Porque é que preciso de DKIM? O SPF não é suficiente?

O trabalho à distância introduziu especificamente as pessoas num número crescente de phishing e ciberataques. Na sua maioria, a pior quantidade de ataques de phishing são aqueles que não se pode ignorar. Não importa a quantidade de e-mails de trabalho recebidos e enviados, e apesar do aumento do chat no local de trabalho e das aplicações de mensagens instantâneas, para a maioria das pessoas que trabalham em escritórios, o e-mail continua a dominar a comunicação empresarial, tanto interna como externamente.

No entanto, não é segredo que os e-mails são geralmente o ponto de entrada mais comum para ciberataques, o que envolve a infiltração de malware e explorações na rede e nas credenciais, e a revelação dos dados sensíveis. De acordo com dados da SophosLabs em Setembro de 2020, cerca de 97% do spam malicioso capturado pelas armadilhas de spam eram e-mails de phishing, à procura de credenciais, ou qualquer outra informação .

Destes, os restantes 3% levavam um saco misto de mensagens que tinham sido carregadas com links para websites maliciosos ou com aqueles que eram anexos armadilhados. Estes esperavam instalar backdoors, trojans de acesso remoto (RATs), ladrões de informação, explorações, ou talvez descarregar outros ficheiros maliciosos.

Independentemente da fonte, o phishing continua a ser uma táctica bastante assustadoramente eficaz para os atacantes, qualquer que seja o seu objectivo final. Existem algumas medidas robustas que todas as organizações poderiam utilizar para verificar se um e-mail veio ou não da pessoa e da fonte de onde afirma ter vindo.

Como é que o DKIM vem salvar?

Deve ser assegurado que a segurança do correio electrónico de uma organização deve ser capaz de manter uma verificação em cada correio electrónico que chega, o que seria contra as regras de autenticação que estão a ser definidas pelo domínio de onde o correio electrónico parece ter vindo. DomainKeys Identified Mail (DKIM ) é aquele que ajuda a analisar um correio electrónico recebido, a fim de verificar se nada foi alterado. No caso das mensagens de correio electrónico legítimas, o DKIM estaria definitivamente a encontrar uma assinatura digital que estaria ligada a um nome de domínio específico.

Este nome de domínio seria anexado ao cabeçalho do e-mail, e haveria uma chave de encriptação correspondente no domínio de origem. A maior vantagem do DKIM é que fornece uma assinatura digital nos cabeçalhos do seu correio electrónico, para que os servidores que o recebem possam autenticar criptograficamente esses cabeçalhos, considerando-o válido e original.

Estes cabeçalhos são normalmente assinados como 'De', 'Para', 'Assunto' e 'Data'.

Porque precisa de DKIM?

Especialistas no domínio da segurança informática afirmam que o DKIM é praticamente necessário no cenário do dia-a-dia para garantir a segurança dos e-mails oficiais. No DKIM, a assinatura está a ser gerada pelo MTA (Mail Transfer Agent), que cria uma sequência única de caracteres chamada Hash Value.

Além disso, o valor hash está a ser armazenado no domínio listado, que após receber o e-mail, o receptor poderia verificar a assinatura DKIM utilizando a chave pública que está a ser registada no Sistema de Nomes de Domínio (DNS). Depois disto, esta chave está a ser utilizada para decifrar o valor de hash no cabeçalho, e também recalcular o valor de hash a partir do email que recebeu.

Depois disto, os peritos estariam a descobrir que, se estas duas assinaturas DKIM forem compatíveis, então a MTA estaria a saber que o e-mail não foi alterado. Além disso, o utilizador está a receber mais uma confirmação de que o e-mail estava efectivamente a ser enviado a partir do domínio listado.

DKIM, que estava a ser formado originalmente pela fusão de duas chaves de estação, chaves de domínio (a criada por Yahoo) e Correio Internet Identificado (por Cisco) em 2004, e tem vindo a evoluir para uma nova técnica de autenticação amplamente adoptada que torna o procedimento de correio electrónico de uma organização bastante fiável, e que é especificamente a razão pela qual as principais empresas tecnológicas como Google, Microsoft e Yahoo verificam sempre a entrada de correio à procura de assinaturas DKIM.

DKIM Vs. SPF

O Sender Policy Framework (SPF) é uma forma de autenticação de correio electrónico que define um processo para validar uma mensagem de correio electrónico, uma que foi enviada de um servidor de correio autorizado para detectar falsificações e para prevenir fraudes.

Embora a maioria das pessoas tenha a opinião de que tanto o SPF como o DKIM devem ser utilizados em organizações, o DKIM tem certamente uma vantagem adicional sobre os outros. As razões são as seguintes:

  • No DKIM, o proprietário do domínio publica uma chave criptográfica, que está a ser especificamente formatada como um registo TXT no registo DNS global
  • A assinatura única DKIM que está a ser anexada ao cabeçalho da mensagem torna-a mais autêntica
  • A utilização do DKIM revela-se mais frutuosa porque a chave DKIM utilizada pelos servidores de correio de entrada para detectar e desencriptar a assinatura da mensagem prova que a mensagem é mais autêntica, e inalterada.

Em Conclusão

Para a maioria das organizações empresariais, o DKIM não só protegeria as suas empresas contra ataques de phishing e de falsificação, como também estaria a ajudar a proteger as relações com os clientes e a reputação da marca.

Isto é especificamente importante, pois o DKIM fornece uma chave de encriptação e uma assinatura digital que prova duplamente que um e-mail não foi forjado ou alterado. Estas práticas ajudariam as organizações e as empresas a aproximarem-se um pouco mais, melhorando a sua entregabilidade de correio electrónico e enviando um correio electrónico seguro, o que estaria a ajudar a gerar receitas. Na sua maioria, depende das organizações quanto à forma como o utilizariam e implementariam o mesmo. Isto é mais importante e relatável, uma vez que a maioria das organizações estaria a querer libertar-se de ataques e ameaças cibernéticas.