恶意行为者使用 DKIM 重放攻击技术绕过 DKIM 身份验证控制。 这使他们能够获取有效企业邮箱的副本，并使用附加或替换的元素重播它。 发件人、收件人或主题标题。 由于原始 DKIM 签名有效，因此重放的版本也通过了 DKIM 身份验证检查。 这样，即使是网络钓鱼和欺骗企业邮箱 落在收件人的收件箱中 而不是垃圾邮件文件夹。

您可以使用以下方法管理这种新的企业邮箱攻击媒介 DKIM 过度签名方法这增加了一个 额外的安全层 并最大限度地减少有效签名被用于恶意目的的可能性。

了解 DKIM 转让

DKIM 过度签名是一种企业邮箱安全措施，其中特定标头 多次签署 这样恶意行为者就无法修改传输中的内容并使用新内容重新发送。 这是通过确保“发件人”、“收件人”和“主题”字段在传输过程中保持受保护且不被修改来完成的。 然后标题是 检查了几个点建立企业邮箱的完整性和合法性。

我们建议域名所有者使用 t= 和 x= 等标头 添加一个 时间元素 这可以防止企业邮箱在指定的有效期之外被标记为有效。 您可以设置 截止日期 从几个小时到一个月，这仅取决于提供商。

分解 DKIM 重放攻击的过程

以下是标准 DKIM 重放攻击的步骤：

DKIM 签名宽大处理

对传出消息进行签名的域可以 与域“From”不同 在标题中。 因此，如果企业邮箱在“发件人”标头中声称来自特定域，则 DKIM 签名可能会链接到不同的域。

确认

当邮件服务器收到带有 DKIM 签名的企业邮箱时，它会验证该企业邮箱自发送以来未被修改。 如果 签名有效这证实了该企业邮箱是真实的且没有伪造。

手术

这是重放攻击的主要阶段，此时黑客控制或侵入邮箱，从而利用该漏洞。 域名的良好声誉 对他们有利。 这些域获得收件人邮箱的信任，因此 以免引起怀疑轻松绕过所有企业邮箱安全过滤器。

发送初始消息

攻击者将第一封企业邮箱从被利用的域发送到其控制的邮箱。 这封企业邮箱是无害的。

重播

现在攻击者可以 重新发送保存的企业邮箱 发送给不同的收件人组，这通常不是原始发件人的本意。 鉴于 企业邮箱保留其 DKIM 签名 从高信誉域中，邮件服务器更有可能信任它，相信它是合法的并且 绕过身份验证过滤器。

防止 DKIM 重放攻击

重签名标头

将关键标头签名为 日期、主题、发件人、收件人和抄送 以防止恶意行为者的篡改。

设置较短的过期时间 (x=)

使用较短的过期时间 以降低重放攻击的风险。 由于其脆弱性较高， 新领域 应该有更短的到期时间。

使用时间戳 (t=) 和随机数

为了避免重放攻击，请包括 时间戳和随机数 企业邮箱标头或正文中的（随机数），因为这些值随每封企业邮箱而变化。

DKIM 密钥的定期轮换

定期轮换 DKIM 密钥并更新 DNS 记录以 限制密钥泄露的风险 和重放攻击。

你怎么知道你是否受到攻击？

DKIM 重放攻击是 主要针对Gmail可能是因为谷歌的垃圾邮件过滤严重依赖于域名声誉。 这使其成为 有吸引力的操纵目标 由恶意行为者。 其他企业邮箱提供商的域过滤较少，可能不易受到这些特定攻击的影响。

图片来自zoho.com

由于以下原因，检测攻击可能很困难 虐待的微妙迹象一个有效的方法是在Google Postmaster Tools中监控以下指标：

声誉下降的程度取决于分发的重播垃圾邮件的数量。