DKIM - nowy oręż do walki z phishingiem

DomainKeys Identified Mail jest standardem coraz szerzej stosowanym do ochrony przed fałszywą pocztą elektroniczną. Wykorzystują go m.in. Google i PayPal.

DomainKeys Identified Mail jest standardem coraz szerzej stosowanym do ochrony przed fałszywą pocztą elektroniczną. Wykorzystują go m.in. Google i PayPal.

Nadużycia związane z pocztą elektroniczną dotyczą zarówno użytkowników biznesowych, jak i prywatnych. Skutkują milionami dolarów wydanymi na rozwiązania ochrony, utratą wydajności i wprowadzają dodatkowe obciążenie w sieci. Problem phishingu spowodował podjęcie prac nad metodami uwierzytelniania poczty elektronicznej, które mają chronić użytkowników przed nadużyciami związanymi z tą formą komunikacji. Jedną z takich metod zapewnia specyfikacja DKIM (DomainKeys Identified Mail).

Jest to standard uwierzytelniania zaprojektowany przez IETF (Internet Engineering Task Force), umożliwiający podpisywanie wychodzącej poczty elektronicznej i weryfikację jej nadawcy.

Standard ma wzmacniać ochronę użytkownika przed fałszywą pocztą elektroniczną i jednocześnie zwiększać odpowiedzialność za rozprzestrzenianie spamu i phishingu. DKIM definiuje strukturę uwierzytelniania poczty elektronicznej, używającą kryptografii kluczy publicznych i podstawowych technologii serwerowych. Struktura ma zapewniać możliwość weryfikacji źródła wiadomości i ochronę tożsamości jej nadawcy, a także integralność przekazywanej wiadomości, pozostawiając jednocześnie funkcjonalność poczty internetowej na niezmienionym poziomie.

DKIM ma więc przeciwdziałać jednemu z największych zagrożeń związanych z internetem: fałszowaniu wiadomości poczty elektronicznej. Według danych zawartych w raporcie, opublikowanym w styczniu br. przez AOTA (Authentication and Online Trust Aliance), ok. 80% wiadomości pocztowych sygnowanych przez legalne firmy, banki czy dostawców internetu jest sfałszowanych. Aby dojść do takiego wniosku, AOTA przeanalizowała w ciągu pięciu miesięcy ponad 100 mln przesyłek pocztowych, pochodzących z firm znajdujących się na liście Fortune 500.

Według analityków stowarzyszenia, uwierzytelnianie poczty elektronicznej musi być postrzegane przez IT głównie jako metoda ochrony marki, przed jej nieuprawnionym wykorzystaniem, i klientów, przed oszustwem, jak również ochrona pracowników przed sfałszowanymi wiadomościami wchodzącymi do sieci organizacji.

Zwolennicy DKIM uważają, że standard ten jest istotnym krokiem w odbudowywaniu zaufania konsumentów do poczty elektronicznej. Standard opracowywany jest od roku 2004 i w końcu osiągnął pewną dojrzałość. Oczekuje się, że w tym roku zacznie być szerzej wykorzystywany, zwłaszcza w usługach finansowych i handlu online. Pionierzy w stosowaniu tego standardu to Bank of America, American Greetings i Cisco.

Podpisywanie poczty elektronicznej, wykorzystujące DKIM, może być szczególnie korzystne dla banków, usług online oraz innych organizacji używających tej formy w kontaktach z klientami. Zapewnienie klientom środków wykrywania nadużyć poczty elektronicznej może przekładać się bezpośrednio na ich zwiększone zaufanie, co znacznie obniża koszty ochrony i chroni reputację marki.

Jak działa DKIM

DKIM - uwierzytelnianie poczty elektronicznej

DKIM - uwierzytelnianie poczty elektronicznej

DKIM pozwala danej organizacji na zamieszczenie podpisu kryptograficznego w poczcie wychodzącej i powiązanie tego podpisu z nazwą domeny. Taki podpis "podróżuje" z wiadomością pocztową niezależnie od jej drogi w internecie. Odbiorca wiadomości może użyć tego podpisu do sprawdzenia, czy wiadomość pochodzi z domeny organizacji, która widnieje jako nadawca.

W przypadku przesyłki nieuwierzytelnianej odbiorca nie może mieć pewności, że otrzymana wiadomość pochodzi od tego, kto deklaruje się jako nadawca. DKIM jest sposobem pozwalającym odbiorcy wiadomości na sprawdzenie, czy pochodzi ona rzeczywiście od tego, kto podaje się za nadawcę.

