
DKIM (DomainKeys Identified Mail) to powszechnie stosowana metoda autoryzacji e-maili, zaprojektowana w celu zredukowania możliwości ataków phishingowych i spamu e-mailowego. W połączeniu z innymi powszechnymi mechanizmami autoryzacji, szanse na to, że Twoje domeny wysyłające zostaną skompromitowane w celu przeprowadzenia skutecznych ataków, są znacznie zredukowane.
Bird Cloud domyślnie wykonuje DKIM Oversigning, aby wyeliminować wektor ataku dla ponad miliarda e-maili, które nasza platforma umożliwia każdego dnia.
DKIM (DomainKeys Identified Mail) to powszechna metoda uwierzytelniania e-maili zaprojektowana w celu zmniejszenia możliwości ataków typu phishing i spamu e-mail. W połączeniu z innymi powszechnymi mechanizmami uwierzytelniania szanse, że Twoje domeny wysyłające zostaną skompromitowane w celu przeprowadzenia ataków, są znacznie zmniejszone. Jednak rosnąca świadomość na temat potencjalnego wektora ataku spowodowała, że dostawcy wysyłania ponownie przemyśleli, jak ta funkcjonalność jest wdrażana i szukają sposobów jej wzmocnienia.
Podpis DKIM to coś, co pomaga dostawcom skrzynek pocztowych, takim jak Gmail i Yahoo, wykryć, czy e-mail, który wysyłasz do swojego klienta, został zmodyfikowany przez złośliwego aktora, zanim dotrze do Twojej skrzynki odbiorczej. Mechanizmy uwierzytelniania, takie jak ten, są powodem, dla którego rzadko widzi się e-maile phishingowe z wyciągami bankowymi, które mają domenę wysyłającą identyczną z „yourbank.com”.
Jednym z powszechnych wektorów ataku, który atakujący używają, aby ominąć weryfikację DKIM, jest tzw. DKIM Replay Attack. W DKIM Replay Attack atakujący pobiera kopię ważnego e-maila, często wysyłanego przez renomowanego dostawcę usług e-mail, takiego jak SparkPost, i próbuje „odtworzyć” te e-maile, ale z dodatkowymi nagłówkami From, To lub Subject w e-mailu. Ponieważ oryginalny podpis DKIM był ważny (ale nie obejmował dodatkowych nagłówków), atakujący mają nadzieję, że sfałszowany e-mail również przejdzie weryfikację DKIM, ostatecznie trafiając spam lub phishingową wiadomość do skrzynki odbiorczej odbiorcy.
„DKIM Oversigning” to dodatkowy środek bezpieczeństwa, który można podjąć, aby zmniejszyć możliwość wykorzystania ważnego podpisu DKIM do celów złośliwych. Działa poprzez „oversigning” wrażliwych nagłówków (To, From i Subject), nawet jeśli są one puste. Jest to podobne do wypełniania każdego pola telefonu (komórkowy, domowy, praca) w ważnym formularzu, nawet jeśli używasz tylko jednego telefonu.
Bird już teraz oversignuje nagłówki DKIM na naszej platformie, aby zmniejszyć ten wektor ataku. Jest to jedna z małych części układanki wymaganych do tego, aby nasza usługa była zaufana i wykorzystywana przez wielu zorientowanych na bezpieczeństwo nadawców na świecie.