Driftsättning av DKIM med DNSSEC - InternetstiftelsenDriftsättning av DKIM med DNSSEC...
Transcript of Driftsättning av DKIM med DNSSEC - InternetstiftelsenDriftsättning av DKIM med DNSSEC...
![Page 2: Driftsättning av DKIM med DNSSEC - InternetstiftelsenDriftsättning av DKIM med DNSSEC Examensarbete Rickard Bondesson ricbo974@student.liu.se 0730 –23 95 16 Agenda •Epost •Förfalskning](https://reader034.fdocument.pub/reader034/viewer/2022051917/6009695e5155353b180cca73/html5/thumbnails/2.jpg)
Agenda
• Epost• Förfalskning av epost• Åtgärder• DKIM• Pålitligheten inom DNS• Driftsättning• Tester• Statistik• Lärdomar• Frågor och diskussion
![Page 3: Driftsättning av DKIM med DNSSEC - InternetstiftelsenDriftsättning av DKIM med DNSSEC Examensarbete Rickard Bondesson ricbo974@student.liu.se 0730 –23 95 16 Agenda •Epost •Förfalskning](https://reader034.fdocument.pub/reader034/viewer/2022051917/6009695e5155353b180cca73/html5/thumbnails/3.jpg)
Epost
• Viktig funktion• Brev
• Huvud• Kropp
• Kuvert
![Page 4: Driftsättning av DKIM med DNSSEC - InternetstiftelsenDriftsättning av DKIM med DNSSEC Examensarbete Rickard Bondesson ricbo974@student.liu.se 0730 –23 95 16 Agenda •Epost •Förfalskning](https://reader034.fdocument.pub/reader034/viewer/2022051917/6009695e5155353b180cca73/html5/thumbnails/4.jpg)
RFC2822
Date: Mon, 23 Jun 2008 11:50:27 +0200From: [email protected]: [email protected]: [email protected]: Meeting
Hi again!
The meeting is cancelled due to sickness.
Yours trulyAlice
![Page 5: Driftsättning av DKIM med DNSSEC - InternetstiftelsenDriftsättning av DKIM med DNSSEC Examensarbete Rickard Bondesson ricbo974@student.liu.se 0730 –23 95 16 Agenda •Epost •Förfalskning](https://reader034.fdocument.pub/reader034/viewer/2022051917/6009695e5155353b180cca73/html5/thumbnails/5.jpg)
Epostsystemet
![Page 6: Driftsättning av DKIM med DNSSEC - InternetstiftelsenDriftsättning av DKIM med DNSSEC Examensarbete Rickard Bondesson ricbo974@student.liu.se 0730 –23 95 16 Agenda •Epost •Förfalskning](https://reader034.fdocument.pub/reader034/viewer/2022051917/6009695e5155353b180cca73/html5/thumbnails/6.jpg)
SMTP
• HELO mta.domain.se• MAIL FROM: [email protected]• RCPT TO: [email protected]
• + Autentisering• + Kryptering
![Page 7: Driftsättning av DKIM med DNSSEC - InternetstiftelsenDriftsättning av DKIM med DNSSEC Examensarbete Rickard Bondesson ricbo974@student.liu.se 0730 –23 95 16 Agenda •Epost •Förfalskning](https://reader034.fdocument.pub/reader034/viewer/2022051917/6009695e5155353b180cca73/html5/thumbnails/7.jpg)
Förfalskning av epost
• Spam• Phishing• Falska eposthuvuden
![Page 8: Driftsättning av DKIM med DNSSEC - InternetstiftelsenDriftsättning av DKIM med DNSSEC Examensarbete Rickard Bondesson ricbo974@student.liu.se 0730 –23 95 16 Agenda •Epost •Förfalskning](https://reader034.fdocument.pub/reader034/viewer/2022051917/6009695e5155353b180cca73/html5/thumbnails/8.jpg)
Åtgärder
• Autentisering av avsändare• SPF• ADSP• SenderID• Black-/grey/whitelisting
• Autentisering av innehåll• S/MIME• PGP
• DKIM och DomainKeys
SPF
![Page 9: Driftsättning av DKIM med DNSSEC - InternetstiftelsenDriftsättning av DKIM med DNSSEC Examensarbete Rickard Bondesson ricbo974@student.liu.se 0730 –23 95 16 Agenda •Epost •Förfalskning](https://reader034.fdocument.pub/reader034/viewer/2022051917/6009695e5155353b180cca73/html5/thumbnails/9.jpg)
DKIM
• Fördelar• Genomskinligt för användarna• Alla behöver inte införa samtidigt• Anonymitet för användarna• Ingen ny public-key infrastructure behövs• Trasig signatur är som ingen signatur alls (ADSP?)
