Nel corso delle discussioni con i team di sicurezza di molti nostri clienti enterprise, gli esperti di Retarus riscontrano spesso un rischio comunemente sottovalutato. Il problema è che alcune soluzioni di sicurezza per la posta elettronica attivano, per impostazione predefinita, il tag DKIM “l=” (length tag). Se in passato questa opzione era giustificata, oggi rappresenta una fonte di rischi significativi per la sicurezza.
Che cos’è il tag DKIM “l=”? E a quale scopo era stato originariamente concepito?
DKIM (DomainKeys Identified Mail) è una tecnologia affidabile che consente di garantire l’integrità dei messaggi di posta elettronica durante il loro transito. Il destinatario utilizza una chiave pubblica per verificare che il contenuto del messaggio e determinate intestazioni non siano stati alterati.
Il tag “l=” definisce fino a quale byte del testo del messaggio si estende la firma, lasciando non protetta la parte restante del messaggio. In origine, questa opzione risultava utile in contesti come le mailing list o l’inoltro dei messaggi, nei quali il corpo dell’email viene modificato (ad esempio con l’aggiunta di footer), permettendo comunque al testo principale di essere riconosciuto come valido.
Perché il tag “l=” rappresenta un rischio per la sicurezza?
Tuttavia, questo meccanismo amplia in modo significativo la superficie di attacco, ad esempio consentendo l’inserimento di link di phishing o di contenuti indesiderati senza che venga attivata la verifica DKIM. Poiché la firma resta formalmente valida, anche i controlli DMARC perdono efficacia. Inoltre, si crea un ulteriore vettore di attacco tramite l’inoltro dei messaggi, al punto che alcuni grandi provider di posta elettronica hanno reagito introducendo avvisi o rifiutando tali email.
Ciò che rende questa situazione particolarmente insidiosa è il fatto che alcune soluzioni di sicurezza attivano il tag “l=” per impostazione predefinita, spesso all’insaputa degli utenti. Nel frattempo, i nostri clienti ritenevano che le loro email fossero completamente firmate e quindi pienamente sicure. Non si tratta di un rischio puramente teorico: le analisi condotte dai nostri esperti mostrano che in alcune organizzazioni sono ancora in uso firme DKIM con il tag “l=”, con la conseguente esposizione delle email a possibili manipolazioni senza alcun impatto sulla verifica DKIM.
Raccomandazioni per le email in entrata
È consigliabile che i destinatari esaminino con particolare attenzione le email che includono il tag “l=”. Una possibile misura consiste nel mettere inizialmente in quarantena questi messaggi tramite le proprie soluzioni di sicurezza per la posta elettronica; in alternativa, si può scegliere di ignorare la firma DKIM, mantenendo così l’email soggetta ad altri meccanismi di sicurezza, come SPF o DMARC.
Raccomandazioni per le email in uscita
I mittenti dovrebbero evitare l’utilizzo del tag “l=” e preferire la firma digitale dell’intero contenuto del messaggio. Il livello di sicurezza può inoltre essere rafforzato mediante la rotazione periodica delle chiavi DKIM, l’impiego di selettori differenti per i vari flussi di posta e, ove opportuno, la definizione di date di scadenza per le firme.
