DKIM-Überschreibung zur Vermeidung von Replay-Angriffen
Vogel
09.04.2022
1 min read
Wichtige Erkenntnisse
DKIM-Replay-Angriffe treten auf, wenn Angreifer eine zuvor gültige, mit DKIM signierte E-Mail wiederverwenden, aber Header (wie An, Von oder Betreff) hinzufügen oder ändern, um Mailbox-Anbietern vorzutäuschen, die Nachricht zu akzeptieren.
DKIM-Übersignierung schützt dagegen, indem zusätzliche Header—einschließlich sensibler Header—signiert werden, unabhängig davon, ob sie gefüllt sind oder nicht, um zu verhindern, dass Angreifer gefälschte Header einspeisen, die nicht durch die Signatur abgedeckt sind.
Bird Cloud überschreibt jetzt standardmäßig DKIM-Header und eliminiert so einen großen Replay-Angriff-Vektor für alle Absender, die die Plattform nutzen.
Übersignierung stellt sicher, dass Mailbox-Anbieter überprüfen können, ob keine geschützten Header nach dem Senden hinzugefügt oder manipuliert wurden.
Diese Verbesserung hilft, das Vertrauen bei sicherheitssensiblen Absendern zu erhalten und stärkt die End-to-End-E-Mail-Integrität.
DKIM-Übersignierung ist eine Sicherheitsverbesserung im Hintergrund, die keine Aktion seitens der Kunden erfordert.
Es ergänzt andere Authentifizierungsebenen wie SPF, DMARC und TLS, um eine widerstandsfähigere E-Mail-Sicherheitshaltung zu schaffen.
Replay-Angriffe sind besonders problematisch für angesehene ESPs, da Angreifer deren guten Versandruf ausnutzen—Übersignierung schließt diese Sicherheitslücke.
Q&A Highlights
Was ist ein DKIM Replay Attack?
Es ist der Fall, wenn ein Angreifer eine legitim DKIM-signierte E-Mail nimmt und sie mit geänderten Kopfzeilen erneut versendet („wiedergibt“), in der Hoffnung, dass die E-Mail immer noch die DKIM-Validierung besteht.
Wie hilft DKIM Oversigning dabei, Replay-Angriffe zu verhindern?
Oversigning fügt sensible Header (To, From, Subject) hinzu, auch wenn sie leer sind, damit Angreifer keine neuen Versionen dieser Header hinzufügen können, ohne die DKIM-Validierung zu beeinträchtigen.
Welche Header werden typischerweise überzeichnet?
Die empfindlichsten: To, From, und Subject—die von Angreifern am häufigsten angegriffenen Kopfzeilen.
Warum ist Oversigning notwendig, wenn DKIM bereits sicher ist?
Standard DKIM signiert nur die Header, die Sie angeben; Angreifer können nicht signierte Header ausnutzen. Übersignieren schließt diese Lücke.
Beeinflusst DKIM-Oversigning das E-Mail-Rendering für Empfänger?
Nein. Es ist eine Verbesserung der Backend-Sicherheit und ändert nicht, wie E-Mails für Endbenutzer erscheinen.
Erfordert Oversigning zusätzlichen Aufwand seitens der Kunden?
Nein. Bird Cloud wendet nun DKIM-Oversigning automatisch über die Plattform an.
Warum sind Email Service Providers (ESPs) ein häufiges Ziel?
Angreifer nutzen den starken Domain-Ruf seriöser ESPs aus, damit ihre erneut gesendeten E-Mails mit höherer Wahrscheinlichkeit in Posteingängen landen.
Kann oversigning die E-Mail-Zustellung beeinträchtigen?
Nein—Übersignierung entspricht den DKIM-Standards und Postfachanbieter unterstützen sie vollständig.
Ist Oversigning mit SPF und DMARC kompatibel?
Ja. Es stärkt die allgemeine Authentifizierung, indem es eine mit DKIM verbundene Schwäche reduziert.
Beeinflusst Oversigning die E-Mail-Leistung oder die Versandgeschwindigkeit?
Der Effekt ist vernachlässigbar; die Sicherheitsvorteile überwiegen bei weitem den kleinen zusätzlichen Signierschritt.
Können Angreifer noch Header manipulieren, nachdem sie überzeichnet wurden?
Sie können es versuchen, aber jede Änderung an überzeichneten Headern wird dazu führen, dass die DKIM-Validierung fehlschlägt—was den Angriff stoppt.
Warum jetzt eine Überzeichnung implementieren?
Da das Bewusstsein für Replay-Angriffe zunimmt, erwarten sicherheitsorientierte Absender stärkere Standard-Protektionsmaßnahmen. Oversigning bringt Bird in Einklang mit den besten Sicherheitspraktiken.
