Vad är DKIM Replay-attacker och hur skyddar man sig mot dem?

Vad-är-DKIM-Replay-attacker-och-hur-skall-man-skydda-sig-mot-dem

DKIM är en viktig aspekt av e-postautentisering som använder kryptografi i form av digitala signaturer för att signera meddelanden som skickas från en domän. Detta säkerställer i sin tur att e-postmeddelanden som kommer från en auktoriserad källa inte ändras innan de når den avsedda mottagaren, vilket minskar hoten från falska identiteter. 

Vid en DKIM-replay-attack fångar en angripare upp ett legitimt DKIM-signerat e-postmeddelande och skickar sedan om det till den avsedda mottagaren eller ett annat mål flera gånger utan att göra några ändringar i meddelandets innehåll eller signatur. Målet med denna attack är att dra nytta av det förtroende som skapats genom DKIM-signaturen för att få mottagaren att tro att de får flera kopior av samma legitima meddelande.

Vad är en DKIM Replay-attack? 

En DKIM replay-attack är en cyberattack där en hotaktör fångar upp ett e-postmeddelande som har signerats och godkänts med DKIM och sedan skickar om eller "spelar upp" samma e-postmeddelande för att lura mottagaren att tro att det är ett nytt, pålitligt meddelande, även om det kan ha ändrats eller vara skadligt.

Innan vi går igenom hur en DKIM-återuppspelningsattack ser ut och diskuterar strategier för att motverka den, bör vi diskutera hur DKIM fungerar: 

Hur autentiserar DKIM e-postmeddelanden?

DKIM (DomainKeys Identified Mail) är en autentiseringsmetod för e-post som hjälper till att verifiera äktheten i e-postmeddelanden och upptäcka försök till förfalskning och phishing. DKIM lägger till en digital signatur i e-postmeddelandet på den sändande servern, och denna signatur kan verifieras av mottagarens e-postserver för att säkerställa att meddelandet inte har manipulerats under överföringen.

DKIM fungerar genom att utnyttja följande processer: 

1. Signering av meddelanden: När ett e-postmeddelande skickas från en domän som använder DKIM, genererar den sändande e-postservern en unik kryptografisk signatur för meddelandet. Signaturen baseras på e-postmeddelandets innehåll (rubrik och brödtext) och vissa specifika rubrikfält, t.ex. "Från"-adressen och "Datum"-fältet. Signeringsprocessen sker vanligtvis med hjälp av en privat nyckel.

2. Public Key Publicering: Den avsändande domänen publicerar en offentlig DKIM-nyckel i sina DNS-poster (Domain Name System). Denna offentliga nyckel används av mottagarens e-postserver för att verifiera signaturen.

3. Överföring av meddelanden: E-postmeddelandet, som nu innehåller DKIM-signaturen, överförs via Internet till mottagarens e-postserver.

4. Verifiering: När mottagarens e-postserver tar emot e-postmeddelandet hämtar den DKIM-signaturen från e-postmeddelandets rubriker och letar upp avsändarens offentliga DKIM-nyckel i DNS-posterna för avsändarens domän.

Om signaturen överensstämmer med innehållet i e-postmeddelandet kan mottagaren vara rimligt säker på att e-postmeddelandet inte har manipulerats under överföringen och att det verkligen kommer från den påstådda avsändarens domän.

5. Godkänd eller underkänd: Baserat på resultatet av verifieringsprocessen kan mottagarens server markera e-postmeddelandet som DKIM-verifierat eller DKIM-misslyckat.

DKIM hjälper till att förhindra olika e-postbaserade attacker, t.ex. phishing och spoofing, genom att tillhandahålla en mekanism för att verifiera äktheten hos avsändarens domän.

Hur fungerar DKIM Replay-attacker?

I en DKIM-återuppspelningsattack kan illvilliga personer använda DKIM-signaturernas eftergivenhet för att lura e-postmottagare och potentiellt sprida skadligt innehåll eller bedrägerier. 

Låt oss gå igenom hur en DKIM replay-attack fungerar, steg för steg:

DKIM-signaturens flexibilitet

DKIM tillåter att signaturdomänen (den domän som signerar e-postmeddelandet) är en annan än den domän som anges i e-postmeddelandets "From"-rubrik. Det innebär att även om ett e-postmeddelande påstås komma från en viss domän i "From"-rubriken, kan DKIM-signaturen vara kopplad till en annan domän.

DKIM-verifiering

När en e-postmottagares server tar emot ett e-postmeddelande med en DKIM-signatur kontrollerar den signaturen för att säkerställa att e-postmeddelandet inte har ändrats sedan det signerades av domänens e-postservrar. Om DKIM-signaturen är giltig bekräftar den att e-postmeddelandet har gått via den signerande domänens e-postservrar och inte har manipulerats under transporten.

