Nota: O DKIM2 está atualmente em fase de projeto nos arquivos de documentos da IETF e pode ser sujeito a alterações no futuro.
O DKIM ou DomainKeys Identified MailA versão atual do DKIM foi publicada pela primeira vez em 2011, como um protocolo de autenticação de correio eletrónico que ajudava a assinar mensagens com assinaturas digitais para autenticar o remetente. O DKIM permitia aos servidores de correio eletrónico verificar se a mensagem não tinha sido adulterada durante a transmissão. O DKIM é definido em RFC 6376 como um protocolo que "permite que uma pessoa, função ou organização proprietária do domínio de assinatura reivindique alguma responsabilidade por uma mensagem, associando o domínio à mensagem."
Em 2024, o DKIM poderá ter um novo visual, chamado DKIM2! Prevê-se que o DKIM2 substitua em breve o antigo mecanismo de segurança do correio eletrónico (DKIM) por um mecanismo novo e atualizado para uma autenticação e segurança melhoradas.
A necessidade de substituir o DKIM
O mecanismo nascente do DKIM - DKIM1 foi delineado pela primeira vez na RFC 4871e publicado no ano de 2007. Desde então, ao longo dos anos, foram descobertas várias fragilidades operacionais:
1. Questão da modificação do intermediário
Em vários casos de reencaminhamento de correio eletrónicoos servidores intermediários tomam frequentemente a liberdade de modificar uma mensagem de correio eletrónico legítima, acrescentando rodapés adicionais ou fazendo modificações na assinatura. Isto faz com que a assinatura DKIM1 original não seja verificável, levando a falhas DKIM indesejadas. Os e-mails em causa podem ser potencialmente sinalizados ou marcados como spam, apesar de serem legítimos.
2. Danos à reputação através de ataques de repetição
Em um ataque de repetição DKIMum agente de ameaça reenvia uma mensagem de correio eletrónico que foi originalmente autenticada e assinada com uma assinatura DKIM, fazendo-a passar por uma mensagem nova e autêntica. No entanto, a mensagem pode ter sido alterada e pode agora ser potencialmente prejudicial. Em suma, os agentes maliciosos podem "reproduzir" mensagens de correio eletrónico assinadas com DKIM, prejudicando a reputação dos signatários legítimos.
3. Falta de feedback padronizado
Existem certos mecanismos informais de feedback criados por alguns sistemas para notificar os remetentes de correio eletrónico sobre o desempenho dos seus emails assinados com DKIM. Estes ciclos de feedback ajudam os remetentes a saber se as suas mensagens estão a ser entregues corretamente ou sinalizadas como problemáticas. No entanto, atualmente não existem regras oficiais sobre a forma como estes sistemas de feedback devem funcionar. Esta falta de normalização pode levar a que o feedback seja enviado desnecessariamente ou não seja útil.
4. Problema de retrodifusão
Se alguém falsificar o remetente de uma mensagem de correio eletrónico (falsificar a origem) e a mensagem não puder ser entregue, o sistema envia frequentemente um "aviso de falha". Este aviso é designado por Notificação de Estado de Entrega, ou DSN. O aviso chega à vítima inocente cujo domínio foi falsificado. Isto significa que uma pessoa inocente, que não tem nada a ver com o correio eletrónico, recebe uma notificação confusa ou indesejada. Este fenómeno é conhecido como backscatter.
O que é o DKIM2?
Prevê-se que o DKIM2 seja a próxima versão actualizada do DKIM1, com o objetivo de corrigir as deficiências da versão anterior, como a vulnerabilidade a ataques de repetição, problemas com o reencaminhamento de correio, e fornecer criptografia melhorada para uma melhor autenticação e subsequente proteção.
Espera-se também que o DKIM2 resolva os problemas de assinatura de cabeçalhos, evite a retrodifusão e suporte vários algoritmos criptográficos para facilitar a migração de uma versão algorítmica desactualizada para uma nova.
Como é que o DKIM2 pode ser uma vantagem para as empresas?