• Nackdelar• Kräver extra hantering hos mailservern• Mer nackdelar kommer under hotanalysen
![Page 10: Driftsättning av DKIM med DNSSEC - InternetstiftelsenDriftsättning av DKIM med DNSSEC Examensarbete Rickard Bondesson ricbo974@student.liu.se 0730 –23 95 16 Agenda •Epost •Förfalskning](https://reader034.fdocument.pub/reader034/viewer/2022051917/6009695e5155353b180cca73/html5/thumbnails/10.jpg)
DKIM - Canocalization
• Epost modifieras under leveransen• Algoritm som tar bort vissa modifieringar• Två typer: simple och relaxed
• Simple header canocalization• Relaxed header canocalization• Simple body canocalization• Relaxed body canocalization
![Page 11: Driftsättning av DKIM med DNSSEC - InternetstiftelsenDriftsättning av DKIM med DNSSEC Examensarbete Rickard Bondesson ricbo974@student.liu.se 0730 –23 95 16 Agenda •Epost •Förfalskning](https://reader034.fdocument.pub/reader034/viewer/2022051917/6009695e5155353b180cca73/html5/thumbnails/11.jpg)
DKIM - Signering
• Kan göras hos användaren eller vid servern• Bestämma vilka huvuden som ska signeras• Skapar en hash av själva brevet• Skapar en hash av de valda huvuden• SHA1 eller SHA256• Signerar hash med RSA
![Page 12: Driftsättning av DKIM med DNSSEC - InternetstiftelsenDriftsättning av DKIM med DNSSEC Examensarbete Rickard Bondesson ricbo974@student.liu.se 0730 –23 95 16 Agenda •Epost •Förfalskning](https://reader034.fdocument.pub/reader034/viewer/2022051917/6009695e5155353b180cca73/html5/thumbnails/12.jpg)
DKIM - Signatur
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/simple;d=exempel1.tset.se; s=ex1; t=1216375318;bh=F49+TW8nMriWgjHxXsVGiPa+xLNWevC3bGAT+Zl8Qag=;h=Reply-To:From:To:Subject:Date:Message-ID:MIME-Version:Content-Type:Content-Transfer-Encoding; b=AsmD11IU0TwqQwK9fGWIlV7TPtBRgEzcFwuhgbvaoipwcI9hA8M1TzE025rPzbLlJbEJKz8T2WSfmg7BbmSQ4rklSaq5ou1BrwxGTQWn/I37sOPhzg+pRfAjq7IWo6ZysOOgDkbCcOjL46kECDFQBWSvgKD3oOID4FOj5huSdzw=
![Page 13: Driftsättning av DKIM med DNSSEC - InternetstiftelsenDriftsättning av DKIM med DNSSEC Examensarbete Rickard Bondesson ricbo974@student.liu.se 0730 –23 95 16 Agenda •Epost •Förfalskning](https://reader034.fdocument.pub/reader034/viewer/2022051917/6009695e5155353b180cca73/html5/thumbnails/13.jpg)
DKIM – Publik nyckel
• Publicerar den publika nyckeln i DNS• Under selector._domainkey.domain TXT
• Nyckelhantering
• Exempel:ex1._domainkey.exempel1.tset.se. IN TXT "v=DKIM1; k=rsa;p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC6oekzH849jUK1EYJnfUM72OlhpaTxqBhvNu3UTGsbRywFWBHCPfoeHAZKnYhN+pLAXuJ49oUNO1kybAqUfxPMOpTbupY0zVdaJCtcMHi7j7rFgSrRi8nH55Frhq4aiS00ocdw1po0p72c7TkTNm5E1Q2jZ4pGpjEXJtjzb9YckwIDAQAB"
![Page 14: Driftsättning av DKIM med DNSSEC - InternetstiftelsenDriftsättning av DKIM med DNSSEC Examensarbete Rickard Bondesson ricbo974@student.liu.se 0730 –23 95 16 Agenda •Epost •Förfalskning](https://reader034.fdocument.pub/reader034/viewer/2022051917/6009695e5155353b180cca73/html5/thumbnails/14.jpg)
DKIM - Verifiering
• Sker hos mottagande server eller klient• Återkonstruerar signaturen och jämför• Resultatet kan exempelvis läggas i:
Authentication-Results: exempel2.tset.se; dkim=pass(1024-bit key) [email protected];dkim-adsp=none
![Page 15: Driftsättning av DKIM med DNSSEC - InternetstiftelsenDriftsättning av DKIM med DNSSEC Examensarbete Rickard Bondesson ricbo974@student.liu.se 0730 –23 95 16 Agenda •Epost •Förfalskning](https://reader034.fdocument.pub/reader034/viewer/2022051917/6009695e5155353b180cca73/html5/thumbnails/15.jpg)