Utnyttjande av högt ansedda domäner

Det är här som attacken kommer in i bilden. Om en angripare lyckas ta över eller hacka sig in i en brevlåda, eller skapa en brevlåda med en domän som har gott rykte (vilket innebär att den är en pålitlig källa i e-postservrarnas ögon), utnyttjar de domänens rykte till sin fördel.

Skicka det första e-postmeddelandet

Angriparen skickar ett enda e-postmeddelande från sin domän med högt anseende till en annan brevlåda som han eller hon kontrollerar. Det första e-postmeddelandet kan vara harmlöst eller till och med legitimt för att undvika misstankar.

Återutsändning

Nu kan angriparen använda det inspelade e-postmeddelandet för att återutsända samma meddelande till en annan uppsättning mottagare, ofta sådana som inte ursprungligen var avsedda av den legitima avsändaren. Eftersom e-postmeddelandet har sin DKIM-signatur intakt från domänen med högt anseende är det mer sannolikt att e-postservrarna litar på det och tror att det är ett legitimt meddelande - och därmed kringgår autentiseringsfilter. 

Steg för att förhindra DKIM Replay-attacker

Strategier för att förhindra DKIM-attacker för avsändare av e-post: 

1. Övertecknade rubriker

För att säkerställa att viktiga rubriker som Datum, Ämne, Från, Till och CC inte kan läggas till eller ändras efter signering bör du överväga att översignera dem. Detta skydd förhindrar att illvilliga aktörer manipulerar dessa viktiga meddelandekomponenter.

2. Inställning av korta förfallotider (x=)

Använd en så kort utgångstid (x=) som praktiskt möjligt. Detta minskar möjligheten för replay-attacker. Nyskapade domäner måste ha en ännu kortare giltighetstid än äldre, eftersom de är mer sårbara för attacker. 

3. Användning av tidsstämplar (t=) och nonces

För att ytterligare förhindra uppspelningsattacker bör du inkludera tidsstämplar och nonces (slumptal) i e-postens rubriker eller brödtext. Det gör det svårt för angripare att skicka samma e-postmeddelande igen vid ett senare tillfälle eftersom värdena då har ändrats.

4. Regelbunden rotation av DKIM-nycklar

Rotera DKIM-nycklar regelbundet och uppdatera dina DNS-poster i enlighet med detta. Detta minimerar exponeringen av långlivade nycklar som kan äventyras och användas i uppspelningsattacker.

 

Strategier för att förhindra DKIM replay-attacker för e-postmottagare: 

1. Implementering av hastighetsbegränsning

Mottagare kan införa hastighetsbegränsning för inkommande e-postmeddelanden för att förhindra att angripare översvämmar ditt system med upprepade e-postmeddelanden. För att göra detta kan du sätta gränser för antalet e-postmeddelanden som accepteras från en viss avsändare inom en viss tidsram.

2. Utbilda mottagare av e-post

Upplys dina e-postmottagare om vikten av DKIM och uppmuntra dem att verifiera DKIM-signaturer på inkommande e-post. Detta kan bidra till att minska effekten av eventuella replay-attacker på dina mottagare.

3. Åtgärder för nätsäkerhet

Implementera nätverkssäkerhetsåtgärder för att upptäcka och blockera trafik från kända skadliga IP-adresser och källor som kan vara inblandade i replay-attacker.

Hur PowerDMARC hjälper till att mildra DKIM replay-attacker

För att göra DKIM-nyckelhanteringen enkel och smidig för domänägare har vi introducerat vår omfattande värdbaserad DKIM lösning. Vi hjälper dig att övervaka dina e-postflöden och DKIM-signeringsrutiner så att du snabbt kan upptäcka avvikelser, samtidigt som du alltid ligger steget före angriparna.

Record-optimering på vår dashboard sker automatiskt utan att du behöver gå in på din DNS flera gånger för manuella uppdateringar. Övergå till automatisering med PowerDMARC genom att göra ändringar i dina signaturer, hantera flera selektorer och rotera dina DKIM-nycklar utan krångel med manuellt arbete. Registrera dig idag för en kostnadsfri testversion!

DKIM-attack med upprepning

Senaste inlägg av Ahona Rudra (se alla)
/av
Topp 5 bästa verktyg för verifiering av e-postTopp 5 bästa verktyg för verifiering av e-postDKIM-attack med upprepningVad är Continuous Threat Exposure Management (CTEM)?