DKIM replay атака на Gmail

0f9047700a269bfa700f958be72479cc.png

Никогда такого не было, и вот опять…

TLDR: Почтовый сервис Gmail подвержен атаке DKIM replay на репутацию домена отправителя.

Широкоиспользуемый сервис электронной почты gmail.com пытается защитить своих пользователей от спама с помощью самых разнообразных техник. Репутация домена отправителя является одной из важных на ряду с репутацией IP адреса отправляющего сервера. Как только репутация какого-либо домена падает до плохой, все новые письма с почтовых адресов домена начинают приходить в папку «Спам».

К сожалению, в текущий момент, алгоритм подсчёта репутации домена Жомэйла подвержен атаке, провести которую при выполнении некоторых условий не составляет особого труда:

  1. атакуемый домен защищён DKIM и DMARC как рекомендует Gmail

  2. есть возможность отправить и получить письмо с мусорным содержанием с какого-либо адреса электронной почты атакуемого домена

  3. есть возможность сгенерировать значительный почтовый трафик с разных IP адресов на сервера gmail.com

В чём проблема алгоритма подсчёта репутации домена:

  • Gmail верит DMARC, которому достаточно правильной DKIM подписи письма, чтобы подтвердить домен отправителя в заголовке From для использования репутации домена. Результат проверки SPF далее не учитывается.

  • Gmail принимает сколько угодно копий одного и того же письма с разными адресами получателя в SMTP сессии (именно так работает BCC в электронной почте).

  • Gmail считает все полученные копии в репутацию атакованного домена

В декабре пострадал Protonmail.
Если у домена резко упала репутация в Gmail, проверить на атаку можно у postmaster гугла — в разделе «IP Reputation» будет очень много чужих IP адресов.

Habrahabr.ru прочитано 6169 раз