DKIM – Pålitligheten inom DNS
• Behöver tillförlitlighet för publika nycklar• Sårbarheter hos DNS-systemet
• Packet Interception• ID Guessing and Query Prediction• Name Chaining• Betrayal By Trusted Server• Denial of Service
• Attackerare publicerar egna DKIM nycklar
![Page 16: Driftsättning av DKIM med DNSSEC - InternetstiftelsenDriftsättning av DKIM med DNSSEC Examensarbete Rickard Bondesson ricbo974@student.liu.se 0730 –23 95 16 Agenda •Epost •Förfalskning](https://reader034.fdocument.pub/reader034/viewer/2022051917/6009695e5155353b180cca73/html5/thumbnails/16.jpg)
DKIM - DNSSEC
• Digitala signaturer• Upptäcker modifiering av tredjepart• Säkrar källan av den publika DKIM-nyckeln• Trust anchor till varje island-of-trust• Signera hela vägen upp till rooten• Skyddar ej mot Denial of Service
![Page 17: Driftsättning av DKIM med DNSSEC - InternetstiftelsenDriftsättning av DKIM med DNSSEC Examensarbete Rickard Bondesson ricbo974@student.liu.se 0730 –23 95 16 Agenda •Epost •Förfalskning](https://reader034.fdocument.pub/reader034/viewer/2022051917/6009695e5155353b180cca73/html5/thumbnails/17.jpg)
DKIM - Hotanalys
• Återspelning av tidigare skickad epost• Riktiga användare som skickar dålig epost• Använda liknande domännamn• Använda samma namn som en pålitlig användare• Lägga till information om längdparametern används• Modifiera eller lägga till osignerade huvuden• Utnyttja canocalization-algoritmen
![Page 18: Driftsättning av DKIM med DNSSEC - InternetstiftelsenDriftsättning av DKIM med DNSSEC Examensarbete Rickard Bondesson ricbo974@student.liu.se 0730 –23 95 16 Agenda •Epost •Förfalskning](https://reader034.fdocument.pub/reader034/viewer/2022051917/6009695e5155353b180cca73/html5/thumbnails/18.jpg)
DKIM - Driftsättning
• Använder DKIM Milter• Patchad för att hantera DNSSEC• Kör två mailservrar
• Sendmail• Postfix
• IMAP + TLS• SMTP-AUTH + TLS
![Page 19: Driftsättning av DKIM med DNSSEC - InternetstiftelsenDriftsättning av DKIM med DNSSEC Examensarbete Rickard Bondesson ricbo974@student.liu.se 0730 –23 95 16 Agenda •Epost •Förfalskning](https://reader034.fdocument.pub/reader034/viewer/2022051917/6009695e5155353b180cca73/html5/thumbnails/19.jpg)
DKIM Milter - DFD
![Page 20: Driftsättning av DKIM med DNSSEC - InternetstiftelsenDriftsättning av DKIM med DNSSEC Examensarbete Rickard Bondesson ricbo974@student.liu.se 0730 –23 95 16 Agenda •Epost •Förfalskning](https://reader034.fdocument.pub/reader034/viewer/2022051917/6009695e5155353b180cca73/html5/thumbnails/20.jpg)
DKIM Milter - DFD
![Page 21: Driftsättning av DKIM med DNSSEC - InternetstiftelsenDriftsättning av DKIM med DNSSEC Examensarbete Rickard Bondesson ricbo974@student.liu.se 0730 –23 95 16 Agenda •Epost •Förfalskning](https://reader034.fdocument.pub/reader034/viewer/2022051917/6009695e5155353b180cca73/html5/thumbnails/21.jpg)
DKIM Milter - DFD
![Page 22: Driftsättning av DKIM med DNSSEC - InternetstiftelsenDriftsättning av DKIM med DNSSEC Examensarbete Rickard Bondesson ricbo974@student.liu.se 0730 –23 95 16 Agenda •Epost •Förfalskning](https://reader034.fdocument.pub/reader034/viewer/2022051917/6009695e5155353b180cca73/html5/thumbnails/22.jpg)
DKIM Milter - Tester
• Funtionstester• Fungerar patchen som den ska?
