SMTP-Smuggling ermöglicht gefälschte E-Mails
Eine neue Angriffstechnik namens Simple-Mail-Transfer-Protocol-(SMTP)-Schmuggel kann von Kriminellen genutzt werden, um gefälschte E-Mails mit gefakten Absenderadressen zu versenden und dabei die Sicherheitsmaßnahmen zu umgehen.
In einer kürzlich veröffentlichten Analyse warnte Timo Longin, Senior Security Consultant bei SEC Consult, davor, dass Angreifer möglicherweise anfällige SMTP-Server weltweit ausnutzen könnten, um gefährliche E-Mails unter Verwendung beliebiger Absenderadressen zu versenden. Dies könnte zu gezielten Phishing-Angriffen führen, wie Longin betonte.
SMTP ist ein TCP/IP-Protokoll, das zum Senden und Empfangen von E-Mail-Nachrichten über ein Netzwerk verwendet wird. Um eine Nachricht von einem E-Mail-Client (Mail User Agent) weiterzuleiten, wird eine SMTP-Verbindung zwischen dem Client und dem Server hergestellt, um den eigentlichen Inhalt der E-Mail zu übertragen.
Der Server führt eine Überprüfung der Domäne der Empfänger-E-Mail-Adresse mittels eines Mail Transfer Agents (MTA) durch. Sollte diese Domäne sich von der des Absenders unterscheiden, wird das Domain Name System (DNS) herangezogen, um den MX-Eintrag (Mail Exchanger) der Empfänger-Domäne zu ermitteln und den E-Mail-Austausch abzuschließen.
Der SMTP-Schmuggel basiert auf Unstimmigkeiten zwischen ausgehenden und eingehenden SMTP-Servern beim Umgang mit End-of-Data-Sequenzen. Dies erlaubt es Bedrohungsakteuren, aus Nachrichtendaten auszubrechen, beliebige SMTP-Befehle zu „schmuggeln“ und sogar separate E-Mails zu versenden.
Diese Idee ähnelt einer bekannten Angriffsmethode namens HTTP-Request-Schmuggel, bei der Unterschiede in der Interpretation von HTTP-Headern wie „Content-Length“ und „Transfer-Encoding“ ausgenutzt werden, um eine unklare Anfrage in die Anforderungskette einzuführen.
Konkret werden Schwachstellen in Messaging-Servern von Microsoft, GMX und Cisco ausgenutzt, um E-Mails zu versenden, die Millionen von Domains vortäuschen. Auch die SMTP-Implementierungen von Postfix und Sendmail sind betroffen.
Auf diese Weise können gefälschte E-Mails verschickt werden, die so aussehen, als kämen sie von echten Absendern. Das umgeht die Sicherheitsvorkehrungen, die normalerweise sicherstellen sollen, dass eingehende Nachrichten authentisch sind. Diese Sicherheitsvorkehrungen werden als DomainKeys Identified Mail (DKIM), Domain-based Message Authentication, Reporting and Conformance (DMARC) und Sender Policy Framework (SPF) bezeichnet.
Microsoft und GMX haben die Probleme bereits behoben. Cisco hingegen sagte, dass es sich bei den Entdeckungen nicht um eine „Schwachstelle“, sondern um eine „Funktion“ handle, und dass sie daher die Standardkonfiguration nicht ändern werden. Das bedeutet, dass SMPT-Schmuggel auf der Eingangsseite von Cisco Secure Email Instanzen mit den Standardkonfigurationen weiterhin möglich ist.
Um den Empfang von gefälschten E-Mails mit gültigen DMARC-Checks zu vermeiden, empfiehlt SEC Consult den Cisco-Nutzern, ihre Einstellungen von „Clean“ auf „Allow“ zu ändern.