DKIM 过度签名以帮助避免重放攻击
电子邮件
·
2022年4月9日
关键要点
DKIM重播攻击发生在攻击者重新使用先前有效的、DKIM签名的电子邮件,但添加或更改标头(例如“To”、“From”或“Subject”)以欺骗邮箱提供商接受邮件。
DKIM过度签名通过签署额外的标头来防范这种情况—包括敏感的,防止攻击者注入未被签名覆盖的伪造标头,无论这些标头是否实际填充。
Bird Cloud现在默认过度签署DKIM标头,为所有使用该平台的发送者消除了一个主要的重播攻击途径。
过度签名确保邮箱提供商可以验证在发送后没有添加或操纵受保护的标头。
此增强功能有助于与对安全敏感的发送者保持信任,并加强端到端的电子邮件完整性。
DKIM过度签名是一种幕后安全改进,不需要客户采取任何行动。
它与其他身份验证层例如SPF、DMARC和TLS相辅相成,以创建更具弹性的电子邮件安全态势。
重播攻击对信誉良好的ESPs来说尤其麻烦,因为攻击者利用它们良好的发送信誉—过度签名则关闭了这个漏洞。
Q&A 精华
什么是 DKIM Replay Attack?
这是一个攻击者获取合法的DKIM签名电子邮件并尝试通过修改头信息重新发送(“重放”)它,期望电子邮件仍然能够通过DKIM验证的情况。
DKIM oversigning 如何帮助防止重放攻击?
Oversigning 标记添加了敏感头信息(To, From, Subject),即使为空,这样攻击者也无法在不破坏 DKIM 验证的情况下追加这些头信息的新版本。
哪些 headers 通常会被过度签署?
最敏感的部分:To、From 和 Subject——这些是攻击者最常锁定的标头。
为什么在DKIM已经安全的情况下依然需要oversigning?
标准 DKIM 仅签署您指定的标头;攻击者可能会利用未签署的标头。过签可以填补这一差距。
DKIM超签名是否会影响收件人的电子邮件渲染?
不。这是一种后端安全增强措施,并不会改变电子邮件对最终用户的显示方式。
oversigning是否需要额外设置从客户?
不。Bird Cloud现在在整个平台自动应用DKIM过签。
为什么 Email Service Providers (ESPs) 是一个常见的目标?
攻击者利用知名ESP的强大域名声誉,使其转发的电子邮件更有可能进入收件箱。
超额签名会破坏邮件投递吗?
不—超签名符合DKIM标准,并且邮箱提供商完全支持。
Is oversigning compatible with SPF and DMARC?
是的。通过减少与DKIM相关的一个薄弱环节,它加强了总体认证。
Oversigning 会影响邮件性能或发送速度吗?
这种影响可以忽略不计;安全优势远远超过额外的小签名步骤。
攻击者在超签后仍能操控headers吗?
他们可以尝试,但对超签名标头的任何更改都将导致DKIM验证失败—阻止攻击。
为什么现在实施oversigning?
随着对重放攻击的认识增加,注重安全的发送方期望更强的默认保护。Oversigning使Bird符合最佳的安全实践。
Bird Cloud 现在默认执行 DKIM Oversigning,以消除对我们平台每天处理的十亿多封电子邮件的攻击向量。
什么是DKIM?
DKIM (DomainKeys Identified Mail) 是一种常见的电子邮件身份验证方法,旨在减少网络钓鱼攻击和电子邮件垃圾邮件的机会。与其他常见的身份验证机制结合使用,可以大大降低您的发送域被利用来成功实施攻击的可能性。然而,对潜在攻击向量的认识日益提高,导致发送服务提供商重新审查此功能的实现方式,并寻找加强之道。
DKIM 签名帮助邮箱提供商如 Gmail 和 Yahoo 检测您发送给客户的电子邮件是否在到达您的 Inbox 之前被不良行为者修改。正如这样的身份验证机制,使得很少看到银行账单的钓鱼电子邮件发送域与“yourbank.com”完全相同。
什么是 DKIM Replay Attack?
攻击者为了绕过DKIM验证,会使用一个常见的攻击向量,称为DKIM Replay Attack。在DKIM Replay Attack中,攻击者会复制一封通常通过诸如SparkPost等知名电子邮件服务提供商发送的有效电子邮件,并尝试“重放”这些电子邮件,但在电子邮件中添加额外的发件人、收件人或主题头。由于原始DKIM签名是有效的(但不包括额外的头文件),攻击者希望这个伪造的电子邮件也能通过DKIM验证,最终将垃圾邮件或网络钓鱼信息发送到收件人的Inbox中。
DKIM Oversigning 如何防止重播攻击
“DKIM Oversigning” 是一项额外的安全措施,可以减少合法的DKIM签名被恶意利用的可能性。它通过“过度签名”敏感的标头(如 To, From, 和 Subject)来实现,即使它们被留空。这类似于在重要表格上填写每一个电话号码框(如手机、家庭、工作),即使你只在使用一个号码。
在 Bird 的 DKIM Oversigning
Bird 已经在我们的平台上过度签署了 DKIM 头,以减少这一攻击向量。这是我们的服务需要为全球众多注重安全的发件人信任和依赖的拼图中小小的一块。
