DKIM - важнейший аспект аутентификации электронной почты, использующий криптографию в виде цифровых подписей для подписи сообщений, отправляемых с домена. Это, в свою очередь, гарантирует, что письма, исходящие от авторизованного источника, не будут изменены до того, как попадут к адресату, и тем самым снижает угрозы самозванства.
При атаке повторного воспроизведения DKIM злоумышленник перехватывает легитимное сообщение электронной почты с DKIM-подписью, а затем многократно пересылает его адресату или другому адресату, не внося никаких изменений в содержание сообщения или подпись. Цель этой атаки - воспользоваться доверием, установленным подписью DKIM. подписью DKIM чтобы заставить получателя поверить, что он получает несколько копий одного и того же легитимного сообщения.
Что такое атака повторного воспроизведения DKIM?
Атака с воспроизведением DKIM - это кибератака, в ходе которой угрожающий субъект перехватывает письмо, подписанное и доверенное с помощью DKIM, а затем повторно отправляет или "пересылает" это же письмо, чтобы обмануть получателя и заставить его думать, что это новое, заслуживающее доверия сообщение, хотя оно может быть изменено или вредно.
Прежде чем разбирать анатомию атаки повторного воспроизведения DKIM и обсуждать стратегии борьбы с ней, давайте обсудим, как работает DKIM:
Как DKIM проверяет подлинность электронной почты?
DKIM (DomainKeys Identified Mail) - это метод аутентификации электронной почты, позволяющий проверять подлинность почтовых сообщений и выявлять попытки подделки и фишинга. DKIM добавляет цифровую подпись к почтовому сообщению на сервере-отправителе, и эта подпись может быть проверена почтовым сервером получателя, чтобы убедиться, что сообщение не было подделано во время транспортировки.
DKIM работает, используя следующие процессы:
1. Подписание сообщений: Когда письмо отправляется с домена, использующего DKIM, почтовый сервер-отправитель генерирует уникальную криптографическую подпись для сообщения. Эта подпись основывается на содержимом письма (заголовке и теле) и некоторых специфических полях заголовка, таких как адрес "From" и поле "Date". Процесс подписания обычно включает в себя использование закрытого ключа.
2. Публикация открытого ключа: Домен-отправитель публикует открытый ключ DKIM в своих записях DNS (Domain Name System). Этот открытый ключ используется почтовым сервером получателя для проверки подписи.
3. Передача сообщения: Электронное сообщение, теперь уже содержащее DKIM-подпись, передается через Интернет на почтовый сервер получателя.
4. Верификация: Когда почтовый сервер получателя получает письмо, он извлекает DKIM-подпись из заголовков письма и ищет открытый DKIM-ключ отправителя в DNS-записях домена отправителя.
Если подпись совпадает с содержанием письма, то получатель может быть уверен, что письмо не было подделано при пересылке и действительно пришло с домена заявленного отправителя.
5. Пройти или не пройти: В зависимости от результатов проверки сервер получателя может пометить письмо как DKIM-verified или DKIM-failed.
DKIM помогает предотвратить различные почтовые атаки, такие как фишинг и спуфинг, предоставляя механизм проверки подлинности домена отправителя.
Как работают атаки на воспроизведение DKIM?
В ходе атаки повторного воспроизведения DKIM злоумышленники могут использовать снисходительность DKIM-подписей для обмана получателей электронной почты и потенциального распространения вредоносного контента или мошенничества.
Давайте пошагово разберем, как работает атака повторного воспроизведения DKIM:
Гибкость подписи DKIM
DKIM позволяет домену подписи (домену, подписывающему письмо) отличаться от домена, указанного в заголовке "From" письма. Это означает, что даже если в заголовке "From" письмо утверждает, что оно отправлено с определенного домена, подпись DKIM может быть связана с другим доменом.
Верификация DKIM
Когда сервер получателя получает письмо с DKIM-подписью, он проверяет подпись, чтобы убедиться, что письмо не было изменено с момента его подписания почтовыми серверами домена. Если подпись DKIM действительна, то это подтверждает, что письмо прошло через почтовые серверы подписывающего домена и не подверглось вмешательству во время транспортировки.
