Czym są ataki DKIM Replay i jak się przed nimi chronić?

przez

Ostatnia aktualizacja:
5 czas czytania: 5 minut
Czym są ataki DKIM Replay i jak się przed nimi chronić?

DKIM jest kluczowym aspektem uwierzytelniania wiadomości e-mail, który wykorzystuje kryptografię w postaci podpisów cyfrowych do podpisywania wiadomości wysyłanych z domeny. To z kolei gwarantuje, że wiadomości e-mail pochodzące z autoryzowanego źródła nie zostaną zmienione przed dotarciem do zamierzonego odbiorcy, ograniczając w ten sposób zagrożenia związane z podszywaniem się. 

W przypadku ataku typu „replay” na DKIM osoba atakująca przechwytuje prawidłową wiadomość e-mail podpisaną za pomocą DKIM, a następnie wielokrotnie wysyła ją ponownie do pierwotnego odbiorcy lub innego adresata, nie wprowadzając żadnych zmian w treści wiadomości ani w podpisie. Celem tego ataku jest wykorzystanie zaufania zbudowanego przez podpisu DKIM , aby przekonać odbiorcę, że otrzymuje wiele kopii tej samej prawidłowej wiadomości.

Kluczowe wnioski

  1. DKIM wykorzystuje podpisy kryptograficzne do weryfikacji, czy wiadomości e-mail nie zostały zmienione podczas przesyłania.
  2. Atak typu replay DKIM polega na ponownym wysłaniu zaufanej wiadomości e-mail w celu nakłonienia odbiorcy do uwierzenia, że jest to nowa, legalna wiadomość.
  3. Atakujący mogą wykorzystać DKIM, używając domen o wysokiej reputacji do podszywania się pod zaufane źródła wiadomości e-mail.
  4. Zapobieganie atakom typu replay DKIM obejmuje takie strategie, jak nadpisywanie nagłówków i regularna rotacja kluczy DKIM.
  5. Edukowanie odbiorców wiadomości e-mail na temat DKIM i wdrażanie ograniczeń szybkości może pomóc w ograniczeniu ryzyka ataków typu replay.

Czym jest atak DKIM Replay Attack? 

Atak typu replay DKIM to cyberatak, w którym podmiot stanowiący zagrożenie przechwytuje wiadomość e-mail, która została podpisana i zaufana przy użyciu DKIM, a następnie ponownie wysyła lub "odtwarza" tę samą wiadomość e-mail, aby oszukać odbiorcę, że jest to nowa, godna zaufania wiadomość, mimo że może być zmieniona lub szkodliwa.

Przed omówieniem anatomii ataku typu replay DKIM i omówieniem strategii łagodzenia skutków, omówmy, jak działa DKIM: 

Uprość bezpieczeństwo z PowerDMARC!

Jak DKIM uwierzytelnia e-maile?

DKIM (DomainKeys Identified Mail) to metoda uwierzytelniania wiadomości e-mail, która pomaga weryfikować autentyczność wiadomości e-mail i wykrywać próby fałszowania wiadomości e-mail i phishingu. DKIM dodaje podpis cyfrowy do wiadomości e-mail na serwerze wysyłającym, a podpis ten może zostać zweryfikowany przez serwer pocztowy odbiorcy, aby upewnić się, że wiadomość nie została zmodyfikowana podczas przesyłania.

DKIM działa poprzez wykorzystanie następujących procesów: 

1. Podpisywanie wiadomości: Gdy wiadomość e-mail jest wysyłana z domeny korzystającej z DKIM, wysyłający serwer pocztowy generuje unikalny podpis kryptograficzny dla wiadomości. Podpis ten opiera się na treści wiadomości e-mail (nagłówek i treść) oraz niektórych określonych polach nagłówka, takich jak adres "Od" i pole "Data". Proces podpisywania zazwyczaj wymaga użycia klucza prywatnego.

2. Publikacja klucza publicznego: Domena wysyłająca publikuje publiczny klucz DKIM w swoich rekordach DNS (Domain Name System). Ten klucz publiczny jest używany przez serwer e-mail odbiorcy do weryfikacji podpisu.

3. Transmisja wiadomości: Wiadomość e-mail, zawierająca teraz podpis DKIM, jest przesyłana przez Internet do serwera e-mail odbiorcy.

4. Weryfikacja: Gdy serwer poczty e-mail odbiorcy otrzyma wiadomość e-mail, pobiera podpis DKIM z nagłówków wiadomości e-mail i wyszukuje publiczny klucz DKIM nadawcy w rekordach DNS domeny nadawcy.

Jeśli podpis jest zgodny z treścią wiadomości e-mail, odbiorca może mieć pewność, że wiadomość e-mail nie została zmodyfikowana podczas przesyłania i że rzeczywiście pochodzi z domeny nadawcy.

5. Zaliczenie lub niezaliczenie: W oparciu o wynik procesu weryfikacji serwer odbiorcy może oznaczyć wiadomość e-mail jako zweryfikowaną przez DKIM lub nieudaną przez DKIM.

DKIM pomaga zapobiegać różnym atakom opartym na wiadomościach e-mail, takim jak phishing i spoofing, zapewniając mechanizm weryfikacji autentyczności domeny nadawcy.

Jak działają ataki DKIM Replay?

W ataku typu replay DKIM złośliwe osoby mogą wykorzystać łagodność podpisów DKIM, aby oszukać odbiorców wiadomości e-mail i potencjalnie rozprzestrzeniać szkodliwe treści lub oszustwa. 

