Примечание: DKIM2 в настоящее время находится в архиве документов IETF и может быть изменен в будущем.
DKIM или DomainKeys Identified Mailтекущая версия, был впервые опубликован в 2011 году как протокол аутентификации электронной почты, который позволял подписывать сообщения цифровыми подписями для проверки подлинности отправителя. DKIM позволял почтовым серверам проверять, что сообщение не было подделано во время передачи. Определение DKIM дано в RFC 6376 как протокол, который "позволяет лицу, роли или организации, владеющей подписывающим доменом, заявить об определенной ответственности за сообщение, связав домен с сообщением".
В 2024 году DKIM может обрести совершенно новый облик под названием DKIM2! Ожидается, что DKIM2 вскоре заменит старый механизм защиты электронной почты (DKIM) новым и обновленным механизмом для усиленной аутентификации и безопасности.
Необходимость замены DKIM
Зарождающийся механизм DKIM - DKIM1 - был впервые описан в RFC 4871и опубликован в 2007 году. С тех пор за несколько лет было обнаружено несколько слабых мест в работе:
1. Проблема модификации посредника
В нескольких случаях пересылка электронной почтысерверы-посредники часто берут на себя смелость модифицировать легитимное письмо, добавляя дополнительные колонтитулы или внося изменения в подпись. Это делает оригинальную подпись DKIM1 непроверяемой, что приводит к нежелательным отказам DKIM. Соответствующие письма могут быть потенциально помечены как спам, несмотря на то что они являются законными.
2. Повреждение репутации с помощью атак на воспроизведение
В атака повторного воспроизведения DKIMугрожающий субъект повторно отправляет письмо, которое изначально было аутентифицировано и подписано DKIM-подписью, выдавая его за новое и подлинное сообщение. Однако сообщение могло быть изменено и теперь может быть потенциально опасным. Короче говоря, злоумышленники могут "воспроизводить" электронные письма с подписью DKIM, нанося вред репутации законных подписантов.
3. Отсутствие стандартизированной обратной связи
Существуют некоторые неофициальные механизмы обратной связи, созданные некоторыми системами для уведомления отправителей электронной почты о том, насколько хорошо работают их письма с DKIM-подписью. Эти механизмы обратной связи помогают отправителям узнать, доставляются ли их сообщения должным образом или отмечаются как проблемные. Однако в настоящее время не существует официальных правил того, как должны работать эти системы обратной связи. Отсутствие стандартизации может привести к тому, что обратная связь будет отправляться без необходимости или окажется бесполезной.
4. Проблема обратного рассеяния
Если кто-то подделывает отправителя электронного письма (подделывает происхождение), и письмо не может быть доставлено, система часто отправляет "уведомление о неудаче". Это уведомление называется уведомлением о состоянии доставки, или DSN. Это уведомление попадает к ничего не подозревающей жертве, чей домен был подделан. Это означает, что невинный человек, не имеющий никакого отношения к электронной почте, получает непонятное или нежелательное уведомление. Это явление известно как обратное рассеивание.
Что такое DKIM2?
По прогнозам, DKIM2 - это обновленная версия DKIM1, призванная устранить недостатки предыдущей версии, такие как уязвимость к атакам повторного воспроизведения, проблемы с пересылкой почты, а также обеспечить улучшенную криптографию для лучшей аутентификации и последующей защиты.
Также ожидается, что DKIM2 решит проблемы с подписанием заголовков, предотвратит обратное рассеивание и будет поддерживать несколько криптографических алгоритмов для легкого перехода с устаревшей версии алгоритмов на новую.
Как DKIM2 может стать преимуществом для бизнеса?
DKIM2 может превзойти возможности DKIM1, обеспечив следующие ключевые преимущества:
Стандартизированная подпись заголовков
В то время как DKIM1 иногда подписывает заголовки частично, оставляя незащищенные лазейки, которыми могут воспользоваться угрожающие лица, DKIM2 стандартизирует то, какие заголовки должны быть подписаны. Это уменьшит путаницу и обеспечит последовательную подпись и защиту всех важных заголовков.
