powtórkowe
W ataku DKIM replay attackaktor zagrożeń ponownie wysyła wiadomość e-mail, która została pierwotnie uwierzytelniona i podpisana podpisem DKIM, udając, że jest to nowa i autentyczna wiadomość. Wiadomość mogła jednak zostać zmieniona i może być teraz potencjalnie szkodliwa. Krótko mówiąc, złośliwi aktorzy mogą "odtwarzać" wiadomości e-mail z podpisem DKIM, szkodząc reputacji legalnych sygnatariuszy.
3. Brak ustandaryzowanych informacji zwrotnych
Istnieją pewne nieformalne mechanizmy informacji zwrotnej tworzone przez niektóre systemy w celu powiadamiania nadawców wiadomości e-mail o tym, jak dobrze działają ich wiadomości e-mail z podpisem DKIM. Te pętle zwrotne pomagają nadawcom wiedzieć, czy ich wiadomości są dostarczane prawidłowo, czy też są oznaczane jako problematyczne. Jednakże, obecnie nie ma oficjalnych zasad dotyczących tego, jak te systemy informacji zwrotnej powinny działać. Ten brak standaryzacji może prowadzić do niepotrzebnego lub nieprzydatnego wysyłania informacji zwrotnych.
4. Problem rozproszenia wstecznego
Jeśli ktoś podszywa się pod nadawcę wiadomości e-mail (fałszuje pochodzenie), a wiadomość e-mail nie może zostać dostarczona, system często wysyła "powiadomienie o niepowodzeniu". To powiadomienie jest określane jako powiadomienie o stanie dostawy (DSN). Powiadomienie to dociera do niczego niepodejrzewającej ofiary, której domena została sfałszowana. Oznacza to, że niewinna osoba, która nie miała nic wspólnego z wiadomością e-mail, otrzymuje mylące lub niechciane powiadomienie. Zjawisko to znane jest jako backscatter.
Czym jest DKIM2?
DKIM2 ma być nadchodzącą zaktualizowaną wersją DKIM1, mającą na celu naprawienie niedociągnięć poprzedniej wersji, takich jak podatność na ataki typu replay, problemy z przekazywaniem poczty oraz zapewnienie ulepszonej kryptografii w celu lepszego uwierzytelniania i późniejszej ochrony.
Oczekuje się również, że DKIM2 rozwiąże problemy z podpisywaniem nagłówków, zapobiegnie rozpraszaniu wstecznemu i będzie obsługiwać wiele algorytmów kryptograficznych w celu łatwej migracji z przestarzałej wersji algorytmicznej do nowej.
W jaki sposób DKIM2 może być dobrodziejstwem dla firm?
DKIM2 może przyćmić możliwości DKIM1, zapewniając następujące kluczowe korzyści:
Znormalizowane podpisywanie nagłówków
Podczas gdy DKIM1 czasami podpisuje nagłówki częściowo, pozostawiając niezabezpieczone luki, które mogą wykorzystać aktorzy zagrożeń, DKIM2 ustandaryzuje, które nagłówki powinny być podpisane. Zmniejszy to zamieszanie i zapewni, że wszystkie ważne nagłówki są konsekwentnie podpisywane i zabezpieczane.
Zapobieganie rozpraszaniu wstecznemu
Problem z DKIM1 powodującym rozproszenie wsteczne został wyjaśniony w sekcji powyżej. DKIM2 pozwoli na wysyłanie DSN do serwera, który ostatnio obsługiwał wiadomość e-mail, unikając zamieszania dla niewinnych stron trzecich.
Uproszczona obsługa błędów
DKIM2 zwiększa bezpieczeństwo i wydajność poczty e-mail, poprawiając sposób obsługi odrzuceń i błędów. Gwarantuje, że wiadomości odesłane podążają właściwą ścieżką, chroniąc prywatność odbiorców i pomagając pośrednikom, takim jak dostawcy usług e-mail i listy mailingowe, w łatwym śledzeniu i zarządzaniu problemami z dostarczaniem. Dodatkowo, DKIM2 umożliwia listom mailingowym i bramom bezpieczeństwa rejestrowanie i cofanie wprowadzanych zmian, upraszczając weryfikację i wykrywanie prób manipulacji.
