Best Practice gegen DKIM-Schwachstelle
Die Messaging, Malware and Mobile Anti-Abuse Working Group hat sieben Richtlinien veröffentlicht, die Administratoren und Betreibern beim Beheben der kürzlich bekannt gewordenen Schwachstelle bei den digitalen Signaturen von E-Mails (DKIM) helfen sollen.
Die Messaging, Malware and Mobile Anti-Abuse Working Group (M3AAWG) hat sieben Richtlinien veröffentlicht, mit denen sich eine Schwachstelle bei den digitalen Signaturen von E-Mails beheben lässt. Mittels DomainKeys Identified Mail (DKIM) können Firmen mit einer digitalen Unterschrift bestätigen, dass eine Mail tatsächlich aus ihrer Domain stammt.
Ende Oktober 2012 deckte der Mathematiker Zachary Harris jedoch auf, dass viele große Sites zu kurze Schlüssel für diese Signaturen einsetzen, sodass sich die Absender-Adressen von Google, PayPal, Yahoo, Amazon, eBay und vielen anderen einfach fälschen lassen. Harris fiel beim Check eines angeblich von Google stammenden Jobangebots auf, dass die Google-Unterschrift leicht zu fälschen war. Er informierte Google über das Problem, indem er eine Mail an Google-CEO Larry Page schickte, die vorgeblich von Mitbegründer Sergey Brin stammte.
So zielt auch die erste Praxis-Regel der M3AAWG auf die Schlüssellänge, die wenigsten 1024 Bit betragen soll. Ein nur 512 Bit langer Schlüssel lasse sich in der Cloud in nur 72 Stunden knacken, erklären die Autoren.
Darüber hinaus empfehlen sie, die eigenen DKIM-Schlüssel quartalsweise im Rotationsverfahren zu wechseln und mit einem Verfallsdatum auszustatten. Letzteres müsse allerdings größer sein als der jeweilige Rotationszeitraum. Alte Schlüssel könnten übers DNS widerrufen werden.
Anbieter von DKIM signierten Mail-Diensten sollen zudem auf den Test-Mode (t=y) verzichten: In der derzeit gängigen Praxis würden viele Mail-Provider die DKIM-Signatur ignorieren, wenn sie von einem im Test-Mode laufenden Mailserver stamme. Der Betrieb im Test-Mode sei nur während der eigentlichen DKIM-Umstellung sinnvoll. Um sehen zu können, wie Empfänger DKIM signierte Nachrichten akzeptieren, sollte man Domain-based Message Authentication, Reporting and Conformance (DMARC) samt aktivierten Monitoring nutzen.
In Punkt 6 betonen die Autoren, dass DKIM das Verfahren der Wahl bei der Authentizität-Sicherung von E-Mail-Absendern ist. Das Alternativ-Verfahren Domain Keys ist überholt und sollte nicht mehr eingesetzt werden. Im letzten Punkt weisen die Autoren daraufhin, dass selbst Firmen und Organisationen sich um die Authentizität ihrer Mails sorgen müssen, wenn sie ihren E-Mail-Server durch andere Firmen betreiben lassen: Alle Firmen und Organisationen sollten die oben genannten Best-Practice-Richtlinien auch bei ihren E-Mail-Anbietern durchzusetzen, fordern sie abschließend. (rek)