Предотвращение обратного рассеяния
Проблема с DKIM1, вызывающая обратное рассеивание, была описана в разделе выше. DKIM2 позволяет отправлять DSN на сервер, который последним обрабатывал электронное письмо, что позволяет избежать путаницы для невинных третьих сторон.
Упрощенная обработка ошибок
DKIM2 повышает безопасность и эффективность электронной почты за счет улучшения обработки отказов и ошибок. Он гарантирует, что сообщения об ошибках будут отправлены по правильному пути, защищая конфиденциальность получателей и помогая посредникам, таким как поставщики услуг электронной почты и списки рассылки, легко отслеживать и управлять проблемами доставки. Кроме того, DKIM2 позволяет спискам рассылки и шлюзам безопасности записывать и отменять вносимые ими изменения, упрощая проверку и выявляя попытки фальсификации.
Решение проблемы атак на повтор DKIM
Мы уже знаем, что действительное письмо с подписью DKIM может быть отправлено повторно, то есть "воспроизведено" для многих получателей, и это не будет обнаружено. DKIM2 может окончательно решить эту проблему, введя временные метки и заголовки, специфичные для конкретного получателя, что облегчит обнаружение и предотвращение атак повторного воспроизведения электронной почты. Более того, он также будет распознавать дублированные сообщения, отслеживая виновных.
Алгоритмическая ловкость
DKIM2 будет поддерживать широкий спектр криптографических алгоритмов, таких как RSA, эллиптические кривые и, возможно, пост-квантовые. Это обеспечит гибкость и перспективность. Положительной стороной поддержки такого широкого спектра алгоритмов является то, что если предыдущий алгоритм устареет, переход на него не составит труда.
В документации IETF объясняется, что если в процессе криптографического анализа один из алгоритмов устаревает или выходит из строя, другой должен пройти. Чтобы сделать это возможным, разработчики DKIM2 используют поэтапный подход к переходу от потенциально устаревших алгоритмов, включая более одной подписи в один заголовок подписи DKIM2. Системы, поддерживающие анализ обеих подписей DKIM2, будут требовать, чтобы обе подписи были действительными и корректными, иначе почта будет отклонена.
Минимизация криптовычислений
Планируется, что DKIM2 упростит и минимизирует объем криптографических вычислений, необходимых для проверки подлинности содержимого сообщений при проверке DKIM. Крупные провайдеры почтовых ящиков прикрепляют к входящим сообщениям большое количество DKIM-подписей. При криптоанализе DKIM2 будет проверять только первую подпись DKIM2 в случае, если сообщение не было изменено какими-либо посредниками, тогда как в настоящее время DKIM1 проверяет все подписи DKIM. Это позволит повысить эффективность и скорость криптографических вычислений.
Резюме
Если подытожить основные выводы из проекта IETF, то протокол DKIM2 призван устранить ряд недостатков текущей версии протокола DKIM1, сделав обработку подписей простой, безопасной и более эффективной. Также ожидается, что он улучшит возможности отчетности и стандартизирует петли обратной связи - это поможет бизнесу оставаться в курсе событий гораздо больше, чем когда-либо прежде! Надеемся, что в скором времени мы станем свидетелями официального внедрения, и предприятия смогут извлечь максимум пользы из DKIM-аутентификации.
За помощью по вопросам внедрения DKIM и управления ключами, свяжитесь с нами сегодня!
- Yahoo Japan вводит DMARC для пользователей в 2025 году - 17 января 2025 г.
- Ботнет MikroTik использует неправильную конфигурацию SPF для распространения вредоносного ПО - 17 января 2025 г.
- Неаутентифицированная почта DMARC запрещена [Решено] - 14 января 2025 г.