Informazioni sulla convalida DKIM

Naviga le tue risposte
1

DKIM, come letto da rfc4871, afferma di rendere la contraffazione degli indirizzi più difficile oltre a proteggere l'identità del mittente e l'integrità della posta.

Ho cercato i dettagli, che passo preciso di validazione impedisce% spo_ing% co_de, contando sul fatto che Dave Rand e Doug Otis di Trend Micro sostengono che c'è un punto debole in DKIM quando si prepone un secondo From:-header . Il contrario significa che non è possibile con solo un From: header .

Trova il mio errore nel mio ragionamento:

  1. Supponendo di essere uno spammer che ha registrato il dominio From:-Header
  2. Poiché sono il proprietario, sono autorizzato a configurare i record DKIM in DNS per il dominio spammailer.com .
  3. Ora sto inviando un'email dal mio server di posta che ha la chiave privata in spammailer.com :

intestazione: 

Return-Path: <[email protected]>
Received:...
Received:...
Date: Wed, 17 Oct 2018 15:11:08 +0000
From: [email protected]
To: <[email protected]>
Message-ID: <[email protected]>
Subject: pay rise of 5%
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=spammailer.com;
    s=bostonceltics; t=1519400838;
    h=from:subject:date:message-id:to:mime-version:content-type:content-transfer-encoding;
    bh=kpYel1IlDvqXEUc0SyIpXbMte3XpQOCXHl+zTyHQvGc=;
    b=NEUyWUoeKEoKAYTY8g04o73j+wrYUcEGSq7uwpbsAGo0OzuuIBluEfG1MbGF/Tf6yxxJB4
    gTDD3sqb19EsQxv39QsAwgddAz01Osw5LKU0MjLZpxw6NA8zLllJUsrNdNQAYSII9ip4xX
    ImU7+KFOEF+gmxR5aseUt5H6JT/aOmhPE9xsSyg9wLf0Bikyy5Cgh+Ay7AHQLMZogbTi9W
    dAPpZZcZs0pTwhcard6SaesypJ+xZNna+BA+C1vXrGDc+9stYZVi+Zufh6zlZo1E/sQSRL
    jowB1mjv1vjINRY30aq0rh4dT8RHe38/PKFf8vQHOSOKvjIKv984UeOTIFIUHw==

Per quanto ho capito, ora il processo di verifica effettua le seguenti operazioni:

  1. ottenere la chiave pubblica dal dominio del mittente [email protected]
  2. decrittografia della firma DKIM con la chiave pubblica dello spammer che passa (suppongo!) perché la posta non è alterata in alcun modo.

Ora il destinatario della contabilità IBM riconosce che c'è una e-mail dal CEO che viene visualizzata come d=spammailer.com+separator nella maggior parte dei MUA.

    
posta Toni 19.10.2018 - 18:38
fonte

1 risposta

1

DKIM di per sé non protegge dallo spoofing del campo From: nell'intestazione della posta (cioè RFC822.From ). Aggiunge solo una firma che mostra che parti significative dell'intestazione della posta non sono state modificate e che la posta ha attraversato il server di posta responsabile di un dominio specifico. Nel tuo caso specifico la firma DKIM mostra che la posta ha attraversato il server di posta per spammailer.com ma non attraverso il server di posta per ibm.com come probabilmente dovrebbero fare le mail appropriate da [email protected] .

La protezione dallo spoofing del campo From: è stata aggiunta solo da DMARC. A condizione che il dominio di posta abbia una politica DMARC (come fa attualmente ibm.com che mostra dig txt _dmarc.ibm.com ) il sistema ricevente può verificare se esiste una firma DKIM allineata o un risultato SPF. Allineamento relativo a DKIM significa che il dominio indicato nel campo da From: corrisponde al dominio della firma DKIM (esattamente o consentendo sottodomini, a seconda del criterio DMARC).

    
risposta data 19.10.2018 - 21:02
fonte

Leggi altre domande sui tag

Deserializzazione JSON disinfettante Dataset dedicati ai sistemi SIEM