O DKIM é um aspeto crucial da autenticação de correio eletrónico que utiliza criptografia sob a forma de assinaturas digitais para assinar mensagens enviadas de um domínio. Isto, por sua vez, garante que os e-mails provenientes de uma fonte autorizada não são alterados antes de chegarem ao destinatário pretendido, atenuando assim as ameaças de falsificação de identidade.
Num ataque de repetição do DKIM, um atacante intercepta uma mensagem de correio eletrónico legítima assinada pelo DKIM e reenvia-a várias vezes para o destinatário pretendido ou para um alvo diferente, sem fazer quaisquer alterações ao conteúdo ou à assinatura da mensagem. O objetivo deste ataque é tirar partido da confiança estabelecida pela assinatura DKIM para fazer o destinatário acreditar que está a receber várias cópias da mesma mensagem legítima.
O que é um ataque de repetição DKIM?
Um ataque de repetição DKIM é um ciberataque em que um agente de ameaça intercepta uma mensagem de correio eletrónico que foi assinada e considerada fiável utilizando o DKIM e, em seguida, reenvia ou "repete" essa mesma mensagem de correio eletrónico para induzir o destinatário a pensar que se trata de uma mensagem nova e fiável, embora possa estar alterada ou ser prejudicial.
Antes de analisarmos a anatomia de um ataque de repetição DKIM e discutirmos as estratégias de atenuação, vamos discutir o funcionamento do DKIM:
Como é que o DKIM autentica os e-mails?
DKIM (DomainKeys Identified Mail) é um método de autenticação de correio eletrónico que ajuda a verificar a autenticidade das mensagens de correio eletrónico e a detetar tentativas de falsificação e phishing de correio eletrónico. O DKIM adiciona uma assinatura digital à mensagem de correio eletrónico no servidor de envio e esta assinatura pode ser verificada pelo servidor de correio eletrónico do destinatário para garantir que a mensagem não foi adulterada durante o trânsito.
O DKIM funciona com base nos seguintes processos:
1. Assinatura de mensagens: Quando uma mensagem de correio eletrónico é enviada de um domínio que utiliza o DKIM, o servidor de correio eletrónico que a envia gera uma assinatura criptográfica única para a mensagem. Esta assinatura baseia-se no conteúdo do correio eletrónico (cabeçalho e corpo) e em alguns campos específicos do cabeçalho, como o endereço "De" e o campo "Data". O processo de assinatura envolve normalmente a utilização de uma chave privada.
2. Chave pública Publicação: O domínio remetente publica uma chave DKIM pública nos seus registos DNS (Domain Name System). Esta chave pública é utilizada pelo servidor de correio eletrónico do destinatário para verificar a assinatura.
3. Transmissão de mensagens: A mensagem de correio eletrónico, que contém agora a assinatura DKIM, é transmitida através da Internet para o servidor de correio eletrónico do destinatário.
4. Verificação: Quando o servidor de correio eletrónico do destinatário recebe o correio eletrónico, recupera a assinatura DKIM dos cabeçalhos do correio eletrónico e procura a chave DKIM pública do remetente nos registos DNS do domínio do remetente.
Se a assinatura corresponder ao conteúdo da mensagem de correio eletrónico, o destinatário pode estar razoavelmente seguro de que a mensagem não foi adulterada durante o seu transporte e que provém genuinamente do domínio do remetente alegado.
5. Aprovado ou Reprovado: Com base no resultado do processo de verificação, o servidor do destinatário pode marcar a mensagem de correio eletrónico como DKIM-verificado ou DKIM-failed.
O DKIM ajuda a evitar vários ataques baseados em correio eletrónico, como phishing e spoofing, fornecendo um mecanismo para verificar a autenticidade do domínio do remetente.
Como é que os ataques de repetição DKIM funcionam?
Num ataque de repetição DKIM, os indivíduos mal-intencionados podem utilizar a clemência das assinaturas DKIM para enganar os destinatários de correio eletrónico e potencialmente espalhar conteúdos nocivos ou fraudes.
Vamos explicar como funciona um ataque de repetição DKIM, passo a passo:
Flexibilidade da assinatura DKIM
O DKIM permite que o domínio de assinatura (o domínio que assina a mensagem de correio eletrónico) seja diferente do domínio mencionado no cabeçalho "De" da mensagem de correio eletrónico. Isto significa que, mesmo que uma mensagem de correio eletrónico afirme ser de um determinado domínio no cabeçalho "De", a assinatura DKIM pode ser associada a um domínio diferente.
Verificação DKIM
Quando o servidor de um destinatário de correio eletrónico recebe um correio eletrónico com uma assinatura DKIM, verifica a assinatura para garantir que o correio eletrónico não foi alterado desde que foi assinado pelos servidores de correio do domínio. Se a assinatura DKIM for válida, confirma que o correio eletrónico passou pelos servidores de correio do domínio de assinatura e não foi adulterado durante o trânsito.
