DKIM-Überschreibung zur Vermeidung von Replay-Angriffen
Vogel
09.04.2022
1 min read
Wichtige Erkenntnisse
DKIM-Replay-Angriffe treten auf, wenn Angreifer eine zuvor gültige, mit DKIM signierte E-Mail wiederverwenden, aber Header (wie An, Von oder Betreff) hinzufügen oder ändern, um Mailbox-Anbietern vorzutäuschen, die Nachricht zu akzeptieren.
DKIM-Übersignierung schützt dagegen, indem zusätzliche Header—einschließlich sensibler Header—signiert werden, unabhängig davon, ob sie gefüllt sind oder nicht, um zu verhindern, dass Angreifer gefälschte Header einspeisen, die nicht durch die Signatur abgedeckt sind.
Bird Cloud überschreibt jetzt standardmäßig DKIM-Header und eliminiert so einen großen Replay-Angriff-Vektor für alle Absender, die die Plattform nutzen.
Übersignierung stellt sicher, dass Mailbox-Anbieter überprüfen können, ob keine geschützten Header nach dem Senden hinzugefügt oder manipuliert wurden.
Diese Verbesserung hilft, das Vertrauen bei sicherheitssensiblen Absendern zu erhalten und stärkt die End-to-End-E-Mail-Integrität.
DKIM-Übersignierung ist eine Sicherheitsverbesserung im Hintergrund, die keine Aktion seitens der Kunden erfordert.
Es ergänzt andere Authentifizierungsebenen wie SPF, DMARC und TLS, um eine widerstandsfähigere E-Mail-Sicherheitshaltung zu schaffen.
Replay-Angriffe sind besonders problematisch für angesehene ESPs, da Angreifer deren guten Versandruf ausnutzen—Übersignierung schließt diese Sicherheitslücke.
Q&A Highlights
Was ist ein DKIM Replay Attack?
Es ist der Fall, wenn ein Angreifer eine legitim DKIM-signierte E-Mail nimmt und sie mit geänderten Kopfzeilen erneut versendet („wiedergibt“), in der Hoffnung, dass die E-Mail immer noch die DKIM-Validierung besteht.
Wie hilft DKIM Oversigning dabei, Replay-Angriffe zu verhindern?
Oversigning fügt sensible Header (To, From, Subject) hinzu, auch wenn sie leer sind, damit Angreifer keine neuen Versionen dieser Header hinzufügen können, ohne die DKIM-Validierung zu beeinträchtigen.
Welche Header werden typischerweise überzeichnet?
Die empfindlichsten: To, From, und Subject—die von Angreifern am häufigsten angegriffenen Kopfzeilen.
Warum ist Oversigning notwendig, wenn DKIM bereits sicher ist?
Standard DKIM signiert nur die Header, die Sie angeben; Angreifer können nicht signierte Header ausnutzen. Übersignieren schließt diese Lücke.
Beeinflusst DKIM-Oversigning das E-Mail-Rendering für Empfänger?
Nein. Es ist eine Verbesserung der Backend-Sicherheit und ändert nicht, wie E-Mails für Endbenutzer erscheinen.
Erfordert Oversigning zusätzlichen Aufwand seitens der Kunden?
Nein. Bird Cloud wendet nun DKIM-Oversigning automatisch über die Plattform an.
Warum sind Email Service Providers (ESPs) ein häufiges Ziel?
Angreifer nutzen den starken Domain-Ruf seriöser ESPs aus, damit ihre erneut gesendeten E-Mails mit höherer Wahrscheinlichkeit in Posteingängen landen.
Kann oversigning die E-Mail-Zustellung beeinträchtigen?
Nein—Übersignierung entspricht den DKIM-Standards und Postfachanbieter unterstützen sie vollständig.
Ist Oversigning mit SPF und DMARC kompatibel?
Ja. Es stärkt die allgemeine Authentifizierung, indem es eine mit DKIM verbundene Schwäche reduziert.
