Añadir a la recogida (s) Añadir a salvo
  1. Ninguna Categoria

Introducción a DKIM

Anuncio 
Introducción a DKIM
Roger Castells Barrancos, CESCA
16 de Noviembre, 2010
Grupos de Trabajo RedIRIS, Córdoba
Agenda
9 ¿Qué es DKIM?
• Historia
• Propósitos
• RFC
9 ¿Cómo funciona DKIM?
• Configuración DNS
• Firma
• Validación
9 DKIM por el mundo
9 ¿Por qué debería usar DKIM?
Confianza VS Desconfianza
9 Desconfianza: Buscamos los correos que debemos
rechazar.
• Blacklists.
9 Confianza: Buscamos los correos que debemos aceptar.
• DKIM, SPF, Whitelists.
INCEPTION
9 DKIM (DomainKeys Identified Mail)
9 RFC 4871
9 Alt-N Technologies, AOL,
Brandenburg InternetWorking,
Cisco, EarthLink, IBM, Microsoft,
PGP Corporation, Sendmail,
StrongMail Systems, Tumbleweed,
VeriSign and Yahoo!
9 IETF (Internet Engineering Task
Force) trabaja para refinar y
estandarizar DKIM
¿Qué es DKIM?
9
9
9
9
Significa que un correo no es spam
Garantiza la entrega
Valida un correo
Autentica el autor o el origen de un mensaje
9Añade el nombre de dominio a un correo
Propósito de DKIM
9 DKIM permite a una organización tomar la responsabilidad
cuando envía un mensaje, de manera que pueda ser
validado por el destinatario.
9 La organización puede ser el autor, el lugar de origen, un
intermediario o uno de sus agentes.
9 La reputación de la organización es la base para evaluar la
validez del mensaje a entregar.
¿Qué hace DKIM?
9 La organización responsable del envío añade una firma
digital al mensaje, asociándolo con un nombre de dominio
de la organización.
9 La firma se realizará sin la intervención del remitente.
¿Qué significa recibir un correo firmado por DKIM?
9 El propietario de un dominio que firma con DKIM está
declarando que ellos son de confianza. Esto significa que
su reputación está “en juego”.
9 Los destinatarios que validen de manera exitosa una firma,
pueden usar esta información para limitar el spam,
phishing,…
9 Ejemplo: Si alguien intenta enviar correos desde nuestro
dominio (p. ej. cesca.cat) y nosotros firmamos todo nuestro
correo con DKIM, todos los correos recibidos y no
firmados, serán automáticamente inválidos.
Aspectos a destacar del RFC
9 La firma digital está en la cabecera del mensaje. No
confundimos ni al usuario final ni a MUA (Mail User Agent).
9 No hay dependencia en claves públicas y privadas.
9 No hay dependencia en el desarrollo de nuevos protocolos
o servicios para la distribución o revocación de claves
públicas.
9 Una verificación negativa de firma no fuerza el rechazo del
correo.
9 El propósito de DKIM no es la encriptación.
Agenda
9 ¿Qué es DKIM?
• Historia
• Propósitos
• RFC
9 ¿Cómo funciona DKIM?
• Configuración DNS
• Firma
• Validación
9 DKIM por el mundo
9 ¿Por qué debería usar DKIM?
¿Cómo funciona DKIM?
Servidor destino
DNS
DKIM cesca.cat
Servidor origen
DNS
¿Cómo funciona DKIM? - Generar claves
9 DKIM soporta múltiples algoritmos digitales de firma.
9 Actualmente rsa-sha1 rsa-sha256.
9 DEBEMOS validar ambos y DEBERIAMOS firmar ambos.
¿Cómo funciona DKIM? -Tamaño de la clave
9
9
9
9
9
Elegir el tamaño de la clave es un equilibrio entre rendimiento y riesgo.
Claves RSA pequeñas pueden sufrir ataques.
Se recomienda como mínimo 1024 bits.
Existen políticas de verificación referentes al tamaño de la clave.
DEBEMOS poder validar firmas de 512 bits a 2048 y DEBERIAMOS
ser capaces de validar superiores.
9 Algunos factores a tener en cuenta:
• La limitación que nos ofrece el paquete UDP de respuesta DNS de
512 byte. Por ejemplo: una clave de 4084 bits podría dar problemas.
• Sabemos que claves menores a 1024 bits pueden ser atacadas.
• Claves grandes suponen un riesgo de mayor uso de la CPU al verificar o
firmar correos.
• Las claves se pueden renovar periódicamente. Con lo cual su periodo de
validez puede ser corto.
