DKIM 中的 DKIM l= 标签(小写 "L")是一个可选标签,用于指定应签名的邮件正文长度。由于 l= 标签可以对邮件正文进行部分签名,因此可以认为这是一个 DKIM 漏洞。这会使威胁行为者更容易利用 DKIM 签名邮件。
让我们探讨一下 DKIM的工作原理,以及为什么我们不鼓励在 DKIM 签名中使用 DKIM l= 标记。
DKIM(DomainKeys Identified Mail)是一种电子邮件验证协议,可确保您的电子邮件内容在传输过程中未被篡改。它允许收件人验证电子邮件是否确实由该域名所有者发送和授权。
当中间服务器转发您的邮件时,它们可能会更改邮件正文。它们可能会在页脚或邮件内容中添加额外信息。引入 DKIM l 标签是为了防止您的合法邮件在转发过程中或被邮件列表修改内容时无法通过 DKIM。
例如,一封邮件的正文长度为 1000 字节,但只有前 500 字节被签名:
在本例中 l=500表示 DKIM 签名只包含电子邮件正文的前 500 字节。
然而,欧洲领先的域名注册商 Zone.eu 的分析师团队发现了一个与 DKIM 签名中的 l 标签有关的严重漏洞。除了在邮件转发情况下的好处外,网络犯罪分子可以轻易利用 l 标签发送仍能通过 DKIM 检查的网络钓鱼电子邮件。
我们不建议使用 DKIM l= 标签,因为它会削弱您的安全态势,使您的域名即使配置了电子邮件验证,也容易受到攻击。
攻击者可以更改邮件正文的内容,并在邮件未签名部分附加超出 "l "标签定义的字节范围的恶意文件或链接。当这封电子邮件到达您的收件人时,它将通过 DKIM 校验。随后,如果您的域名启用了DMARC,它也会通过。
您的收件人可能会打开这封邮件,相信您的域名,成为又一次网络钓鱼攻击的受害者!这可能会造成严重的隐私泄露、凭证被盗和对您的信誉失去信任。如果您的客户在此过程中蒙受损失,您甚至可能需要承担经济赔偿责任。
BIMI 是一种新兴协议,由于能在电子邮件中附加品牌徽标,因此在安全和营销行业都越来越受欢迎。不久前,Gmail 和 Apple Mail 等主要电子邮件提供商扩展了对 BIMI 的支持,使您的电子邮件看起来更专业,并通过可视化验证增强了安全性。
由于从签名中使用 DKIM l 标签的域名发送的伪造邮件可以通过 DKIM 和 DMARC 检查,因此品牌的 BIMI 标识也会被附加到这些恶意邮件中!现在,从您的域名发送的伪造邮件不仅通过了所有验证过滤器,而且还附有您的品牌徽标!这进一步增加了收件人相信其可信度的机会。
由于 DKIM l= 标签可能被利用,Gmail 在其 Google 管理工作区帮助中心中极力反对使用该标签。以下是 谷歌对此的看法:
"如果您使用 Google Workspace 以外的电子邮件系统设置 DKIM,请不要在发出的邮件中使用 DKIM 长度标签 (l=)。使用此标签的邮件容易被滥用"。
RFC 6376 第 8.2 节进一步强调了与 DKIM l 标签相关的风险。 RFC 6376 第 8.2 节标题为 "滥用正文长度限制("l="标记)"的 RFC 6376 第 8.2 节中进一步强调了与 DKIM l 标记相关的风险。RFC 警告用户,在 DKIM 签名中指定 l 标签可能会导致用户在没有任何警告的情况下访问恶意电子邮件内容。RFC 敦促 DKIM 签名者在使用该标记时格外小心,并建议评估服务器完全忽略指定了 l= 标记的 DKIM 签名。
首先必须确定您的域名是否存在漏洞。为此,我们在下面列出了几种可以使用的方法:
1.给自己发送一封空白邮件(这里我们以 Gmail 用户为例)
2.打开此电子邮件。
3.转到 "更多选项",右上角有三个点。
4.点击 "显示原文"。
5.在 "原始邮件 "页面,向下滚动以查看原始标题。
6.导航至 "DKIM-Signature:(DKIM 签名:)"部分并分析语法。如果您看到 DKIM 签名标头中有 DKIM l= 标记,说明您的域名存在漏洞。如果不存在,则没有问题,无需采取任何措施。
1.在 PowerDMARC 上注册,免费试用。转到分析工具 > MailAuth Analyzer。
2.复制自动生成的电子邮件地址,并将其粘贴到 Gmail 中,作为新测试邮件的收件人。发送测试邮件。
3.现在返回门户网站并刷新页面。点击 "操作 "部分的 "查看 "图标,检查结果。
4.我们会立即生成一份包含 DKIM、SPF 和 DMARC 配置等信息的汇总报告!
5.您可以向下滚动,查看原始和解析格式的 DKIM 签名头。在此,您可以确定您的签名是否有 l= 标记。如果存在,则需要采取措施消除这一漏洞。
如果您想充分利用您的 DKIM 协议,我们的专家建议您参考以下提示:
为了提高 DKIM 的功效,您可以执行以下协议(最后还有一项额外建议!):
通过遵守这些最佳实践,企业可以大大提高电子邮件的安全状况,并保护其域名声誉。虽然 l= 标签可以灵活处理可能在传输过程中被更改的电子邮件,但它会削弱域名的安全性。因此,我们与各种电子邮件提供商、行业专家和组织都不推荐使用这种方法。要了解更多域名安全和电子邮件验证服务、 联系我们今天就联系我们!