Entendiendo la validación de DKIM

Navega tus respuestas
1

DKIM, según lo leído por rfc4871, establece que la falsificación de direcciones es más difícil además de proteger la identidad del remitente y la integridad del correo.

He estado buscando los detalles, cuyo paso de validación precisa evita el From:-header de suplantación de identidad, considerando el hecho de que Dave Rand y Doug Otis, de Trend Micro, argumentan que hay una debilidad en DKIM cuando se antepasa un segundo From: header . Lo contrario significa que no es posible con solo un From:-Header .

Por favor, descubra mi error en mi razonamiento:

  1. Suponiendo que soy un spammer que ha registrado el dominio spammailer.com
  2. Como soy el propietario, estoy autorizado a configurar registros DKIM en DNS para el dominio spammailer.com .
  3. Ahora estoy enviando un correo electrónico desde mi servidor de correo que tiene la clave privada para [email protected] :

Encabezado: 

Return-Path: <[email protected]>
Received:...
Received:...
Date: Wed, 17 Oct 2018 15:11:08 +0000
From: [email protected]
To: <[email protected]>
Message-ID: <[email protected]>
Subject: pay rise of 5%
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=spammailer.com;
    s=bostonceltics; t=1519400838;
    h=from:subject:date:message-id:to:mime-version:content-type:content-transfer-encoding;
    bh=kpYel1IlDvqXEUc0SyIpXbMte3XpQOCXHl+zTyHQvGc=;
    b=NEUyWUoeKEoKAYTY8g04o73j+wrYUcEGSq7uwpbsAGo0OzuuIBluEfG1MbGF/Tf6yxxJB4
    gTDD3sqb19EsQxv39QsAwgddAz01Osw5LKU0MjLZpxw6NA8zLllJUsrNdNQAYSII9ip4xX
    ImU7+KFOEF+gmxR5aseUt5H6JT/aOmhPE9xsSyg9wLf0Bikyy5Cgh+Ay7AHQLMZogbTi9W
    dAPpZZcZs0pTwhcard6SaesypJ+xZNna+BA+C1vXrGDc+9stYZVi+Zufh6zlZo1E/sQSRL
    jowB1mjv1vjINRY30aq0rh4dT8RHe38/PKFf8vQHOSOKvjIKv984UeOTIFIUHw==

Según tengo entendido, el proceso de verificación ahora hace lo siguiente:

  1. obtener la clave pública del dominio remitente d=spammailer.com+separator
  2. descifrar la firma DKIM con la clave pública del spammer que pasa (¡supongo!) porque el correo no se altera de ninguna manera.

Ahora el destinatario en la contabilidad de IBM reconoce que hay un correo electrónico del CEO que se muestra como From:-address en la mayoría de las MUA.

    
pregunta Toni 19.10.2018 - 18:38
fuente

1 respuesta

1

DKIM por sí mismo no protege contra la falsificación del campo From: en el encabezado del correo (es decir, RFC822.From ). Solo agrega una firma que muestra que partes significativas del encabezado del correo no se cambiaron y que el correo pasó a través del servidor de correo responsable de un dominio específico. En su caso específico, la firma DKIM muestra que el correo pasó a través del servidor de correo para spammailer.com pero no a través del servidor de correo para ibm.com como probablemente lo harían los correos apropiados de [email protected] .

DMARC solo agrega la protección contra la falsificación del campo From: . Siempre que el dominio de correo tenga una política DMARC (como lo hace actualmente ibm.com que muestra dig txt _dmarc.ibm.com ), el sistema receptor puede verificar si hay una firma DKIM alineada o un resultado SPF. Alineado con respecto a DKIM significa que el dominio dado en el campo desde From: coincide con el dominio de la firma DKIM (ya sea exactamente o permitiendo subdominios, según la política de DMARC).

    
respondido por el Steffen Ullrich 19.10.2018 - 21:02
fuente

Lea otras preguntas en las etiquetas

¿Cómo prevenir ataques CSRF en dos etapas? el comando de carga del meterpreter no funciona