Z chwilą uznania wiadomości za legalną, system jej odbiorcy może użyć systemu reputacji do oceny stopnia zaufania, jaki może być przyznany danej przesyłce. Filtry antyspamowe mogą kwestionować informacje z banku w znacznie mniejszym zakresie, niż pochodzące np. od (legalnych) dostawców medykamentów.

Specyfikacja łączy technologie weryfikacji poczty elektronicznej DomainKeys (Yahoo!) i Internet Identified Mail (Cisco). Obie firmy oraz wiele innych dostawców rozwiązań poczty elektronicznej, a także ISP współpracują w ramach Grupy Roboczej DKIM IETF nad ostateczną formą specyfikacji, która jest prawie na ukończeniu.

Specyfikacja używa DNS w taki sam sposób, jak DomainKeys - protokół antyspamowy Yahoo! DKIM wykorzystuje także technologię podpisu nagłówkowego Internet Identified Mail Cisco, zapewniającą możliwość podpisywania zawartości przesyłanej wiadomości.

Do podpisywania poczty z użyciem DKIM trzeba utworzyć pary kluczy publiczny/prywatny, wykorzystując do tego odpowiednie oprogramowanie. Publiczna część pary kluczy jest umieszczana w rekordach domenowych DNS, podczas gdy prywatna jest udostępniana serwerowi nadawczemu poczty w domenie. Wysyłając wiadomość, serwer pocztowy używa klucza prywatnego do utworzenia podpisu cyfrowego pokrywającego zarówno nagłówek, jak i treść wiadomości i umieszcza go w nagłówku.

System pocztowy odbiorcy, odbierając wiadomość DKIM, wykonuje zapytanie DNS w celu uzyskania klucza publicznego domeny. Weryfikuje następnie podpis, aby upewnić się, że informacja została podpisana przez stronę autoryzowaną, co oznacza, że nie jest falsyfikatem. Jeżeli system pocztowy odbiorcy otrzyma wiadomość, która nie zawiera podpisu DKIM, to wykonuje zapytanie DNS, by określić, jakie ustawienia w zakresie podpisywania ma domena. Gdy te wskazują, że wszystkie wiadomości są podpisywane, to odbiorca może przyjąć, że wiadomość nie jest autentyczna.

DKIM jest już specyfikacją stabilną. Bazowa specyfikacja DKIM, która określa jak podpisywać wiadomość i jak weryfikować podpis, jest już dobrze zdefiniowana.

Grupa Robocza DKIM nadal pracuje nad Sender Signing Practices (SSP), które mają być dokumentem opisującym informacje, jakie nadawca może dostarczyć w swoim rekordzie DKIM do odbiorcy, które mogą być użyte do wypracowania decyzji, a także jakie kroki musi on podjąć z wiadomością otrzymaną od nadawcy.

Jeżeli organizacja podpisuje wszystkie wiadomości wychodzące, a informacja odebrana przez odbiorcę, rzekomo pochodząca z tej organizacji, nie jest podpisana, to należałoby przyjąć, że w rzeczywistości jest ona sfałszowana. Taka polityka powinna być zapisana w rekordzie DNS związanym z nadawcą. SSP jest na etapie wersji roboczej.

Dostawcy rozwiązań sieciowych uważają, że DKIM jest już gotowa do wdrażania. W listopadzie ub.r. dwadzieścia firm (dostawców rozwiązań poczty elektronicznej i ISP) przeprowadziło test współdziałania wdrożeń DKIM. Stwierdzono, że standard działa poprawnie i nie wykryto żadnych technicznych przeszkód dla jego rozpowszechniania.

Oprogramowanie i urządzenia zgodne z DKIM są dzisiaj już dostępne u takich dostawców, jak Sendmail, IronPort, Message System, Port 25 Solutions, StrongMail Systems i innych. Chętni mogą więc bez przeszkód wdrażać DKIM, ponieważ na rynku dostępne są komercyjne produkty wspierające tę specyfikację.

DKIM nie wyeliminuje całkowicie zjawiska fałszowania wiadomości poczty, ale może pomóc firmom, które są celami kampanii phishingu, w zapewnieniu swoim klientom sposobu upewniania się, że otrzymana wiadomość pochodzi właśnie od nich.