O DKIM2 pode superar as capacidades do DKIM1, proporcionando as seguintes vantagens fundamentais:
Assinatura de cabeçalho normalizada
Enquanto o DKIM1 por vezes assina parcialmente os cabeçalhos, deixando lacunas não seguras que podem ser exploradas pelos agentes de ameaças, o DKIM2 normalizará quais os cabeçalhos que devem ser assinados. Isto reduzirá a confusão e garantirá que todos os cabeçalhos importantes sejam assinados e protegidos de forma consistente.
Prevenção de retrodifusão
O problema de o DKIM1 causar backscatter foi explicado na secção anterior. O DKIM2 permitirá que o DSN seja enviado para o servidor que tratou o correio eletrónico pela última vez, evitando confusão para terceiros inocentes.
Tratamento de erros simplificado
O DKIM2 reforça a segurança e a eficiência do correio eletrónico, melhorando a forma como são tratados os rejeições e os erros. Assegura que as mensagens devolvidas seguem o caminho correto, protegendo a privacidade do destinatário e ajudando os intermediários, como os fornecedores de serviços de correio eletrónico e as listas de distribuição, a localizar e gerir facilmente os problemas de entrega. Além disso, o DKIM2 permite que as listas de distribuição e os gateways de segurança registem e revertam as alterações que efectuam, simplificando a verificação e detectando tentativas de adulteração.
Como lidar com os ataques de repetição DKIM
Já sabemos que uma mensagem de correio eletrónico válida assinada pelo DKIM pode ser reenviada - ou seja, "reproduzida" para muitos destinatários, sem ser detectada. O DKIM2 pode finalmente resolver este problema, introduzindo carimbos de data/hora e cabeçalhos específicos do destinatário, tornando mais fácil detetar e evitar ataques de repetição de correio eletrónico. Além disso, também reconhecerá as mensagens duplicadas, identificando os responsáveis.
Destreza algorítmica
O DKIM2 suportará uma vasta gama de algoritmos criptográficos, como o RSA, a curva elíptica e, possivelmente, o pós-quântico. Isto assegurará a flexibilidade e a preparação para o futuro. O lado positivo de suportar uma gama tão diversificada de algoritmos é que, se um anterior ficar desatualizado, a migração será fácil.
A documentação da IETF explica que, na eventualidade de, durante o processo de análise criptográfica, um algoritmo ficar obsoleto ou falhar - o outro deve passar. Para tornar isto possível, os criadores do DKIM2 estão a adotar uma abordagem faseada para mudar de algoritmos potencialmente obsoletos, incluindo mais do que uma assinatura num único cabeçalho de assinatura DKIM2. Os sistemas que suportam a análise de ambas as assinaturas DKIM2 exigirão que ambas sejam válidas e corretas, caso contrário o correio será rejeitado.
Minimizar os cálculos criptográficos
O DKIM2 foi projetado para simplificar e minimizar a quantidade de cálculos criptográficos necessários para verificar a autenticidade do conteúdo da mensagem durante as verificações DKIM. Os principais fornecedores de caixas de correio têm um grande número de assinaturas DKIM anexadas às mensagens recebidas. Durante a criptanálise, o DKIM2 verificará apenas a primeira assinatura DKIM2, caso a mensagem não tenha sido alterada por nenhum intermediário, enquanto atualmente o DKIM1 verifica todas as assinaturas DKIM. Isto introduzirá um processo mais eficaz e mais rápido para cálculos criptográficos.
Resumo
Para resumir as principais conclusões do projeto da IETF, o protocolo DKIM2 destina-se a contornar vários inconvenientes da atual versão do protocolo DKIM1, tornando o tratamento de assinaturas simples, seguro e mais eficaz. Espera-se também que melhore as capacidades de comunicação e normalize os ciclos de feedback - ajudando as empresas a manterem-se informadas muito mais do que nunca! Espera-se que o lançamento oficial ocorra em breve, para que as empresas possam tirar o máximo partido da sua autenticação DKIM.
Para obter assistência relativamente à implementação do DKIM e à gestão de chaves, contacte-nos hoje mesmo!
- Yahoo Japan impõe a adoção de DMARC aos utilizadores em 2025 - 17 de janeiro de 2025
- Botnet MikroTik explora erros de configuração de SPF para espalhar malware - 17 de janeiro de 2025
- DMARC Correio Não Autenticado é Proibido [SOLVED] - January 14, 2025