Отправляет email-рассылки с помощью сервиса Sendsay
  Все выпуски  

Защита от спама личной и корпоративной почты. Призыв M3AAWG - вернуть доверие к DKIM-подписям


Рабочая группа по борьбе с угрозами и злоупотреблениями в сфере ИТ M3AAWG (Messaging, Malware and Mobile Anti-Abuse Working Group) обратилась к индустрии с призывом повысить криптографическую защиту подписей доменных ключей DKIM и увеличить длину используемых ключей не менее чем до 1024 бит.

Утверждённая несколько лет назад в качестве стандарта RFC технология DKIM уже достаточно широко применяется многими крупными операторами электронной почты, поставщиками услуг почтового хостинга, а также системами корпоративной почты для подтверждения отправителя сообщения и его целостности. Для этого в каждое сообщение добавлсяется индивидуально вычисляемый по криптографическому алгоритму заголовок, корректность которого может быть проверена получателем используя службу DNS. Однако при недостаточности длины криптографического ключа он может быть подделан, что наглядно показал математик из Флориды.

Используя 512-битный ключ GMail исследователь отправил поддельное письмо основателям Google Сергею Бринну и Ларри Пейджу якобы друг от друга. В ходе проверки, проведённой американской правительственной организацией CERT (Computer Emergency Readiness Team - группа быстрого реагирования на компьютерные инциденты) выяснилось, что не только Google, но и многие другие крупнейшие транснациональные компании такие как Microsoft, PayPal, Yahoo, Amazon, eBay, Apple, Dell, LinkedIn, Twitter, HP и HSBC используют ключи DKIM недостаточной длины. M3AAWG подтвердила наличие уязвимости и опубликовала ряд предложений по противодействию возможным подделкам ключей DKIM:

  • длина активного ключа DKIM, используемого для подписания сообщений, должна составлять не менее 1024 бит, так как все ключи меньшей длины могут быть более или менее легко скомпрометированы;
  • смена шифровального ключа должна происходить не реже раза в 90 дней. Отзыв ключа при этом должен отражён в DNS-записи доменной зоны: старый ключ должен быть заменён опубликованным новым;
  • использовать именно технологию DKIM, а не её предшественницу DomainKeys, имеющую ряд недостатков;
  • минимизировать тестовый режим использования DKIM и сразу переходить к production-использованию технологии. Тестовый ключ при этом должен быть, разумеется, сразу же отменён;
  • дополнить DNS-запись домена TXT-записями DMARC (Domain-based Message Authentication, Reporting and Conformance) в режиме мониторинга для отслеживания обращения к ключам DKIM; всячески продвигать в среде партнёров и контрагентов, предоставляющих услуги хостинга почты, применение технологии DKIM согласно приведённым выше рекомендациям;

В избранное