Ataque zero-day global burla assinaturas DKIM e SPF de e-mail
Novo ataque zero-day de escala global consegue burlar assinaturas de e-mail DKIM e SPF. Avalie as cabecilhas das suas mensagens com nosso analisador de e-mail.

Especialistas em cibersegurança emitiram um alerta urgente sobre um ataque zero-day em andamento que afeta a maior parte dos clientes de e-mail corporativos e pessoais (incluindo Microsoft Outlook, Apple Mail, Mozilla Thunderbird e vários portais webmail). O exploit permite que criminosos virtuais enviem mensagens que burlam por completo as principais proteções contra spoofing e spam da internet: SPF (Sender Policy Framework) e DKIM (DomainKeys Identified Mail). Com isso, mensagens de phishing altamente enganosas surgem exibindo selos de verificação e identidades reais de grandes organizações.
Abaixo, descrevemos a mecânica técnica deste exploit de confusão MIME, comparamos com os protocolos tradicionais e detalhamos as ações de contenção necessárias para administradores de TI.
A mecânica do exploit: Confusão MIME e discrepâncias de parser
Para compreender a gravidade do problema, precisamos lembrar o funcionamento das chaves de segurança de correio. O SPF atesta se o IP que envia a mensagem foi homologado pelo dono do domínio. O DKIM insere uma assinatura criptográfica nos cabeçalhos para provar que a mensagem não foi modificada no trânsito. O DMARC assegura o alinhamento de domínios entre o remetente visualizado e os verificados criptograficamente.
Este ataque zero-day explora uma inconsistência de leitura (parser discrepancy) entre o servidor que recebe a mensagem (Mail Transfer Agent ou MTA) e o aplicativo que renderiza o e-mail na tela do usuário (Mail User Agent ou MUA).
Os cibercriminosos enviam mensagens estruturadas com divisores MIME (Multipurpose Internet Mail Extensions) fora do padrão ou cabeçalhos redundantes de remetente. Por exemplo, eles inserem caracteres nulos em áreas específicas do campo From:
From: empresa-legitima.com <[email protected]>\0, [email protected]
Ao processar esse campo para validar a assinatura DKIM, o servidor de correio (MTA) corta a leitura no caractere nulo. A assinatura é considerada válida para empresa-legitima.com. Contudo, quando o aplicativo cliente de e-mail (MUA) processa a mesma linha para exibi-la na interface gráfica, ele ignora a primeira parte do cabeçalho devido à quebra de caracteres, renderizando apenas a conta de e-mail falsa. O e-mail é apresentado ao usuário com o selo de confiança intacto.
Comparativa das camadas de defesa contra o exploit zero-day
| Protocolo / Camada | Função de Segurança | Comportamento diante da Ameaça | Razão da Falha |
|---|---|---|---|
| SPF | Valida a IP do remetente técnico. | Burlado | Valida apenas a origem do envelope de rede, não o From visualizado. |
| DKIM | Assina criptograficamente o cabeçalho. | Burlado | A chave continua válida para o trecho verificado pelo servidor. |
| DMARC | Garante o alinhamento de domínios. | Burlado | A falha de interpretação cria um falso positivo de conformidade. |
| MUA Parser (Cliente de e-mail) | Renderiza o From na tela do usuário. | Vulnerável (Origem do Exploit) | Permissão de caracteres de controle nulos e múltiplos campos From. |
Essa falha neutraliza filtros preventivos tradicionais. Você pode compreender melhor a análise das estruturas de dados lendo nossa publicação sobre como utilizar um analisador de cabeçalhos de e-mail para detectar phishing.
Código Python: Validação manual de assinaturas DKIM em arquivos EML
Para examinar se a assinatura digital de um e-mail recebido é matematicamente autêntica em nível de dados brutos, administradores de sistemas podem automatizar testes forenses em arquivos .eml utilizando o seguinte script em Python:
# Script Forense para validação criptográfica de assinaturas DKIM
# Instalação necessária: pip install dkimpy dnspython
import dkim
import sys
def validar_assinatura_dkim(caminho_arquivo_eml):
print(f"[*] Carregando arquivo de e-mail: {caminho_arquivo_eml}")
try:
with open(caminho_arquivo_eml, "rb") as f:
conteudo_bruto = f.read()
# Executar validação criptográfica nativa
# O módulo dkim consulta automaticamente os servidores DNS da marca
resultado = dkim.verify(conteudo_bruto)
if resultado:
print("[✓] Criptografia Válida: A integridade da assinatura DKIM foi confirmada.")
else:
print("[!] Criptografia INVÁLIDA: O arquivo foi alterado ou a chave falhou.")
# Rastrear a presença de cabeçalhos From duplicados
linhas = conteudo_bruto.split(b"\n")
cabecalhos_from = [l for l in linhas if l.lower().startswith(b"from:")]
if len(cabecalhos_from) > 1:
print(f"[!] Alerta de Segurança: Detectados {len(cabecalhos_from)} cabeçalhos From.")
for idx, cabecalho in enumerate(cabecalhos_from):
print(f" - From #{idx+1}: {cabecalho.decode('utf-8', errors='ignore').strip()}")
else:
print("[✓] Estrutura de remetente verificada (campo From único).")
except Exception as e:
print(f"[-] Ocorreu uma falha no processo de análise: {str(e)}")
# Exemplo de execução:
# validar_assinatura_dkim("email_recebido.eml")
Este script forense não apenas valida a autenticidade criptográfica das chaves, mas também varre a mensagem para identificar anomalias estruturais, indicadoras do uso deste zero-day.
Medidas corporativas para mitigação e contenção urgente
Como a correção sistemática de todos os clientes de e-mail móveis e desktop leva tempo, é vital aplicar regras rígidas nas políticas do seu Email Security Gateway:
- Descarte de múltiplos remetentes: Configure o servidor de e-mail corporativo para rejeitar de forma imediata qualquer mensagem recebida que contenha múltiplos campos
From:ouSender:. - Filtro de bytes nulos: Crie regras para bloquear e-mails que contenham caracteres não imprimíveis (
\x00) nos campos de identificação do remetente. - Validação rígida de limites MIME: Force a inspeção de cabeçalhos MIME para barrar e-mails cujas estruturas internas apresentem divergências de limites.
- Acionamento de Resposta a Incidentes: Caso confirme incidentes causados por e-mails suplantados, ative as rotinas de mitigação. Leia mais a respeito na nossa publicação sobre resposta a incidentes e contenção de ataques cibernéticos.
Conclusão
A confiança no selo de remetente verificado sem a devida higienização do processo de renderização gerou a brecha para a exploração global desse exploit. O ataque zero-day demonstra que mesmo soluções com robusta validação criptográfica podem falhar se a camada gráfica apresentar discrepâncias em relação à validação técnica do servidor.
Para auditar o código bruto de suas mensagens com total segurança e livre de riscos de contaminação local, experimente utilizar o nosso Analisador de e-mail. A nossa ferramenta processa e desmembra as propriedades do arquivo .eml localmente no seu navegador, listando assinaturas SPF, DKIM e cabeçalhos duplicados sem armazenar ou transmitir as suas mensagens a servidores externos.
Fontes e referências externas sugeridas:
- Internet Engineering Task Force (IETF) - RFC 6376 — DomainKeys Identified Mail (DKIM) Signatures standard.
- Internet Engineering Task Force (IETF) - RFC 7208 — Sender Policy Framework (SPF) standard.
- Artigo relacionado na TecnoCrypter: Analisador de cabeçalhos de e-mail para detecção de phishing
- Artigo relacionado na TecnoCrypter: O que são vulnerabilidades zero-day


