DKIM и DMARC в Office 365 (часть 1)
- DKIM и DMARC в Office 365 (часть 3)
Введение
Мы все ненавидим спам, и если вы читаете эту статью, то, вероятно, знаете, насколько опасными могут быть спам и фишинговые атаки. Поэтому я не собираюсь писать абзацы за абзацами о том, что такое спам и фишинг, их опасности и важности борьбы/предотвращения с ними. Сразу к делу: DKIM и DMARC.
Что такое ДКИМ?
Ключи домена, идентифицированная почта (DKIM), — это методология шифрования с открытым ключом, которая работает в сочетании с Sender Policy Framework (SPF), криптографически связывая каждое сообщение с доменом отправителя, что снижает вероятность того, что ваша деловая электронная почта будет обнаружена как спам.
В 2005 году консорциум интернет-компаний представил в Инженерную группу Интернета (IETF) проект спецификации «DomainKeys Identified Mail — DKIM», производную работу, основанную на работе от Yahoo и от Cisco.
Запись SPF указывает, какие серверы уполномочены отправлять почту для домена. Серверы-получатели выполняют проверку «приходит ли это письмо с авторизованного почтового сервера»? Если нет, то рассматриваемое электронное письмо, скорее всего, является спамом. Ваша DNS-запись SPF позволяет серверу-получателю выполнить эту проверку. Проверка SPF подтверждает, что письмо приходит с авторизованных серверов.
Запись DKIM добавляет цифровую подпись к электронным письмам, отправляемым вашей организацией. Серверы-получатели выполняют проверку «соответствует ли подпись»? Если да, то электронное письмо не было изменено и отправлено законным отправителем. Ваша DNS-запись DKIM позволяет серверу-получателю выполнить эту проверку. Проверка DKIM подтверждает, что сообщение подписано и связано с правильным доменом.
Поскольку записи SPF являются общедоступными, любой спамер может легко найти IP-адреса, с которых вы разрешаете отправлять почту, и подделывать свою почту так, чтобы она поступала с этих IP-адресов. DKIM помогает предотвратить это, заявляя, что в дополнение к просмотру записи SPF отправитель почты также должен иметь этот действительный ключ шифрования.
фигура 1
В революционной статье 1976 года Уитфилд Диффи и Мартин Хеллман предложили понятие криптографии с открытым ключом (также известной как асимметричный ключ), в которой используются два разных, но математически связанных ключа: открытый ключ и закрытый ключ. Система с открытым ключом устроена так, что вычисление одного ключа из другого невозможно с вычислительной точки зрения, даже если они связаны. В криптосистемах с открытым ключом открытый ключ используется для шифрования и распространяется бесплатно, а его парный закрытый ключ используется для дешифрования и должен оставаться секретным.
Криптография с открытым ключом также может использоваться для реализации цифровых подписей, и это то, что использует DKIM. Цифровые подписи постоянно привязаны к содержимому подписываемого сообщения, и любая попытка изменить его содержимое будет обнаружена. В схемах цифровой подписи существует два алгоритма: один для подписи, в котором секретный ключ используется для обработки сообщения (или хэш сообщения, либо и то, и другое), и один для проверки, в котором используется соответствующий открытый ключ. с сообщением для проверки действительности подписи. Это дает два преимущества:
- Аутентификация — цифровые подписи могут использоваться для аутентификации источника сообщений. Когда право собственности на секретный ключ цифровой подписи привязано к конкретному пользователю, действительная подпись показывает, что сообщение было отправлено этим пользователем и никем другим (при условии, что закрытый ключ не был скомпрометирован);
- Целостность — во многих сценариях отправителю и получателю сообщения может потребоваться уверенность в том, что сообщение не было изменено во время передачи. Хотя шифрование скрывает содержимое сообщения, возможно изменить зашифрованное сообщение, не понимая его. Однако, если сообщение имеет цифровую подпись, любое изменение в сообщении после подписи делает подпись недействительной. Кроме того, не существует эффективного способа изменить сообщение и его подпись для создания нового сообщения с действительной подписью, поскольку большинство криптографических хеш-функций все еще считают это вычислительно невозможным.
DKIM использует DNS для публикации открытого ключа, поэтому любая сторона, которая хочет проверить подпись, может легко найти его и использовать для проверки подписи DKIM. Когда отправитель хочет отправить электронное письмо получателю, отправляющий сервер вычисляет криптографическую подпись, которая покрывает соответствующие части сообщения, используя закрытый ключ. Затем подпись помещается в заголовок электронной почты, и сообщение отправляется. В любой момент пути подпись проверяется с помощью открытого ключа.
Поддельные электронные письма не будут иметь действительной подписи, поэтому их теперь легко обнаружить. Используя DMARC (обсуждается в следующей части этой серии статей), можно помочь получателю решить, что делать с этими сообщениями, которые не проходят проверку, обычно запрашивая их отклонение и сообщая законной организации для дальнейшего расследования.
DKIM в Office 365
Многие поставщики услуг электронной почты, такие как Google, Yahoo! или и AOL уже много лет предлагают DKIM. Так почему же не Microsoft? Что ж, несколько лет назад Microsoft пошла по другому пути, . Но теперь это меняется, и Office 365 наконец-то поддерживает DKIM.
На момент написания этой статьи Office 365 поддерживает входящую проверку DKIM через IPv4 и IPv6. Подписание DKIM для исходящего трафика пока недоступно, но оно запланировано на первый квартал 2015 года, так что следите за обновлениями!
Office 365 предоставит клиентам возможность подписывать DKIM всю свою исходящую электронную почту, используя собственные ключи DKIM или позволяя Office 365 создавать их. Это относится к полностью хостинговым, гибридным или локальным клиентам!
Для входящей проверки нам не нужно ничего делать, поскольку Exchange Online Protection (EOP) уже автоматически проверяет DKIM с помощью заголовка в заголовках сообщений. На скриншоте ниже мы видим этот заголовок и саму подпись DKIM. Мы также можем извлечь из него определенную информацию, например, тот факт, что домен подписи — gmail.com ( ).
Результат проверки отмечается в заголовке , а пока еще и во временном заголовке . На следующем снимке экрана мы видим как подпись DKIM, так и ее проверку:
фигура 2
Если сообщение не проходит проверку DKIM, в заголовке будет указано с указанием причины ошибки в скобках, например неверный хэш тела сообщения, тайм-аут запроса ключа, отсутствие ключа для подписи и т. д.
Office 365 проверяет подписи DKIM при получении сообщения. Однако после сканирования сообщения службой EOP существующая может стать недействительной, если сообщение ретранслируется на локальный сервер, и этот сервер пытается повторно проверить его. Это связано с тем, что EOP изменяет некоторые части сообщения, что делает подпись DKIM недействительной… Microsoft планирует изменить это поведение в ближайшее время.
Администраторы также могут создавать правила транспорта Exchange для обработки этих сообщений в зависимости от результатов проверки DKIM для фильтрации или маршрутизации сообщений по мере необходимости.
Вывод
В первой части этой серии статей мы рассмотрели, что такое DKIM, как он работает и какова его цель. В следующей части мы рассмотрим DMARC.
- DKIM и DMARC в Office 365 (часть 3)