DKIM 能够对每个标头进行签名。我查看了 Google 的标头,他们使用 DKIM 对 ContentType 进行签名。
签署 ContentType 的安全优势是什么?
答案1
它显然具有更高的安全性,因为某些格式可以用其他格式以其他方式解释。
这是一个相当“愚蠢”的例子,需要签名者的配合,但请看这个:如果您将 ZIP 文件(Content-Type:application/zip)与 GIF 文件(Content-Type:image/gif)连接起来,则 ZIP 文件将是使用 Content-Type:application/zip 时显示的文件,而图像将是使用 Content-Type:image/gif 时显示的图像。连接 zip+gif 将产生一个多格式文件,因为 zip 的标头位于文件末尾,因此其后的任何内容都将被忽略。GIF 的标头位于开头,其前的任何内容都将被忽略。
假设你欺骗签名者签署了这样一个串联文件。然后你可以欺骗接收者,认为签名者向他发送了 GIF 文件,而实际上他发送的是 ZIP 文件(反之亦然),如果你处于这样的位置,那么你可以在签名后拦截和修改电子邮件。
请注意,如果 Content-Type 发生变化,则其他格式(例如 docx 和 pptx 等)也可以用其他方式进行解释。
简而言之,它增强了安全性 - 但不是那么多。