• Los objetivos de seguridad de DKIM son modestos comparados con otros
sistemas que usan firma digital.
¿Cómo funciona DKIM?
Servidor destino
DNS
DKIM cesca.cat
cesca._domainkey.cesca.cat.
IN TXT "v=DKIM1; t=y; p=MIGfMA0GCSqGS
Servidor origen
Ib3DQEBAQUAA4GNADCBiQKBgQC3/gYJ+kqtqDOdyY+sEY6
0KoRp9YNU5cnp413xvse71P02PImphuXd11aZym0x9b91LB8
gCE27H1M+/Sj4Tk1XG5mmmcMru2Ze9bXf1vqSiG6QlyVIf3ifU
X9WbqHuaxq/SusHteThK7TC90v9atvgwpXfCEMoB15/+6HN0
5YdYQIDAQAB;"
DNS
¿Cómo funciona DKIM? - Entrada DNS
9 La entrada DNS es una combinación de:
• Selector: Equivale al valor de la etiqueta ‘s=‘
• “._domainkey.”
• Signing Domain Identifier. Equivale al valor de la etiqueta ‘d=‘
cesca._domainkey.cesca.cat
9 Formato de la entrada: TXT
9 Parámetros:
•
•
•
•
•
•
v=: Versión de DKIM
p=: Clave pública
g=: Restricción de qué usuarios podrían usar el selector
n=: Notas con información relevante. No se interpreta
t=: Estamos testeando DKIM (opción s: No firmamos subdominios)
k=: Tipo de clave
¿Como funciona DKIM?- Entrada DNS
cesca._domainkey.cesca.cat
IN TXT
“v=DKIM1;
g=bob;
t=y:s;
WIZARD
k=rsa;
n=DKIM
mola;
http://www.dnswatch.info/dkim/create-dns-record
p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQ
C3/gYJ+kqtqDOdyY+sEY60KoRp9YNU5cnp413xvse71
P02PImphuXd11aZym0x9b91LB8gCE27H1M+/Sj4Tk1X
G5mmmcMru2Ze9bXf1vqSiG6QlyVIf3ifUX9WbqHuaxq/
SusHteThK7TC90v9atvgwpXfCEMoB15/+6HN05YdYQI
DAQAB;”
¿Cómo funciona DKIM?
Servidor destino
DNS
DKIM cesca.cat
cesca._domainkey.cesca.cat.
IN TXT "v=DKIM1; t=y; p=MIGfMA0GCSqGS
Servidor origen
Ib3DQEBAQUAA4GNADCBiQKBgQC3/gYJ+kqtqDOdyY+sEY6
0KoRp9YNU5cnp413xvse71P02PImphuXd11aZym0x9b91LB8
gCE27H1M+/Sj4Tk1XG5mmmcMru2Ze9bXf1vqSiG6QlyVIf3ifU
X9WbqHuaxq/SusHteThK7TC90v9atvgwpXfCEMoB15/+6HN0
5YdYQIDAQAB;"
[email protected]
DNS
¿Cómo funciona DKIM? - Canonicalization
9 Hay servidores de correo o relay que modifican el correo.
9 Dos perspectivas:
• Una modificación mínima es irrelevante para la autenticación.
• Cualquier modificación mínima debe invalidar la firma.
9 Nos llevan a dos políticas:
• “simple”: no tolera modificaciones.
• “relaxed”: tolera modificaciones. P. ej. reemplazar un espacio
blanco en la cabecera.
¿Cómo funciona DKIM? - ¿Que firmamos?
9 Etiquetas principales:
• a: algoritmo utilizado para
generar la firma
• b: la firma
• bh: el hash del cuerpo natural
• c: la canonicalization del
mensaje (simple o relaxed)
• d: el dominio firmante
• h: lista de cabeceras firmadas
• s: el selector
• p: clave pública
9 Etiquetas secundarias:
• t: firma de tiempo
• v: versión
• i: información adicional sobre la
identidad del usuario o el agente
que firmó el correo
• x: expiración de la firma
¿Cómo funciona DKIM?
Servidor destino
DNS
DKIM cesca.cat
cesca._domainkey.cesca.cat.