Explorar domínios de grande reputação
Agora, é aqui que o ataque entra em ação. Se um atacante conseguir assumir o controlo ou invadir uma caixa de correio, ou criar uma caixa de correio com um domínio de elevada reputação (o que significa que é uma fonte de confiança aos olhos dos servidores de correio eletrónico), aproveita a reputação do domínio em seu benefício.
Enviar o e-mail inicial
O atacante envia uma única mensagem de correio eletrónico do seu domínio de elevada reputação para outra caixa de correio que controla. Esta mensagem de correio eletrónico inicial pode ser inofensiva ou mesmo legítima para evitar suspeitas.
Retransmissão
Agora, o atacante pode utilizar o correio eletrónico gravado para retransmitir a mesma mensagem a um conjunto diferente de destinatários, muitas vezes aqueles que não eram originalmente pretendidos pelo remetente legítimo. Uma vez que o correio eletrónico tem a sua assinatura DKIM intacta do domínio de elevada reputação, é mais provável que os servidores de correio eletrónico confiem nele, pensando que se trata de uma mensagem legítima - contornando assim os filtros de autenticação.
Passos para evitar ataques de repetição DKIM
Estratégias de prevenção de ataques de repetição DKIM para remetentes de correio eletrónico:
1. Sobreposição de cabeçalhos
Para garantir que os cabeçalhos principais, como Data, Assunto, De, Para e CC, não podem ser adicionados ou modificados após a assinatura, considere a possibilidade de os assinar em excesso. Esta proteção impede que agentes maliciosos adulterem estes componentes críticos da mensagem.
2. Definição de tempos de expiração curtos (x=)
Implementar um tempo de expiração (x=) tão breve quanto possível. Isto reduz a janela de oportunidade para ataques de repetição. Os domínios recentemente criados devem ter um tempo de expiração ainda mais curto do que os mais antigos, uma vez que são mais vulneráveis a ataques.
3. Utilização de carimbos temporais (t=) e nonces
Para evitar ainda mais os ataques de repetição, inclua carimbos de data/hora e nonces (números aleatórios) nos cabeçalhos ou no corpo da mensagem de correio eletrónico. Isto torna difícil para os atacantes reenviarem a mesma mensagem de correio eletrónico mais tarde, uma vez que os valores teriam mudado.
4. Rotação periódica das chaves DKIM
Rode as chaves DKIM regularmente e actualize os seus registos DNS em conformidade. Isto minimiza a exposição de chaves de longa duração que podem ser comprometidas e utilizadas em ataques de repetição.
Estratégias de prevenção de ataques de repetição DKIM para receptores de correio eletrónico:
1. Implementação do Rate Limiting
Os receptores podem implementar a limitação de taxa nas mensagens de correio eletrónico recebidas para evitar que os atacantes inundem o seu sistema com mensagens de correio eletrónico repetidas. Para tal, pode definir limites para o número de mensagens de correio eletrónico aceites de um remetente específico num determinado período de tempo.
2. Educar os destinatários do correio eletrónico
Informe os seus destinatários de correio eletrónico sobre a importância do DKIM e incentive-os a verificar as assinaturas DKIM nas mensagens de correio eletrónico recebidas. Isto pode ajudar a reduzir o impacto de quaisquer potenciais ataques de repetição nos seus destinatários.
3. Medidas de segurança da rede
Implementar medidas de segurança de rede para detetar e bloquear o tráfego de endereços IP maliciosos conhecidos e de fontes que possam estar envolvidas em ataques de repetição.
Como o PowerDMARC ajuda a atenuar os ataques de repetição DKIM
Para tornar a gestão de chaves DKIM fácil e sem esforço para os proprietários de domínios, apresentámos a nossa solução abrangente DKIM hospedado hospedada. Ajudamo-lo a monitorizar os seus fluxos de correio eletrónico e práticas de assinatura DKIM para que possa detetar rapidamente discrepâncias, mantendo-se sempre um passo à frente dos atacantes.
A otimização de registos no nosso painel de controlo é automática, sem necessidade de aceder várias vezes ao seu DNS para actualizações manuais. Mude para a automação com o PowerDMARC, fazendo alterações em suas assinaturas, manipulando vários seletores e girando suas chaves DKIM sem o incômodo do trabalho manual. Inscreva-se hoje para fazer um teste gratuito!
- Como as ferramentas de pentest automatizadas revolucionam o e-mail e a segurança cibernética - 3 de fevereiro de 2025
- Estudo de caso de MSP: Hubelia simplificou o gerenciamento de segurança do domínio do cliente com o PowerDMARC - 31 de janeiro de 2025
- As 6 principais soluções DMARC para MSPs em 2025 - 30 de janeiro de 2025