Эксплуатация высокорепутационных доменов
Вот тут-то и начинается атака. Если злоумышленнику удается захватить или взломать почтовый ящик, или создать почтовый ящик с доменом, имеющим высокую репутацию (то есть являющимся надежным источником в глазах почтовых серверов), он использует репутацию домена в своих интересах.
Отправка первоначального письма
Злоумышленник отправляет одно письмо со своего домена с высокой репутацией на другой почтовый ящик, который он контролирует. Это первоначальное письмо может быть безобидным или даже легитимным, чтобы не вызвать подозрений.
Ретрансляция
Теперь злоумышленник может использовать записанное письмо для повторной рассылки того же сообщения другим адресатам, часто тем, которые изначально не были предназначены легитимным отправителем. Поскольку письмо имеет подпись DKIM от домена с высокой репутацией, почтовые серверы с большей вероятностью будут доверять ему, считая, что это легитимное сообщение, и таким образом обходят фильтры аутентификации.
Шаги по предотвращению атак повторного воспроизведения DKIM
Стратегии предотвращения атак на воспроизведение DKIM для отправителей электронной почты:
1. Переподписание заголовков
Чтобы гарантировать, что такие ключевые заголовки, как Date, Subject, From, To и CC, не могут быть добавлены или изменены после подписания, рассмотрите возможность их переподписания. Эта мера защиты не позволит злоумышленникам подделать эти критически важные компоненты сообщения.
2. Установка коротких сроков действия (x=)
Реализуйте как можно более короткое время истечения срока действия (x=). Это уменьшает возможность атак на воспроизведение. Вновь создаваемые домены должны иметь еще более короткий срок действия, чем старые, так как они более уязвимы для атак.
3. Использование временных меток (t=) и нечистот
Для дальнейшего предотвращения атак повторного воспроизведения следует включать в заголовки и тело письма временные метки и nonces (случайные числа). Таким образом, злоумышленникам будет сложно повторно отправить то же самое письмо в более позднее время, поскольку значения будут изменены.
4. Периодическая ротация ключей DKIM
Регулярно обновляйте ключи DKIM регулярно обновлять записи DNS. Это позволяет минимизировать воздействие долгоживущих ключей, которые могут быть скомпрометированы и использованы в атаках повторного воспроизведения.
Стратегии защиты получателей электронной почты от атак повторного воспроизведения DKIM:
1. Внедрение ограничения скорости
Для предотвращения наводнения системы злоумышленниками повторными сообщениями получатели могут применять ограничение скорости приема входящих сообщений. Для этого можно установить ограничения на количество писем, принимаемых от конкретного отправителя за определенный промежуток времени.
2. Обучение получателей электронной почты
Проинформируйте получателей электронной почты о важности DKIM и предложите им проверять DKIM-подписи на входящих сообщениях. Это поможет снизить воздействие потенциальных атак повторного воспроизведения на получателей.
3. Меры сетевой безопасности
Реализовать меры сетевой безопасности для обнаружения и блокирования трафика с известных вредоносных IP-адресов и источников, которые могут быть задействованы в атаках повторного воспроизведения.
Как PowerDMARC защищает от атак повторного воспроизведения DKIM
Для того чтобы владельцы доменов могли легко и просто управлять ключами DKIM, мы представили комплексную программу хостинговое DKIM решение. Мы поможем вам контролировать потоки электронной почты и практику подписания DKIM, чтобы вы могли быстро обнаружить несоответствия и всегда были на шаг впереди злоумышленников.
Оптимизация записей на нашей панели управления происходит автоматически, без необходимости многократного обращения к DNS для ручного обновления. Перейдите на автоматизацию с помощью PowerDMARC, внося изменения в подписи, работая с несколькими селекторами и поворачивая ключи DKIM без необходимости работать вручную. Зарегистрируйтесь сегодня, чтобы воспользоваться бесплатная пробная версия!
- 10 лучших советов и стратегий защиты электронной почты - 15 мая 2024 г.
- Может ли блокчейн помочь повысить безопасность электронной почты? - 9 мая 2024 г.
- Прокси для дата-центров: Раскрытие рабочей лошадки мира прокси - 7 мая 2024 г.