Sicurezza di SPF vs SPF e DKIM in email

Naviga le tue risposte
0

Sto cercando un provider di posta elettronica che utilizzerò con dominio personalizzato, un provider è più economico ma ha solo SPF mentre l'altro è più costoso ma utilizza sia SPF che DKIM e non sono sicuro che se ne paghi di più ne vale la pena se gli altri fattori sono simili. Ho letto su SPF e DKIM e ho alcune domande su di loro e alcuni sulla sicurezza della posta elettronica in generale.

  1. Quale vantaggio fornirebbe DKIM se SPF è già utilizzato?

  2. È corretto affermare che SPF garantisce che il server da cui proviene l'e-mail sia quello da cui proviene effettivamente e DKIM garantisce che il contenuto del messaggio e-mail non sia stato modificato?

  3. Se è corretto che DKIM protegge il messaggio dall'essere manomesso, quindi da chi protegge esattamente? Chi può modificare il contenuto dell'email mentre è in transito, quali sono i comuni vettori di attacco? Può esserci un "nodo" dannoso che trasmette l'email ma modifica il suo contenuto?

  4. Sarebbe possibile per un utente malintenzionato creare un server che trasmette e-mail e poi curiosare su di esse o modificare il contenuto, proprio come chiunque può creare un nodo Tor dannoso?

  5. Se il provider di posta elettronica che uso supporta l'invio di email su SSL e voglio inviare un'email al mio amico che usa Gmail (che supporta anche SSL), il mio messaggio percorre l'intero percorso crittografato? Significa che il messaggio è crittografato con una chiave pubblica appartenente a Gmail e nessun server che inoltra il messaggio lo vedrà mai non crittografato?

  6. Supponiamo che io usi SPF. Un utente malintenzionato tenta di inviare un'email che sembra provenire da me. Dove viene inoltrata questa email (si tratta di qualcosa chiamato MTA)? Funziona come un nodo che inoltra le informazioni a ulteriori nodi? Se l'attaccante controlla il primo "nodo", non può riferire ai nodi verso cui inoltra, che il messaggio supera SPF quando non lo fa e i nodi che vengono inoltrati il messaggio lo crederebbero?

posta user139275 13.02.2017 - 22:18
fonte

2 risposte

6

What benefit would DKIM provide if SPF is already used?

Se un dominio ha configurato SPF, il server di posta ricevente può controllare se il mittente richiesto della posta in base alla finestra di dialogo SMTP (cioè MAIL FROM) è autorizzato a inviare posta da questo indirizzo IP. Questo aiuta lo spoofing del mittente solo un po 'poiché viene controllato solo il mittente basato sulla finestra di dialogo SMTP, ma non l'intestazione From della posta. Ma i clienti di posta solitamente si preoccupano solo di quest'ultimo.

Con DKIM il server di posta in uscita firma una posta e questa firma può anche essere controllata dal mittente, cioè non solo dal server SMTP ricevente. Questa firma potrebbe includere l'intero corpo, ma potrebbe anche includere solo parte del corpo. E anche se l'intestazione From fa parte di questa firma, ciò non significa che l'intestazione From deve provenire dal dominio dei firmatari, il che significa che lo spoofing è ancora possibile.

Lo spoofing di Da viene indirizzato solo configurando un criterio DMARC che richiede che il dominio nell'intestazione From sia protetto da SPF o DKIM e che specifica un criterio quando il requisito non è soddisfatto.

Is it correct to say that SPF ensures that the server from which the email claim to originate is the one from which it in fact originated and DKIM ensures that the content of the email message hasn't been modified?

Le e-mail non dichiarano di provenire da un server specifico ma da un dominio specifico. E come ho detto, SPF e DKIM da soli non proteggono dallo spoofing dell'intestazione From. E DKIM protegge solo parte della posta contro le modifiche: solitamente protegge tutto il corpo ma potrebbe essere configurato per consentire l'estensione del corpo. E protegge solo alcune intestazioni ma non tutte.

If it's correct that DKIM protects the message from being tampered with, then from whom does it protect exactly? Who can alter the content of the email while in transit, what are the common attack vectors? Can there be a malicious "node" that relays the email but modifies its content?

La posta viene consegnata hop per hop e anche se è crittografata con TLS, questa è rilevante solo tra gli hop. Quindi ci sono molte parti coinvolte che hanno accesso alla posta non protetta e potrebbero modificarla.

