• SMTP-Smuggling Schutz mit NoSpamProxy

SMTP Smuggling: Schutz mit NoSpamProxy

Stefan Cink | Director Business and Professional Services
Autor: Stefan CinkDirector Business and Professional ServicesAuf LinkedIn vernetzen

Am 18. Dezember 2023 veröffentlichte Timo Longin von der SEC Consult Group in Wien einen Artikel , in dem er von einer neuen Bedrohung im Bereich der E-Mail-Sicherheit berichtet, die die traditionellen Sicherheitsmaßnahmen herausfordert: SMTP Smuggling. Werfen wir einen genauen Blick auf die Gefahren von SMTP Smuggling, um herauszufinden, welches Schutzniveau NoSpamProxy bietet.

18.01.2024|zuletzt aktualisiert:19.01.2024

Was ist SMTP Smuggling?

Einfach ausgedrückt können beim SMTP Smuggling anfälligen Systemen E-Mails von vermeintlich vertrauenswürdigen Absendern untergeschoben werden, die dann für CEO-Fraud- oder andere Phishing-Attacken genutzt werden können. SPF- und DMARC-Prüfungen bieten hierbei keinen wirksamen Schutz und der Empfänger glaubt wirklich eine E-Mail von Microsoft, PayPal oder anderen legitimen Absendern bekommen zu haben.

Wie funktioniert SMTP Smuggling?

Zunächst gilt es zu wissen, dass in der RFC 5322 klar geregelt ist, dass ein Zeilenumbruch grundsätzlich durch ein <CR><LF> (Carriage Return Line Feed) angezeigt werden muss. Ein einzelnes <CR> oder <LF> ist nicht zulässig! Des weiteren muss das Ende einer E-Mail vom einliefernden Server grundsätzlich durch die Zeichenkombination <CR><LF>.<CR><LF> (zwei <CR><LF> getrennt durch einen einzelnen Punkt) angezeigt werden. E-Mail-Server-Software auf vereinzelten Unix-Derivaten verwenden – entgegen der RFC – nur ein einzelnes <CR> oder <LF>, was in den letzten Jahren dazu geführt hat, dass empfangende Server dies bei der Interpretation einer E-Mail großzügig gehandhabt beziehungsweise schlichtweg ignoriert haben. Dieses Verhalten wurde nun für SMTP Smuggling ausgenutzt. Dabei wird – stark vereinfacht erklärt – ein entsprechend präparierter Messagebody an einen vulnerablen E-Mail-Server geschickt, der aus dem einen Messagebody zwei E-Mails mit unterschiedlichen Inhalten und unterschiedlichen Empfängern macht.

Vertrauenswürdigkeit wird zum Problem

Seine volle Wirkung erzielt der Angriff jedoch erst dann, wenn diese Nachrichten über vertrauenswürdige Server an den Ziel-Server geschickt werden. So war es für die Sicherheitsforscher beispielsweise möglich, eine E-Mail von einem Microsoft-Konto an ein web.de Konto zu schicken.

Für den Empfänger sah es tatsächlich so aus, als ob die E-Mail von einem Admin-Konto von Microsoft stammen würde. Auch SPF und DMARC bestätigten die Echtheit der E-Mail.

Details zu SMTP Smuggling werden auf der Seite von SEC Consult beschrieben: SMTP Smuggling – Ein neue Methode zur Absenderfälschung in E-Mails. Auch das BSI hat eine Warnung veröffentlicht.

NoSpamProxy-Kunden sind geschützt

Nach dem Bekanntwerden der Schwachstelle haben wir NoSpamProxy ebenfalls auf die Anfälligkeit hin getestet und können an dieser Stelle Entwarnung geben. NoSpamProxy ignoriert zwar einzeln übermittelte <CR> und <LF> Zeichen, teilt eine manipulierte E-Mail aber nicht in zwei E-Mails auf. Wenn alle nachfolgenden Systeme ebenfalls nicht anfällig sind, sind Sie demzufolge weiterhin gut geschützt. Wichtig ist noch zu erwähnen, dass NoSpamProxy auch manipulierte E-Mails vollumfänglich prüft und die E-Mail bei Verdacht auf Phishing oder andere schadhafte Inhalte zuverlässig abweist.

Eine detaillierte Erklärung zu SMTP Smuggling finden Sie auch auf www.msxfaq.de.

Zuverlässig vor SMPT Smuggling schützen – mit NoSpamProxy

Mit NoSpamProxy schützen Sie Ihr Unternehmen zuverlässig vor SMTP Smuggling. Fordern Sie jetzt Ihre kostenfreie Testversion an!

NoSpamProxy 30 Tage kostenfrei testen
Vermehrte Fehlerkennungen durch Echtzeit-BlocklistenInfo IconNoSpamProxy wird erneut mit VBSpam-Award ausgezeichnet PreviewNoSpamProxy wird erneut mit VBSpam+ Award ausgezeichnet