• Domäntester• Vad händer då oväntade värden kommer in?
• Grundläggande tester• Maskering• Aliasing• Forwarding• Epostlistor
![Page 23: Driftsättning av DKIM med DNSSEC - InternetstiftelsenDriftsättning av DKIM med DNSSEC Examensarbete Rickard Bondesson ricbo974@student.liu.se 0730 –23 95 16 Agenda •Epost •Förfalskning](https://reader034.fdocument.pub/reader034/viewer/2022051917/6009695e5155353b180cca73/html5/thumbnails/23.jpg)
DKIM Milter - Resultat
• Funktionstester• OK
• Domäntester• OK
• Maskering• Nej, om det sker efter signering
![Page 24: Driftsättning av DKIM med DNSSEC - InternetstiftelsenDriftsättning av DKIM med DNSSEC Examensarbete Rickard Bondesson ricbo974@student.liu.se 0730 –23 95 16 Agenda •Epost •Förfalskning](https://reader034.fdocument.pub/reader034/viewer/2022051917/6009695e5155353b180cca73/html5/thumbnails/24.jpg)
DKIM Milter - Resultat
• Aliasing• OK
• Forwarding• OK
• Epostlistor• Ja, om epostlistan signerar• Nej, om epostlistan inte signerarÄven om Mailman är konfigurerad att inte ändra något, så tar den bort vinkelparanteser i returadressen och bryter därmed signaturen.
![Page 25: Driftsättning av DKIM med DNSSEC - InternetstiftelsenDriftsättning av DKIM med DNSSEC Examensarbete Rickard Bondesson ricbo974@student.liu.se 0730 –23 95 16 Agenda •Epost •Förfalskning](https://reader034.fdocument.pub/reader034/viewer/2022051917/6009695e5155353b180cca73/html5/thumbnails/25.jpg)
DKIM Milter - Interoperabilitet
• S/MIME• I Microsoft Outlook
• PGP• I Microsoft Outlook
• SPF• I servern med SMF-SPF Milter
• SpamAssassin• Med SPF och DKIM
![Page 26: Driftsättning av DKIM med DNSSEC - InternetstiftelsenDriftsättning av DKIM med DNSSEC Examensarbete Rickard Bondesson ricbo974@student.liu.se 0730 –23 95 16 Agenda •Epost •Förfalskning](https://reader034.fdocument.pub/reader034/viewer/2022051917/6009695e5155353b180cca73/html5/thumbnails/26.jpg)
DKIM Milter - Resultat
• S/MIME• OK
• PGP• OK
• SMF-SPF• SPF OK• Bryter signaturen då de ibland blandar resultatutskrifterna
• SpamAssassin• OK• Bryter signaturen om tidigare resultat är signerad
![Page 27: Driftsättning av DKIM med DNSSEC - InternetstiftelsenDriftsättning av DKIM med DNSSEC Examensarbete Rickard Bondesson ricbo974@student.liu.se 0730 –23 95 16 Agenda •Epost •Förfalskning](https://reader034.fdocument.pub/reader034/viewer/2022051917/6009695e5155353b180cca73/html5/thumbnails/27.jpg)
DKIM Milter - Interoperabilitet
• Testa mot andra implementationer av DKIM• Skicka epost till adresser som studsar tillbaka ett resultat
• Epostlista hos GoogleGroups• Epostkonto hos GMail• Autoforward av ett epostkonto hos LiU
![Page 28: Driftsättning av DKIM med DNSSEC - InternetstiftelsenDriftsättning av DKIM med DNSSEC Examensarbete Rickard Bondesson ricbo974@student.liu.se 0730 –23 95 16 Agenda •Epost •Förfalskning](https://reader034.fdocument.pub/reader034/viewer/2022051917/6009695e5155353b180cca73/html5/thumbnails/28.jpg)
DKIM Milter - Resultat
• Testa mot andra implementationer av DKIM• OK
• Epostlista hos GoogleGroups• OK, de signerar om meddelandet.
