Site icon 权力管理机构

介绍 DKIM2:电子邮件安全的未来

Yunes Tarada Yunes Tarada
dkim2

注:DKIM2 目前正在IETF 文档档案中起草,将来可能会有变动。

DKIM 或域名解析邮件(DomainKeys Identified Mail的当前版本于 2011 年首次发布,作为一种电子邮件验证协议,它有助于使用数字签名对邮件进行签名,以验证发件人的身份。DKIM 允许电子邮件服务器验证邮件在传输过程中是否被篡改。DKIM 在 RFC 6376中将 DKIM 定义为一种协议,它 "允许拥有签名域的个人、角色或组织通过将该域与邮件联系起来,声称对邮件负有某种责任"。

2024 年,DKIM 可能会以全新的面貌出现,即 DKIM2!预计 DKIM2 将很快取代旧的电子邮件安全机制 (DKIM),采用全新的更新机制来增强身份验证和安全性。

主要收获

  1. DKIM2 旨在解决当前 DKIM1 协议在操作上的弱点,加强电子邮件的安全性和认证。
  2. 更新后的版本将规范标头签名,最大限度地减少威胁行为者可利用的漏洞。
  3. DKIM2 会将投递失败通知发送到处理电子邮件的最后一台服务器,从而防止反向散射。
  4. 改进的错误处理和简化的退件将有助于保护收件人隐私和简化电子邮件管理。
  5. 通过支持多种加密算法,DKIM2 为未来提供了应对不断变化的安全威胁的能力。

替换 DKIM 的必要性 

RFC 4871 首次概述了 DKIM 的新生机制 - DKIM1。 RFC 4871中首次提出,并于 2007 年发布。从那时起,多年来,人们发现了一些操作上的弱点:

1.中间人修改问题

在几个 电子邮件转发在一些电子邮件转发案例中,中间服务器经常擅自修改合法电子邮件,添加额外的页脚或修改签名。这使得原始 DKIM1 签名无法验证,导致不必要的DKIM 失败。相关电子邮件尽管是合法的,但可能会被标记或标注为垃圾邮件。

2.通过重播攻击损害声誉

DKIM 重放攻击DKIM 重放攻击中,威胁行为者会重新发送一封电子邮件,该邮件最初已通过身份验证并使用DKIM 签名进行了签名,并将其伪装成一封新的真实邮件。然而,该邮件可能已被篡改,现在可能具有潜在的危害性。简而言之,恶意行为者可以 "重放 "DKIM 签名的电子邮件,损害合法签名者的声誉。

3.缺乏标准化反馈

一些系统创建了某些非正式的反馈机制,通知电子邮件发件人其 DKIM 签名电子邮件的性能如何。这些反馈回路可以帮助发件人了解他们的邮件是被正确发送,还是被标记为有问题。但是,目前还没有关于这些反馈系统如何工作的官方规定。缺乏标准化可能会导致不必要的反馈或无用的反馈。

4.背向散射问题

如果有人伪造电子邮件的发件人(伪造来源),导致电子邮件无法送达,系统通常会发送 "失败通知"。这种通知被称为 "发送状态通知"(DSN)。该通知会发送给域名被伪造的不知情的受害者。这意味着与邮件无关的无辜者会收到一个令人困惑或不想要的通知。这种现象被称为反向散射。

使用 PowerDMARC 简化 DKIM2!

什么是 DKIM2?

DKIM2 预计是 DKIM1 即将推出的更新版本,旨在修正前一版本的不足之处,如易受重放攻击、邮件转发问题,并提供增强的加密技术,以实现更好的身份验证和后续保护。 

预计 DKIM2 还将解决标头签名问题,防止反向散射,并支持多种加密算法,以便于从过时的算法版本迁移到新版本。 

DKIM2 如何为企业带来福音?

DKIM2 通过提供以下主要优势,可能会超越 DKIM1 的功能: 

标准化标题签署

DKIM1 有时会对报头进行部分签名,从而留下不安全的漏洞供威胁行为者利用,而 DKIM2 将对哪些报头应签名进行标准化。这将减少混乱,并确保所有重要的报头都得到一致的签名和安全保护。 

防止反向散射

DKIM1 导致反向散射的问题已在上文解释。DKIM2 允许将 DSN 发送到最后处理邮件的服务器,避免无辜第三方的混淆。

简化错误处理

DKIM2 通过改进退信和错误的处理方式,提高了电子邮件的安全性和效率。它能确保退回邮件遵循正确的路径,保护收件人隐私,并帮助电子邮件服务提供商和邮件列表等中介机构轻松跟踪和管理投递问题。此外,DKIM2 还能让邮件列表和安全网关记录和反向更改,简化验证并发现篡改企图。

应对 DKIM 重放攻击 

我们已经知道,有效的 DKIM 签名电子邮件可以被重新发送,即 "重放 "给许多收件人而不被发现。DKIM2 通过引入时间戳和特定收件人标头,最终可能会解决这个问题,从而更容易检测和防止电子邮件重放攻击。此外,它还能识别重复的邮件,跟踪责任人。

算法灵巧性

DKIM2 将支持多种加密算法,如 RSA、椭圆曲线,可能还支持后量子算法。这将确保灵活性和面向未来的能力。支持如此多种算法的积极意义在于,如果以前的算法过时了,迁移将非常容易。

IETF 的文档解释说,如果在加密分析过程中,一种算法被淘汰或失效,另一种算法应该通过。为了做到这一点,DKIM2 开发人员正在采取一种分阶段的方法,通过在单个 DKIM2 签名头中包含多个签名来转换可能被淘汰的算法。支持分析两个 DKIM2 签名的系统将要求两个签名都有效且正确,否则邮件将被拒收。

尽量减少加密计算

DKIM2 预计将简化并尽量减少 DKIM 检查期间验证邮件内容真实性所需的加密计算量。主要邮箱提供商会在收到的邮件中附加大量 DKIM 签名。在加密分析过程中,DKIM2 将只检查第一个 DKIM2 签名,以防信息未被任何中间人篡改,而目前 DKIM1 会检查所有 DKIM 签名。这将为加密计算带来更有效、更快速的过程。

摘要

概括 IETF 草案的主要内容,DKIM2 协议旨在克服当前 DKIM1 协议版本的几个缺点,使签名处理更简单、更安全、更有效。此外,它还有望改进报告功能并规范反馈回路,从而帮助企业比以往任何时候都更了解情况!希望我们很快就能看到 DKIM 的正式推出,以便企业充分利用其 DKIM 身份验证功能。 

如需有关 DKIM 实施和密钥管理的帮助、 立即联系我们!

Yunes Tarada 的最新帖子(查看全部)
退出手机版