DKIM z nadpisywaniem, aby pomóc uniknąć ataków powtórkowych
Ptak
9 kwi 2022
1 min read
Kluczowe Wnioski
Ataki DKIM Replay mają miejsce, gdy atakujący ponownie używają wcześniej ważnego, podpisanego za pomocą DKIM e-maila, ale dodają lub zmieniają nagłówki (takie jak Do, Od, czy Temat), aby oszukać dostawców skrzynek pocztowych i skłonić ich do zaakceptowania wiadomości.
Nadpisywanie DKIM chroni przed tym poprzez podpisywanie dodatkowych nagłówków—w tym tych wrażliwych—bez względu na to, czy są wypełnione, zapobiegając w ten sposób atakującym w wstrzykiwaniu fałszywych nagłówków, które nie są objęte podpisem.
Bird Cloud teraz domyślnie nadpisuje nagłówki DKIM, eliminując główny wektor ataku typu replay dla wszystkich nadawców korzystających z platformy.
Nadpisywanie zapewnia, że dostawcy skrzynek pocztowych mogą zweryfikować, że żadnych chronionych nagłówków nie dodano ani nie zmieniono po wysłaniu.
To ulepszenie pomaga utrzymać zaufanie wśród nadawców, którzy są wrażliwi na kwestie bezpieczeństwa, oraz wzmacnia integralność e-maili na całej drodze przesyłu.
Nadpisywanie DKIM to udoskonalenie bezpieczeństwa „za kulisami”, które nie wymaga żadnych działań ze strony klientów.
Uzupełnia inne warstwy autentykacji, takie jak SPF, DMARC i TLS, tworząc bardziej odporną postawę bezpieczeństwa e-maili.
Ataki Replay są szczególnie problematyczne dla renomowanych ESP, ponieważ atakujący wykorzystują ich dobrą reputację wysyłania—nadpisywanie zamyka tę lukę.
Q&A Highlights
Co to jest DKIM Replay Attack?
To się dzieje, gdy atakujący bierze autentyczną wiadomość e-mail podpisaną za pomocą DKIM i ponownie ją wysyła („odtwarza”) z zmienionymi nagłówkami, mając nadzieję, że wiadomość nadal przejdzie walidację DKIM.
Jak DKIM oversigning pomaga zapobiegać atakom replay?
Oversigning dodaje wrażliwe nagłówki (To, From, Subject), nawet jeśli są puste, aby atakujący nie mogli dodać nowych wersji tych nagłówków bez przerwania walidacji DKIM.
Które nagłówki są zazwyczaj nadpisane?
Te najbardziej wrażliwe: To, From i Subject—nagłówki najczęściej atakowane przez napastników.
Dlaczego oversigning jest konieczny, jeśli DKIM jest już zabezpieczony?
Standardowy DKIM podpisuje tylko nagłówki, które określisz; atakujący mogą wykorzystać niepodpisane nagłówki. Nadpisać zamyka tę lukę.
Czy DKIM oversigning wpływa na renderowanie emaili dla odbiorców?
Nie. To jest ulepszenie bezpieczeństwa po stronie serwera i nie zmienia tego, jak wiadomości e-mail wyglądają dla użytkowników końcowych.
Czy oversigning wymaga dodatkowej konfiguracji od klientów?
Nie. Bird Cloud teraz automatycznie stosuje DKIM oversigning na całej platformie.
Dlaczego Email Service Providers (ESPs) są częstym celem?
Atakujący wykorzystują silną reputację domen renomowanych ESP, dzięki czemu ich ponownie odtwarzane e-maile mają większe szanse na trafienie do inbox.
Czy nadmiarowe podpisywanie może zakłócić dostarczanie email?
Nie—nadmiarowe podpisywanie jest zgodne z standardami DKIM i dostawcy skrzynek pocztowych w pełni to wspierają.
Czy oversigning jest kompatybilny z SPF i DMARC?
Tak. Wzmacnia ogólną uwierzytelnianie poprzez redukcję jednej słabej strony związanej z DKIM.
Czy nadmierne podpisanie wpływa na wydajność e-maili lub prędkość wysyłania?
Efekt jest znikomy; korzyści związane z bezpieczeństwem zdecydowanie przewyższają mały dodatkowy krok podpisu.
Czy atakujący nadal mogą manipulować nagłówkami po nadpisaniu?
Mogą próbować, ale wszelkie zmiany w nadmiernie podpisanych nagłówkach spowodują, że walidacja DKIM się nie powiedzie—zatrzymując atak.
Dlaczego wprowadzić oversigning teraz?
W miarę jak rośnie świadomość ataków powtórzeniowych, nadawcy zorientowani na bezpieczeństwo oczekują silniejszych domyślnych zabezpieczeń. Oversigning dostosowuje Bird do najlepszych praktyk w dziedzinie bezpieczeństwa.