Przeanalizujmy krok po kroku, jak działa atak typu replay DKIM:

Elastyczność podpisu DKIM

DKIM pozwala, aby domena podpisu (domena, która podpisuje wiadomość e-mail) różniła się od domeny wymienionej w nagłówku "Od" wiadomości e-mail. Oznacza to, że nawet jeśli wiadomość e-mail twierdzi, że pochodzi z określonej domeny w nagłówku "Od", podpis DKIM może być powiązany z inną domeną.

Weryfikacja DKIM

Gdy serwer odbiorcy wiadomości e-mail otrzymuje wiadomość e-mail z podpisem DKIM, sprawdza podpis, aby upewnić się, że wiadomość e-mail nie została zmieniona od czasu jej podpisania przez serwery pocztowe domeny. Jeśli podpis DKIM jest ważny, potwierdza to, że wiadomość e-mail przeszła przez serwery pocztowe podpisującej domeny i nie została zmodyfikowana podczas transportu.

Wykorzystywanie renomowanych domen

W tym momencie do gry wkracza atak. Jeśli atakującemu uda się przejąć lub włamać do skrzynki pocztowej lub utworzyć skrzynkę pocztową z domeną o wysokiej reputacji (co oznacza, że jest to zaufane źródło w oczach serwerów poczty e-mail), wykorzysta on reputację domeny na swoją korzyść.

Wysyłanie początkowej wiadomości e-mail

Atakujący wysyła pojedynczą wiadomość e-mail ze swojej domeny o wysokiej reputacji do innej kontrolowanej przez siebie skrzynki pocztowej. Ta początkowa wiadomość e-mail może być nieszkodliwa lub nawet legalna, aby uniknąć podejrzeń.

Retransmisja

Teraz atakujący może użyć nagranej wiadomości e-mail do ponownego rozesłania tej samej wiadomości do innego zestawu odbiorców, często tych, którzy nie byli pierwotnie zamierzeni przez legalnego nadawcę. Ponieważ wiadomość e-mail ma nienaruszony podpis DKIM z domeny o wysokiej reputacji, serwery e-mail są bardziej skłonne zaufać jej, myśląc, że jest to legalna wiadomość - omijając w ten sposób filtry uwierzytelniające. 

Kroki mające na celu zapobieganie atakom DKIM Replay

Strategie zapobiegania atakom typu replay DKIM dla nadawców wiadomości e-mail: 

1. Nadpisywanie nagłówków

Aby upewnić się, że kluczowe nagłówki, takie jak Data, Temat, Od, Do i DW nie mogą zostać dodane lub zmodyfikowane po podpisaniu, należy rozważyć ich nadpisanie. Zabezpieczenie to uniemożliwia złośliwym podmiotom manipulowanie tymi krytycznymi składnikami wiadomości.

2. Ustawianie krótkich czasów wygaśnięcia (x=)

Wdrożenie możliwie najkrótszego czasu wygaśnięcia (x=). Zmniejsza to okno możliwości dla ataków typu replay. Nowo utworzone domeny muszą mieć jeszcze krótszy czas wygaśnięcia niż starsze, ponieważ są bardziej podatne na ataki. 

3. Wykorzystanie znaczników czasu (t=) i Nonces

Aby dodatkowo zapobiec atakom typu replay, w nagłówkach lub treści wiadomości e-mail należy umieścić znaczniki czasu i nonces (liczby losowe). Utrudnia to atakującym ponowne wysłanie tej samej wiadomości e-mail w późniejszym czasie, ponieważ wartości uległyby zmianie.

4. Okresowa rotacja kluczy DKIM

Regularnie rotuj klucze DKIM regularnie i odpowiednio aktualizuj swoje rekordy DNS. Minimalizuje to narażenie na długotrwałe klucze, które mogą zostać naruszone i wykorzystane w atakach typu replay.

 

Strategie zapobiegania atakom powtórkowym DKIM dla odbiorców wiadomości e-mail: 

1. Wdrażanie ograniczania stawek

Odbiorcy mogą wdrożyć ograniczenie szybkości przychodzących wiadomości e-mail, aby uniemożliwić atakującym zalanie systemu powtórzonymi wiadomościami e-mail. W tym celu można ustawić limity liczby wiadomości e-mail akceptowanych od określonego nadawcy w określonych ramach czasowych.

2. Edukacja odbiorców wiadomości e-mail

Poinformuj odbiorców wiadomości e-mail o znaczeniu DKIM i zachęć ich do weryfikowania podpisów DKIM w przychodzących wiadomościach e-mail. Może to pomóc zmniejszyć wpływ potencjalnych ataków typu replay na odbiorców.

3. Środki bezpieczeństwa sieci

Wdrożenie środków bezpieczeństwa sieci w celu wykrywania i blokowania ruchu ze znanych złośliwych adresów IP i źródeł, które mogą być zaangażowane w ataki typu replay.

Jak PowerDMARC pomaga ograniczyć ataki typu replay DKIM

Aby ułatwić właścicielom domen zarządzanie kluczami DKIM, wprowadziliśmy naszą kompleksową usługę hostowane rozwiązanie DKIM rozwiązanie. Pomagamy monitorować przepływ wiadomości e-mail i praktyki podpisywania DKIM, dzięki czemu można szybko wykryć rozbieżności, jednocześnie zawsze pozostając o krok przed atakującymi.

Optymalizacja rekordów na naszym pulpicie nawigacyjnym odbywa się automatycznie, bez konieczności wielokrotnego uzyskiwania dostępu do DNS w celu ręcznej aktualizacji. Przejdź na automatyzację z PowerDMARC, wprowadzając zmiany w podpisach, obsługując wiele selektorów i rotując klucze DKIM bez konieczności ręcznej pracy. Zarejestruj się już dziś, aby skorzystać z bezpłatny okres próbny!