Would it be possible for an attacker to make a server that relays emails and then snoop on them or modify the content, just like anybody can make a malicious Tor node?

Se l'attaccante può spoofare record MX DNS che specificano come viene consegnata una posta o se l'attaccante può intercettare la posta su un trasporto non protetto o in uno degli hop l'hacker può modificarla. Ma l'attaccante non può semplicemente mettere un server su internet e dichiararlo come il server responsabile per il dominio, deve convincere altre parti a inviare la posta attraverso questo server (cioè a spoofing del record MX DNS).

If the email provider I use supports sending emails over SSL and I want to send an email to my friend who uses Gmail (which also supports SSL), does my message travels the whole path encrypted? Does it mean that the message is encrypted with a public key belonging to Gmail and no server which relays the message will ever see it unencrypted?

I messaggi viaggiano crittografati dal tuo client di posta al server di posta del tuo provider, vengono decodificati lì, modificati (intestazione ricevuta, magari intestazione DKIM) e nuovamente crittografati per trasportarli all'hop successivo che potrebbe essere google già o potrebbe essere un altro server di posta upstream.

Let's assume that I use SPF. An attacker attempts to sends an email that appears to come from me. Where is this email relayed to (is this something called MTA)? Does it work like a node that forwards information to further nodes? If the attacker controls the first "node", can't he report to the nodes that it forwards to, that the message passes SPF when it does not and the nodes that get forwarded the message would believe it?

Mentre l'utente malintenzionato può aggiungere un'intestazione Received-SPF alla mail e quindi richiedere il controllo di SPF, un server di posta (MTA) sul bordo tra Internet e Intranet che riceve questa posta potrebbe controllare nuovamente da quale indirizzo IP la posta arriva davvero, cioè non si fida dell'intestazione Received-SPF. Questa intestazione viene utilizzata principalmente dai controllori dello spam che desiderano incorporare il risultato del test SPF nel controllo della reputazione ma non eseguono il server di posta e pertanto non hanno accesso all'IP originale del mittente.

    
risposta data 13.02.2017 - 23:15
fonte
1

In breve, la differenza tra SPF e DKIM è semplice: SPF utilizza l'autenticazione basata sul percorso, mentre DKIM utilizza un'autenticazione basata sull'identità.

SPF utilizza DNS per pubblicare un record di tutte le autorità di trasferimento posta (MTA) autorizzate a inviare posta per conto del dominio. Gli MTA del destinatario quindi interrogano il DNS per il record SPF e riconciliano l'elenco di indirizzi IP approvati rispetto al percorso effettivamente utilizzato dal messaggio. La sintassi SPF determina come viene gestita la posta se gli indirizzi IP non corrispondono. Ad esempio, -all significa che la posta è respinta interamente. ~all significa che la posta è contrassegnata ma ancora autorizzata.

SPF ha i suoi limiti. Può essere complicato implementare completamente (le organizzazioni di grandi dimensioni possono trovare difficoltà a rintracciare ogni MTA che utilizzano) che può portare a una politica SPF più passiva per impedire che la posta legittima venga intrappolata dai filtri. Questo può aumentare la prevalenza del phishing.

DKIM utilizza la crittografia asimmetrica per firmare digitalmente un messaggio. Un dominio ha una coppia di chiavi pubblica / privata. DKIM eseguirà un hash di diversi campi di un'email, inclusi To: , From: , Date: , ecc. Questo hash viene quindi firmato con la chiave privata del dominio in questione e inserito nell'intestazione DKIM. La chiave pubblica del dominio è pubblicata in DNS e utilizzata per verificare l'autenticità dell'email.

DKIM non protegge dal falsificare il campo From: direttamente, ma garantisce che un messaggio di posta elettronica provenga effettivamente dal dominio in questione. Ad esempio, DKIM può garantire che una email provenga dal dominio foo-bar.com ma non può necessariamente garantire da chi all'interno di quel dominio ha inviato il messaggio, poiché il dominio nel suo complesso utilizza una coppia di chiavi, non individuale mittenti.

    
risposta data 19.06.2017 - 01:44
fonte

Leggi altre domande sui tag

Bruteforce Passphrase delle parole del dizionario Problemi di sicurezza CMS