DKIM replay атака на Gmail

TLDR: Почтовый сервис Gmail подвержен атаке DKIM replay на репутацию домена отправителя.

Широкоиспользуемый сервис электронной почты gmail.com пытается защитить своих пользователей от спама с помощью самых разнообразных техник. Репутация домена отправителя является одной из важных на ряду с репутацией IP адреса отправляющего сервера. Как только репутация какого-либо домена падает до плохой, все новые письма с почтовых адресов домена начинают приходить в папку "Спам".

К сожалению, в текущий момент, алгоритм подсчёта репутации домена Жомэйла подвержен атаке, провести которую при выполнении некоторых условий не составляет особого труда:

1. атакуемый домен защищён DKIM и DMARC как рекомендует Gmail
2. есть возможность отправить и получить письмо с мусорным содержанием с какого-либо адреса электронной почты атакуемого домена
3. есть возможность сгенерировать значительный почтовый трафик с разных IP адресов на сервера gmail.com

В чём проблема алгоритма подсчёта репутации домена:

• Gmail верит DMARC, которому достаточно правильной DKIM подписи письма, чтобы подтвердить домен отправителя в заголовке From для использования репутации домена. Результат проверки SPF далее не учитывается.
• Gmail принимает сколько угодно копий одного и того же письма с разными адресами получателя в SMTP сессии (именно так работает BCC в электронной почте). 
• Gmail считает все полученные копии в репутацию атакованного домена

В декабре пострадал Protonmail. 

Если у домена резко упала репутация в Gmail, проверить на атаку можно у postmaster гугла - в разделе "IP Reputation" будет очень много чужих IP адресов.