IN TXT "v=DKIM1; t=y; p=MIGfMA0GCSqGS
Servidor origen
Ib3DQEBAQUAA4GNADCBiQKBgQC3/gYJ+kqtqDOdyY+sEY6
0KoRp9YNU5cnp413xvse71P02PImphuXd11aZym0x9b91LB8
gCE27H1M+/Sj4Tk1XG5mmmcMru2Ze9bXf1vqSiG6QlyVIf3ifU
X9WbqHuaxq/SusHteThK7TC90v9atvgwpXfCEMoB15/+6HN0
5YdYQIDAQAB;"
[email protected]
DNS
¿Cómo funciona DKIM? - Verificación
9 Un correo sin firma DKIM o un correo firmado
incorrectamente con DKIM se trata de la misma manera
9 Las demás opciones de verificación son decisión nuestra:
• Requerir que ciertas cabeceras estén firmadas.
• Permitir firmas de terceros
• Aplicar ADSP (Author Domain Signing Practices)
¿Cómo funciona DKIM? - ADSP
9 Author Domain Signing Practices
9 Entrada DNS TXT
_adsp._domainkey.<from domain>
9 Opciones:
•
•
•
Unknown: Firmamos algunos o todos los correos.
All: Todos los correos que provienen del dominio están firmados.
Los correos no firmados se deben considerar sospechosos.
Discardable: All mail from the domain is signed with an Author
Signature. Furthermore, if a message arrives without a valid Author
Signature due to modification in transit, submission via a path
without access to a signing key, or other reason, the domain
encourages the recipient(s) to discard it.
9 Ejemplo:
_adsp._domainkey.cesca.cat IN
TXT
"dkim=unknown; t=s“
9 Wizard:
http://www.sendmail.org/dkim/wizard
¿Cómo funciona DKIM?
El correo
es de
cesca.cat
El servidor valida la firma DKIM
Servidor destino
DNS
DKIM cesca.cat
cesca._domainkey.cesca.cat.
IN TXT "v=DKIM1; t=y; p=MIGfMA0GCSqGS
Servidor origen
Ib3DQEBAQUAA4GNADCBiQKBgQC3/gYJ+kqtqDOdyY+sEY6
0KoRp9YNU5cnp413xvse71P02PImphuXd11aZym0x9b91LB8
gCE27H1M+/Sj4Tk1XG5mmmcMru2Ze9bXf1vqSiG6QlyVIf3ifU
X9WbqHuaxq/SusHteThK7TC90v9atvgwpXfCEMoB15/+6HN0
5YdYQIDAQAB;"
[email protected]
DNS
¿Cómo funciona DKIM? - Resumen
Firma
9 Elegir:
•
•
•
•
Clave privada/pública
Signing Domain ID
Selector
Cabeceras a firmar
9 Computar el hash
9 Cifrar
9 Crear firma DKIM
Validación
9 Computar el hash
• Ver los campos firmados
en la etiqueta h=
9 Consultar clave pública
• A partir de las etiquetas
s= y d=
9 Descifrar hash
9 Comparar
Agenda
9 ¿Qué es DKIM?
• Historia
• Propósitos
• RFC
9 ¿Cómo funciona DKIM?
• Configuración DNS
• Firma
• Validación
9 DKIM por el mundo
9 ¿Por qué debería usar DKIM?
DKIM por el mundo - Datos de junio 2010
#1
facebookmail.com
18%
#2
gmail.com
7%
#3
yahoogroups.com
4%
#4
yahoo.com
3%
#5
linkedin.com
2%
#6
google.com
2%
Total
37%
¿Por qué debería utilizar DKIM?
9 Es compatible con la estructura actual del correo
electrónico y totalmente transparente.
9 Está basado en el contenido del correo.
9 La firma digital está en la cabecera del mensaje. No
confundimos ni al usuario final ni a MUA (Mail User Agent).
9 Se puede implementar independientemente de los clientes.
9 Se puede implementar incrementalmente.
Enlace de interés
http://www.dkim.org/
Nos vemos por los pasillos
?
GRACIAS
[email protected]
Documentos relacionados
Comprobando la integridad de correos electrónicos
Comprobando la integridad de correos electrónicos
Email Marketing
Email Marketing
Práctica de laboratorio Servidor DNS
Práctica de laboratorio Servidor DNS
TORNEOS INTERNACIONALES
TORNEOS INTERNACIONALES
Ciudadanos y ciudadanas libres, responsables y comprometidos.
Ciudadanos y ciudadanas libres, responsables y comprometidos.
Del 09 al 18 Septiem - Federación Española de Halterofilia
Del 09 al 18 Septiem - Federación Española de Halterofilia
Descargar - AFOCAT ( Región Arequipa )
Descargar - AFOCAT ( Región Arequipa )
El rostro femenino del Reino. Orar con Jesús y las
El rostro femenino del Reino. Orar con Jesús y las
CAT.Crédito automotriz
CAT.Crédito automotriz
Descargar
Anuncio
Anuncio