Dlaczego potrzebujesz DKIM? Czy SPF nie jest wystarczający?
Praca zdalna w szczególny sposób wprowadziła ludzi na zwiększoną liczbę ataków phishingowych i cybernetycznych. Najgorsza ilość ataków phishingowych to te, których nie można zignorować. Bez względu na ilość otrzymywanych i wysyłanych maili i pomimo wzrostu popularności czatów i komunikatorów w miejscu pracy, dla większości osób pracujących w biurach, email nadal dominuje w komunikacji biznesowej zarówno wewnętrznej jak i zewnętrznej.
Nie jest jednak tajemnicą, że e-maile są zwykle najczęstszym punktem wejścia dla cyberataków, które polegają na przemycaniu złośliwego oprogramowania i exploitów do sieci i poświadczeń oraz ujawnianiu wrażliwych danych. Według danych SophosLabs z września 2020 r. około 97% złośliwego spamu przechwyconego przez pułapki spamowe stanowiły wiadomości phishingowe, polujące na dane uwierzytelniające lub inne informacje .
Z tego, pozostałe 3% przenosiło mieszane torby z wiadomościami, które niosły linki do złośliwych stron internetowych lub z tymi, które były załącznikami z pułapką. W większości przypadków miały one nadzieję na zainstalowanie backdoorów, trojanów zdalnego dostępu (RAT), kradnących informacje, exploitów, a może pobranie innych złośliwych plików.
Bez względu na źródło, phishing pozostaje dość przerażająco skuteczną taktyką dla atakujących, niezależnie od ich ostatecznego celu. Istnieją pewne solidne środki, które każda organizacja może wykorzystać do weryfikacji, czy wiadomość e-mail pochodzi od osoby i źródła, za które się podaje.
Jak DKIM przychodzi na ratunek?
Należy upewnić się, że bezpieczeństwo poczty e-mail organizacji powinno być w stanie sprawdzić każdą przychodzącą wiadomość e-mail, która byłaby sprzeczna z regułami uwierzytelniania ustawionymi przez domenę, z której wydaje się pochodzić wiadomość e-mail. DomainKeys Identified Mail (DKIM) pomaga sprawdzić przychodzące wiadomości e-mail, aby sprawdzić, czy nic nie zostało zmienione. W przypadku tych wiadomości e-mail, które są legalne, DKIM z pewnością znalazłby podpis cyfrowy, który byłby powiązany z określoną nazwą domeny.
Ta nazwa domeny będzie dołączona do nagłówka wiadomości e-mail, a tam będzie odpowiedni klucz szyfrowania z powrotem w domenie źródłowej. Największą zaletą DKIM jest to, że zapewnia on cyfrowy podpis na nagłówkach Twoich emaili, dzięki czemu serwery odbierające mogą kryptograficznie uwierzytelnić te nagłówki, uznając je za ważne i oryginalne.
Nagłówki te są zazwyczaj podpisane jako "Od", "Do", "Temat" i "Data".
Dlaczego potrzebujesz DKIM?
Eksperci w dziedzinie cyberbezpieczeństwa twierdzą, że DKIM jest dość potrzebny w codziennym scenariuszu do zabezpieczania oficjalnych e-maili. W DKIM, podpis jest generowany przez MTA (Mail Transfer Agent), który tworzy unikalny ciąg znaków zwany Hash Value.
Ponadto, wartość hash jest przechowywany w wymienionej domeny, które po otrzymaniu wiadomości e-mail, odbiorca może zweryfikować podpis DKIM za pomocą klucza publicznego, który jest zarejestrowany w systemie nazw domen (DNS). Po tym, klucz ten jest używany do odszyfrowania Hash Value w nagłówku, a także ponownie obliczyć wartość hash z e-maila, który otrzymał.
Po tym, eksperci dowiedzą się, że jeśli te dwa podpisy DKIM są zgodne, to MTA będzie wiedzieć, że e-mail nie został zmieniony. Dodatkowo, użytkownik otrzymuje dalsze potwierdzenie, że email został faktycznie wysłany z wymienionej domeny.
DKIM, który został pierwotnie utworzony przez połączenie dwóch kluczy stacji, klucze domenowe (jeden stworzony przez Yahoo) i Identified Internet Mail (przez Cisco) w 2004 roku, został rozwija się w nowy szeroko przyjętej techniki uwierzytelniania, który sprawia, że organizacja procedura e-mail dość wiarygodne, i który jest specjalnie dlaczego wiodących firm technologicznych, takich jak Google, Microsoft i Yahoo zawsze sprawdzić przychodzące poczty dla DKIM podpisów.
DKIM Vs. SPF
Sender Policy Framework(SPF) jest formą uwierzytelniania wiadomości e-mail, która definiuje proces w celu zatwierdzenia wiadomości e-mail, która została wysłana z autoryzowanego serwera pocztowego w celu wykrycia fałszerstw i zapobiegania oszustwom.
Chociaż większość osób jest zdania, że zarówno SPF jak i DKIM muszą być używane w organizacjach, DKIM z pewnością ma dodatkową przewagę nad pozostałymi. Powody są następujące:
- W DKIM właściciel domeny publikuje klucz kryptograficzny, który jest specjalnie sformatowany jako rekord TXT w ogólnym rekordzie DNS
- Unikalny podpis DKIM, który jest dołączony do nagłówka wiadomości sprawia, że jest ona bardziej autentyczna
- Używanie DKIM okazuje się bardziej owocne, ponieważ klucz DKIM używany przez serwery poczty przychodzącej do wykrywania i odszyfrowywania podpisu wiadomości świadczy o tym, że wiadomość jest bardziej autentyczna, i niezmieniona.
Na zakończenie
Dla większości organizacji biznesowych, DKIM nie tylko chroniłby ich firmy przed atakami typu phishing i spoofing, ale także pomagałby w ochronie relacji z klientami i reputacji marki.
Jest to szczególnie ważne, ponieważ DKIM zapewnia klucz szyfrujący i podpis cyfrowy, który podwójnie dowodzi, że e-mail nie został sfałszowany lub zmieniony. Praktyki te pomogłyby organizacjom i firmom zbliżyć się o krok do poprawy ich dostarczalności e-maili i wysyłania bezpiecznych wiadomości, co pomogłoby w generowaniu przychodów. W dużej mierze zależy to od organizacji, jak będą z nich korzystać i jak je wdrożą. To jest najważniejsze i relatywne, ponieważ większość organizacji chciałaby uwolnić się od cyberataków i zagrożeń.
- Czy Blockchain może pomóc poprawić bezpieczeństwo poczty e-mail? - 9 maja 2024 r.
- Serwery proxy dla centrów danych: Odsłonięcie konia roboczego świata proxy - 7 maja 2024 r.
- Kimsuky wykorzystuje zasady DMARC "None" w ostatnich atakach phishingowych - 6 maja 2024 r.