DKIM replay атака на Gmail +12


Никогда такого не было, и вот опять...

TLDR: Почтовый сервис Gmail подвержен атаке DKIM replay на репутацию домена отправителя.

Широкоиспользуемый сервис электронной почты gmail.com пытается защитить своих пользователей от спама с помощью самых разнообразных техник. Репутация домена отправителя является одной из важных на ряду с репутацией IP-адреса отправляющего сервера. Как только репутация какого-либо домена падает до плохой, все новые письма с почтовых адресов домена начинают приходить в папку "Спам".

К сожалению, в текущий момент, алгоритм подсчёта репутации домена Жомэйла подвержен атаке, провести которую при выполнении некоторых условий не составляет особого труда:

  1. атакуемый домен защищён DKIM и DMARC как рекомендует Gmail;

  2. есть возможность отправить и получить письмо с мусорным содержанием с какого-либо адреса электронной почты атакуемого домена;

  3. есть возможность сгенерировать значительный почтовый трафик с разных IP адресов на сервера gmail.com.

В чём проблема алгоритма подсчёта репутации домена:

  • Gmail верит DMARC, которому достаточно правильной DKIM подписи письма, чтобы подтвердить домен отправителя в заголовке From для использования репутации домена. Результат проверки SPF далее не учитывается.

  • Gmail принимает сколько угодно копий одного и того же письма с разными адресами получателя в SMTP сессии (именно так работает BCC в электронной почте).

  • Gmail считает все полученные копии в репутацию атакованного домена.

В декабре пострадал Protonmail.

Если у домена резко упала репутация в Gmail, проверить на атаку можно у postmaster гугла - в разделе "IP Reputation" будет очень много чужих IP-адресов.




К сожалению, не доступен сервер mySQL