Wdrażanie DKIM

Według ekspertów, wdrożenie standardu DKIM wymaga wykonania trzech kroków:

  1. Określenie wszystkich domen, które są dopuszczone do wysyłania poczty w imieniu organizacji. Często są to domeny korporacyjne, jak również firmy prowadzące marketing przez e-mail.
  2. Utworzenie rekordów tekstowych DNS zawierających informacje DKIM dla każdej domeny, która używana jest do wysyłania poczty.
  3. Uaktualnienie wszystkich agentów transferu wiadomości (MTA) - programowych lub sprzętowych - do obsługi DKIM. MTA są ostatnimi komponentami systemu wymiany wiadomości "dotykającymi" poczty wychodzącej. Jest to punkt, w którym dołączane są podpisy DKIM.

Duże organizacje mogą też wykorzystywać wiele urządzeń poczty elektronicznej, które trzeba będzie zaktualizować "pod DKIM", jednak większość dostawców oferuje opcję DKIM, jako opcjonalny mechanizm dołączany do nowej wersji oprogramowania. Uaktualnienie może być więc sprawą prostą.

Sender ID a DKIM

Walcząc z nadużyciami poczty, Microsoft - jak zwykle - podąża własną drogą. Jednak dobrą wiadomością jest to, że jego koncepcja o nazwie Sender ID współpracuje ze standardem DKIM. Sender ID wymaga od ISP i firm publikowania rekordów SPF (Sender Policy Framework), które służą do identyfikowania ich serwerów pocztowych. SPF jest rozszerzeniem SMTP (Simple Mail Transfer Protocol), a DKIM wykorzystuje agenta transferu poczty (MTA) do kryptograficznego podpisywania wychodzącej poczty i kontrolowania poczty wchodzącej na obecność podpisu DKIM.

Z powodu istnienia dwóch standardów, wiele organizacji zaleca przyjęcie obu. Sender ID jest szeroko stosowany, podczas gdy DKIM dopiero zaczyna swoją karierę.

Z analiz przeprowadzonych przez AOTA wynika, że w sumie 37% firm z listy Fortune 500 używa Sender ID lub DKIM. Dwa lata wcześniej mniej niż 10% tych firm uwierzytelniało pocztę wychodzącą.

Obie metody uwierzytelniania można uznać za komplementarne. Firmy, które zechcą je wdrożyć, muszą jednak zakupić odpowiednie oprogramowanie lub urządzenia od dostawców niezależnych, takich jak Sendmail czy IronPort. Exchange może współpracować z urządzeniami obsługującymi DKIM.

O reputacji witryn - Filip Demianiuk, Technical Channel Manager z Trend Micro

Do ataków typu phishing najczęściej wykorzystywane są botnety, czyli sieci komputerów zombie - maszyn zainfekowanych złośliwym oprogramowaniem.

Chroniąc serwery przed akceptowaniem wiadomości pocztowych wysyłanych przez botnety, chronimy się również przed phishingiem. Mechanizmem, który można do tego celu wykorzystać, jest zastosowanie dynamicznych list reputacyjnych (Dynamic RBL), zawierających informacje o aktywnych ostatnio adresach IP rozsyłających spam. Ponadto zaletą tej techniki jest to, iż nie obciąża ona dodatkowo serwera pocztowego.

Poza analizą wiadomości pocztowej, czy też weryfikacją tożsamości jej nadawcy, należy jeszcze wykorzystać narzędzie blokujące dostęp do samych witryn phishingowych. Dlaczego? A co w przypadku, gdy spreparowany link do strony www otrzymaliśmy poprzez komunikator internetowy? A może witryna, którą właśnie odwiedzamy, została zaatakowana i napastnik podmienił występujące na niej linki na inne - spreparowane? Wtedy mechanizmy kontroli poczty e-mail nie będą pomocne.

W odpowiedzi na te zagrożenia powstał mechanizm ochrony - Web Reputation Services, czyli usługi określające reputację witryn internetowych oraz umożliwiające blokowanie dostępu do witryn niebezpiecznych w czasie rzeczywistym. W ramach tej usługi działa kilkaset serwerów, które skanują sieć, na bieżąco analizując publikowane w niej witryny internetowe, pod kątem ponad 50 różnych charakterystyk. Po przeprowadzeniu wszystkich tych testów, systemy określają reputację witryny.