• Epostkonto hos GMail• OK
• Autoforward av ett epostkonto hos LiU• Nej, de gör en form av sanering i eposthuvudena innan eposten skickas vidare till tredje part. Bryter signaturen.
![Page 29: Driftsättning av DKIM med DNSSEC - InternetstiftelsenDriftsättning av DKIM med DNSSEC Examensarbete Rickard Bondesson ricbo974@student.liu.se 0730 –23 95 16 Agenda •Epost •Förfalskning](https://reader034.fdocument.pub/reader034/viewer/2022051917/6009695e5155353b180cca73/html5/thumbnails/29.jpg)
DKIM - Statistik
• Antalet publika DKIM-nycklar bland de svenska domänerna
• Mäta vid en epostserver• Antalet signerade samt signerade och verifierbara i relation motantalet spam och antalet ham.
![Page 30: Driftsättning av DKIM med DNSSEC - InternetstiftelsenDriftsättning av DKIM med DNSSEC Examensarbete Rickard Bondesson ricbo974@student.liu.se 0730 –23 95 16 Agenda •Epost •Förfalskning](https://reader034.fdocument.pub/reader034/viewer/2022051917/6009695e5155353b180cca73/html5/thumbnails/30.jpg)
DKIM - Statistik
Defence.seFabege.seHandelsbanken.seKirei.seSpray.seUU.seYahoo.se
![Page 31: Driftsättning av DKIM med DNSSEC - InternetstiftelsenDriftsättning av DKIM med DNSSEC Examensarbete Rickard Bondesson ricbo974@student.liu.se 0730 –23 95 16 Agenda •Epost •Förfalskning](https://reader034.fdocument.pub/reader034/viewer/2022051917/6009695e5155353b180cca73/html5/thumbnails/31.jpg)
DKIM - Statistik
![Page 32: Driftsättning av DKIM med DNSSEC - InternetstiftelsenDriftsättning av DKIM med DNSSEC Examensarbete Rickard Bondesson ricbo974@student.liu.se 0730 –23 95 16 Agenda •Epost •Förfalskning](https://reader034.fdocument.pub/reader034/viewer/2022051917/6009695e5155353b180cca73/html5/thumbnails/32.jpg)
DKIM - Statistik
![Page 33: Driftsättning av DKIM med DNSSEC - InternetstiftelsenDriftsättning av DKIM med DNSSEC Examensarbete Rickard Bondesson ricbo974@student.liu.se 0730 –23 95 16 Agenda •Epost •Förfalskning](https://reader034.fdocument.pub/reader034/viewer/2022051917/6009695e5155353b180cca73/html5/thumbnails/33.jpg)
DKIM - Lärdomar
• Modifiering under transport• Finns vissa brister• Vad ska signeras?• Epostlistor och dylikt• Policy? Kasta eller behålla?• Använda ADSP• DNSSEC är ett måste• SPF kompletterar
![Page 34: Driftsättning av DKIM med DNSSEC - InternetstiftelsenDriftsättning av DKIM med DNSSEC Examensarbete Rickard Bondesson ricbo974@student.liu.se 0730 –23 95 16 Agenda •Epost •Förfalskning](https://reader034.fdocument.pub/reader034/viewer/2022051917/6009695e5155353b180cca73/html5/thumbnails/34.jpg)
Tack
• Frågor och kommentarer?
![Page 35: Driftsättning av DKIM med DNSSEC - InternetstiftelsenDriftsättning av DKIM med DNSSEC Examensarbete Rickard Bondesson ricbo974@student.liu.se 0730 –23 95 16 Agenda •Epost •Förfalskning](https://reader034.fdocument.pub/reader034/viewer/2022051917/6009695e5155353b180cca73/html5/thumbnails/35.jpg)
Diskussion
• Vad anser ni om DKIM?
• Kommer ni att börja använda DKIM?
• Hur ser ni på att komplettera med DNSSEC?