slimlv Jan 25 2022 at 01:34

DKIM replay атака на Gmail

1 min

Spamming and anti-spammingInformation Security*System administration*

+12

Comments 6

karavan_750 Jan 25 2022 at 02:26

есть возможность отправить и получить письмо с мусорным содержанием с какого-либо адреса электронной почты атакуемого домена

Проведите атаку на яндекс и опубликуйте результаты.

olegtsss Jan 25 2022 at 10:56

«Gmail верит DMARC, которому достаточно правильной DKIM подписи письма, чтобы подтвердить домен отправителя в заголовке From для использования репутации домена. Результат проверки SPF далее не учитывается».

Я несколько раз перечитал и все равно не понял, что там происходит. DMARC — это по сути политика, DKIM — цифровая подпись письма (всего полностью, вместе со служебными полями). SPF — это подтверждение соответствия IP адреса и доменного имени при помощи механизма DNS.

s_korobeiko Jan 29 2022 at 18:57

Политика DMARC устаналивает строгость по отношению к проверкам DKIM и SPF. По дефолту достаточно пройти одну из двух проверок, тогда письмо считается подтверженным как принадлежащее к домену отправителя. Политику DMARC устаналивает владелец домена, Gmail просто чтитывает это в DNS и применяет к письмам.

olegtsss Jan 29 2022 at 19:32

«Политику DMARC устанавливает владелец домена, Gmail просто считывает это в DNS и применяет к письмам» — и что тут не так?

s_korobeiko Jan 29 2022 at 21:31

Проблема в возможности провести атаку DKIM replay и в алгоритме подсчёта репутации домена в Gmail, в статье именно про это речь. Почтовый сервис Protonmail хорошо это описал.

Всё работает на принятых стандартах, обе стороны (владелец домена и Gmail) их соблюдают, но третья сторона имеет возможность испортить репутацию домену.

olegtsss Jan 30 2022 at 20:02

Спасибо, надо почитать про «DKIM replay». Интересная тема, жаль, что вы ее не раскрываете с технической точки зрения.