Beeinflusst Oversigning die E-Mail-Leistung oder die Versandgeschwindigkeit?
Der Effekt ist vernachlässigbar; die Sicherheitsvorteile überwiegen bei weitem den kleinen zusätzlichen Signierschritt.
Können Angreifer noch Header manipulieren, nachdem sie überzeichnet wurden?
Sie können es versuchen, aber jede Änderung an überzeichneten Headern wird dazu führen, dass die DKIM-Validierung fehlschlägt—was den Angriff stoppt.
Warum jetzt eine Überzeichnung implementieren?
Da das Bewusstsein für Replay-Angriffe zunimmt, erwarten sicherheitsorientierte Absender stärkere Standard-Protektionsmaßnahmen. Oversigning bringt Bird in Einklang mit den besten Sicherheitspraktiken.
Bird Cloud führt nun standardmäßig DKIM Oversigning durch, um einen Angriffspunkt für die Milliarden+ von E-Mails zu beseitigen, die unsere Plattform jeden Tag ermöglicht.
DKIM (DomainKeys Identified Mail) ist eine gängige Methode zur E-Mail-Authentifizierung, die entwickelt wurde, um Phishing-Attacken und E-Mail-Spam zu reduzieren. In Kombination mit anderen gängigen Authentifizierungsmechanismen wird die Wahrscheinlichkeit, dass Ihre Sendedomänen erfolgreich kompromittiert werden, erheblich verringert. Dennoch hat das zunehmende Bewusstsein für einen potenziellen Angriffspunkt dazu geführt, dass die Mail-Provider überprüfen, wie diese Funktionalität implementiert wird und nach Möglichkeiten suchen, sie zu verstärken.
Eine DKIM-Signatur hilft Mail-Providern wie Gmail und Yahoo zu erkennen, ob eine E-Mail, die Sie an Ihren Kunden senden, von einem böswilligen Akteur modifiziert wurde, bevor sie Ihr Posteingang erreicht. Authentifizierungsmechanismen wie dieser sind der Grund, warum es selten vorkommt, eine Phishing-E-Mail mit einer Sendedomäne zu sehen, die identisch mit „yourbank.com“ ist.
Ein gängiger Angriffspunkt, den Angreifer nutzen werden, um DKIM-Verifizierung zu umgehen, ist bekannt als ein DKIM Replay Attack. In einem DKIM Replay Attack wird ein Angreifer eine Kopie einer gültigen E-Mail nehmen, die oft über einen renommierten E-Mail-Service-Provider wie SparkPost gesendet wird, und versuchen, diese E-Mails „wiederzugeben“, jedoch mit zusätzlichen Von-, An- oder Betreff-Headern in der E-Mail. Da die ursprüngliche DKIM-Signatur gültig war (jedoch die zusätzlichen Header nicht enthielt), hoffen die Angreifer, dass diese gefälschte E-Mail ebenfalls die DKIM-Validierung bestehen wird und letztendlich die Spam- oder Phishing-Nachricht im Posteingang des Empfängers landet.
„DKIM Oversigning“ ist eine zusätzliche Sicherheitsmaßnahme, die ergriffen werden kann, um die Chance zu verringern, dass eine gültige DKIM-Signatur zu böswilligen Zwecken genutzt werden kann. Es funktioniert, indem empfindliche Header (An, Von und Betreff) „übersigniert“ werden, selbst wenn sie leer gelassen werden. Es ist vergleichbar mit dem Ausfüllen jedes Telefonnummer-Feldes (Mobil, Zuhause, Arbeit) auf einem wichtigen Formular, auch wenn Sie nur eine Telefonnummer verwenden.
Bird übersigniert bereits die DKIM-Header auf unserer Plattform, um diesen Angriffspunkt zu reduzieren. Es ist eines der kleinen Teile des Puzzles, die erforderlich sind, damit unser Service von vielen der sicherheitsbewussten Absender der Welt vertraut und genutzt werden kann.