Przeciwdziałanie atakom DKIM Replay
Wiemy już, że prawidłowa wiadomość e-mail z podpisem DKIM może zostać ponownie wysłana - czyli "odtworzona" do wielu odbiorców, niewykryta. DKIM2 może w końcu rozwiązać ten problem, wprowadzając znaczniki czasu i nagłówki specyficzne dla odbiorcy, ułatwiając wykrywanie i zapobieganie atakom typu "replay". Co więcej, będzie również rozpoznawać zduplikowane wiadomości, śledząc, kto jest za nie odpowiedzialny.
Zręczność algorytmiczna
DKIM2 będzie obsługiwał szeroką gamę algorytmów kryptograficznych, takich jak RSA, krzywa eliptyczna i prawdopodobnie post-kwantowa. Zapewni to elastyczność i zabezpieczenie na przyszłość. Pozytywną stroną obsługi tak różnorodnych algorytmów jest to, że jeśli poprzedni stanie się przestarzały, migracja będzie łatwa.
Dokumentacja IETF wyjaśnia, że w przypadku, gdy podczas procesu analizy kryptograficznej jeden algorytm zostanie przestarzały lub zawiedzie, drugi powinien przejść pomyślnie. Aby było to możliwe, programiści DKIM2 przyjmują stopniowe podejście do przełączania się z potencjalnie przestarzałych algorytmów poprzez włączenie więcej niż jednego podpisu do pojedynczego nagłówka podpisu DKIM2. Systemy obsługujące analizę obu podpisów DKIM2 będą wymagały, aby oba były ważne i poprawne, w przeciwnym razie poczta zostanie odrzucona.
Minimalizacja obliczeń kryptograficznych
DKIM2 ma uprościć i zminimalizować ilość obliczeń kryptograficznych wymaganych do weryfikacji autentyczności treści wiadomości podczas sprawdzania DKIM. Główni dostawcy skrzynek pocztowych mają dużą liczbę podpisów DKIM dołączonych do wiadomości przychodzących. Podczas kryptoanalizy DKIM2 sprawdzi tylko pierwszy podpis DKIM2 w przypadku, gdy wiadomość nie została zmieniona przez żadnych pośredników, podczas gdy obecnie DKIM1 sprawdza wszystkie podpisy DKIM. Wprowadzi to bardziej efektywny i szybszy proces obliczeń kryptograficznych.
Podsumowanie
Podsumowując kluczowe wnioski z projektu IETF, protokół DKIM2 ma na celu ominięcie kilku wad obecnej wersji protokołu DKIM1, dzięki czemu obsługa podpisów będzie prosta, bezpieczna i bardziej skuteczna. Oczekuje się również, że poprawi on możliwości raportowania i ustandaryzuje pętle informacji zwrotnych - pomagając firmom być na bieżąco znacznie bardziej niż kiedykolwiek wcześniej! Miejmy nadzieję, że wkrótce będziemy świadkami oficjalnego wdrożenia, aby firmy mogły w pełni wykorzystać swoje uwierzytelnianie DKIM.
Aby uzyskać pomoc dotyczącą wdrożenia DKIM i zarządzania kluczami, skontaktuj się z nami już dziś!
- Yahoo Japan zaleca użytkownikom przyjęcie DMARC w 2025 roku - 17 stycznia 2025 r.
- Botnet MikroTik wykorzystuje błędne konfiguracje SPF do rozprzestrzeniania złośliwego oprogramowania - 17 stycznia 2025 r.
- Nieuwierzytelniona poczta DMARC jest zabroniona [ROZWIĄZANE] - 14 stycznia 2025 r.