Gmail 512 bit veya aşağısında imzalanmış (DKIM) emailler için uyarılar göndermeye başladı

Gmail adreslerine gönderdiğiniz emaillerde DKIM için email doğrulama anahtarınız hatalı gözüküyorsa paniğe kapılmayın. Google’ın anonsuna göre 512 bit veya aşağısında imzalanmış mesajlar doğrulamadan geçemiyor. Gmail 512 bit veya aşağısında imzalanmış email gönderen göndericilere yazının en altında bulunan bildirimi yapmaya başladı.

ReturnPath’de yer alan yazıya göre; bu duruma bir matematikçinin Google’ın 512 bit DKIM anahtarını kırıp, Google’ın yaratıcıları Sergey Brin ve Larry Page’in email adreslerini taklit edip, email göndermesi sebep olmuş.

Bu durumdan etkilenip, etkilenmediğinizi öğrenmek için aşağıdaki testleri yapabilirsiniz.

Bir gmail adresine test emaili gönderin.
Gelen email’in header (başlık) bilgilerini görüntüleyin.
Authentication-Results: da yer alan dkim değerini kontrol edin. dkim=fail yazıyorsa problem var demektir.
DKIM anahtarınızın uzunluğunu test etmek için http://www.protodave.com/tools/dkim key-checker/ linkini kullanabilirsiniz.
1024 bit DKIM anahtarı yaratmak için http://www.socketlabs.com/domainkey dkim-generation-wizard/ linkini kullanabilirsiniz.

Bu arada benim yaptığım testler sonucu 512 bit kullanılarak imzalanmış anahtar doğrulamadan geçti. Sanırım henüz tamamıyla bu değiştiklik yapılmadı. DKIM hakkında detaylı bilgiye ulaşmak için buradaki yazıyı okuyabilirsiniz.

Gmail tarafından gönderilmiş bildirimin örneği;

Hello,

We noticed that your domain is sending email to Gmail users that is DKIM signed with a 512-bit RSA key. RFC 6376 requires DKIM       signing mail using RSA keys of at least 1024-bits for long-lived keys (https://tools.ietf.org/html/rfc6376#section-3.3.3). Shorter         keys could be factored by an attacker. As you may know, this attack has been publicly reported. US-CERT has also issued an             advisory to upgrade all keys lower than 1024-bits (http://www.kb.cert.org/vuls/id/268267).

As such, we strongly encourage you to upgrade your RSA keys to be at least 1024-bits long.

To best protect our users, Gmail will begin treating emails signed with 512-bit keys as unsigned in about a week. If you continue to use your current key, your messages will not DKIM authenticate.

Affected key:
example._domainkey.example.com descriptive text “k=rsa\; p=AKDA3adkelLHaK653IuYD aVgIFc/FBvErvNOkCAwEAAQ==\;”

Thank you,
Gmail Team

Leave a Reply

Your email address will not be published. Required fields are marked *