Dlaczego potrzebuję DKIM? Czy SPF nie jest wystarczający?

Praca zdalna w szczególny sposób naraziła ludzi na zwiększoną liczbę ataków phishingowych i cybernetycznych. Najgorsze ataki phishingowe to te, których nie można zignorować. Bez względu na ilość otrzymywanych i wysyłanych maili i pomimo wzrostu popularności czatów i komunikatorów internetowych, dla większości osób pracujących w biurach, poczta elektroniczna nadal dominuje w komunikacji biznesowej, zarówno wewnętrznej, jak i zewnętrznej.

Nie jest jednak tajemnicą, że e-maile są zazwyczaj najczęstszym punktem wejścia dla cyberataków, które polegają na wkradaniu się złośliwego oprogramowania i exploitów do sieci i danych uwierzytelniających oraz ujawnianiu wrażliwych danych. Według danych SophosLabs z września 2020 roku, około 97% złośliwego spamu wyłapanego przez pułapki spamowe to wiadomości phishingowe, polujące na dane uwierzytelniające lub jakiekolwiek inne informacje.

Z tego, pozostałe 3% stanowiły mieszane wiadomości zawierające linki do złośliwych stron internetowych lub załączniki z pułapkami. Miały one głównie na celu zainstalowanie backdoorów, trojanów zdalnego dostępu (RAT), kradzieży informacji, exploitów lub pobranie innych złośliwych plików.

Bez względu na źródło, phishing pozostaje dość przerażająco skuteczną taktyką dla atakujących, niezależnie od tego, jaki jest ich ostateczny cel. Istnieją pewne solidne środki, które wszystkie organizacje mogą wykorzystać do sprawdzenia, czy wiadomość e-mail pochodzi od osoby i źródła, za które się podaje.

Jak DKIM przychodzi na ratunek?

Musi być zapewnione, że bezpieczeństwo e-mail organizacji powinny być w stanie utrzymać kontrolę na każdym e-mailu, który jest przychodzący, który byłby przeciwko reguł uwierzytelniania jest ustawiony przez domenę, że e-mail wydaje się pochodzić. DomainKeys Identified Mail (DKIM) jest jednym, który pomaga zajrzeć do przychodzącego e-maila, aby sprawdzić, czy nic nie zostało zmienione. W przypadku tych emaili, które są legalne, DKIM z pewnością znalazłby podpis cyfrowy, który byłby powiązany z konkretną nazwą domeny.

Ta nazwa domeny będzie dołączona do nagłówka wiadomości e-mail, a tam będzie odpowiedni klucz szyfrowania z powrotem w domenie źródłowej. Największą zaletą DKIM jest to, że zapewnia on cyfrowy podpis na nagłówkach wiadomości e-mail, dzięki czemu serwery odbierające mogą kryptograficznie uwierzytelnić te nagłówki, uznając je za ważne i oryginalne.

Nagłówki te są zazwyczaj podpisane jako "Od", "Do", "Temat" i "Data".

Dlaczego potrzebujesz DKIM?

Eksperci w dziedzinie cyberbezpieczeństwa twierdzą, że DKIM jest bardzo potrzebny w codziennym scenariuszu do zabezpieczania oficjalnych e-maili. W DKIM, podpis jest generowany przez MTA (Mail Transfer Agent), który tworzy unikalny ciąg znaków zwany Hash Value.

Dalej, wartość hash jest przechowywana w wymienionej domenie, która po otrzymaniu wiadomości e-mail, odbiorca może zweryfikować podpis DKIM za pomocą klucza publicznego, który jest zarejestrowany w systemie nazw domen (DNS). Po tym, klucz ten jest używany do odszyfrowania Hash Value w nagłówku, a także ponownie obliczyć wartość hash z e-maila, który otrzymał.

Po tym, eksperci dowiedzą się, że jeśli te dwie sygnatury DKIM są zgodne, wtedy MTA będzie wiedział, że email nie został zmieniony. Dodatkowo, użytkownik otrzymuje dalsze potwierdzenie, że email został rzeczywiście wysłany z wymienionej domeny.

DKIM, który został pierwotnie utworzony przez połączenie dwóch kluczy stacji, kluczy domenowych (ten stworzony przez Yahoo) i Identified Internet Mail (przez Cisco) w 2004 roku, i rozwija się w nową szeroko przyjętą technikę uwierzytelniania, która sprawia, że procedura e-mail organizacji dość wiarygodne, i który jest szczególnie dlaczego wiodących firm technologicznych, takich jak Google, Microsoft i Yahoo zawsze sprawdzić przychodzące poczty dla podpisów DKIM.

DKIM Vs. SPF

Sender Policy Framework (SPF) jest formą uwierzytelniania wiadomości e-mail, która definiuje proces w celu sprawdzenia poprawności wiadomości e-mail, która została wysłana z autoryzowanego serwera pocztowego w celu wykrycia fałszerstwa i zapobiegania oszustwom.

Podczas gdy większość ludzi jest zdania, że zarówno SPF jak i DKIM muszą być używane w organizacjach, ale DKIM z pewnością ma dodatkową przewagę nad pozostałymi. Powody są następujące:

  • W DKIM, właściciel domeny publikuje klucz kryptograficzny, który jest specjalnie sformatowany jako rekord TXT w ogólnym rekordzie DNS
  • Unikalny podpis DKIM, który jest dołączony do nagłówka wiadomości sprawia, że jest ona bardziej autentyczna.
  • Używanie DKIM okazuje się być bardziej owocne, ponieważ klucz DKIM używany przez serwery poczty przychodzącej do wykrywania i odszyfrowywania podpisu wiadomości świadczy o tym, że wiadomość jest bardziej autentyczna i niezmieniona.

Na zakończenie

Dla większości organizacji biznesowych, DKIM nie tylko chroniłby ich firmy przed atakami typu phishing i spoofing, ale także pomagałby w ochronie relacji z klientami i reputacji marki.

Jest to szczególnie ważne, ponieważ DKIM dostarcza klucz szyfrujący i podpis cyfrowy, co podwójnie dowodzi, że wiadomość e-mail nie została sfałszowana lub zmieniona. Praktyki te pomogłyby organizacjom i firmom zbliżyć się o krok do poprawy ich dostarczalności i wysyłania bezpiecznych wiadomości e-mail, co pomogłoby w generowaniu przychodów. W dużej mierze zależy to od organizacji, jak będą z nich korzystać i jak je wdrożą. To jest najważniejsze i relatable jako większość organizacji będzie chciał uwolnić się od cyberataków i zagrożeń.