Wer das aktuelle Programm des CCC in Hamburg (37C3) verfolgt, wird wahrscheinlich schon Kenntnis davon haben.
Es gibt ein neues (ziemlich raffiniertes) Angriffsszenario namens „SMTP Smuggling“, welches Social Engineering per E-Mail ermöglicht. Hierbei machen sich Angreifende zunutze, dass verschiedene SMTP-Implementierungen die Kennzeichnung des Endes einer E-Mail-Nachricht unterschiedlich interpretieren. Betroffen sind (bzw. waren) offenbar Systeme weltweit, darunter vor allem auch die ganz großen namhaften (Apple, Microsoft, Cisco, Postfix, u.v.a.m.). Entdeckt wurde die Problematik erstmals im Frühsommer diesen Jahres.
Das BSI hat dazu am 22.12.2023 einen entsprechenden Beitrag veröffentlicht.
Timo Longin hat auf dem diesjährigen CCC-Congress im Rahmen eines Vortrages die Details zum SMTP Smuggling für die Öffentlichkeit aufgedröselt. Hier der Link zum Vortrag (Video, ca. 30 min., sehenswert).
Das erinnert mich an ein Phänomen, daß wir mit Spamgourmet vor etlichen Jahren hatten.
Im Ergebnis wurden die eMails, die eigentlich 1:1 weitergeleitet werden sollten, an irgend einer Stelle abgeschnitten!
Man glaubt nicht, wie häufig dieser Zufall auftrat, wenn man mehr als 78 Zeichen Text produzierte!
Wir rätselten im dortigen Forum mit dem alten Josh , woran das liegen konnte.
Monatelang konnte sich niemand erklären, woran das lag:
Wenn ich nur flow text formatierte eMails sendete, ergab sich irgendwann der Zufall, daß Spamgourmet, das mit konkreten Zeilenlängen formatierte, beim Umsetzen des Textes genau nur den Punkt eines Satzes abtrennte und in eine neue Zeile setzte, die mit diesem Punkt dann eben auch schon wieder endete (weil es ein Absatzende war?). Also: <CR><LF>.<CR><LF>
Das Abtrennen war vielleicht eine falsch verstandene, aber sehr vorausschauende Vorsorge gegen das im Video beschriebene SMTP Smuggling – und nicht einmal der Betreiber wusste es …
Das SMTP-Protokoll ist eins der ältesten Internet-Protokolle überhaupt, denn in seiner Grundform existiert es schon seit 1982. Da wird es über die Jahre sicherlich schon an der einen oder anderen Stelle zu Unregelmäßigkeiten gekommen sein, insbesondere dadurch, dass immer wieder Standards missachtet oder sogar vorsätzlich gebrochen worden sind.
Aktuelles Negativ-Paradebeispiel: „Cisco Systems“
Diese uferlose Arroganz bestimmter Protagonisten ist unglaubbar.
Also zusammengefasst ist das Problem am SMTP smuggling, dass eine ungünstige Verkettung verschiedener SMTP-Implementierungen zu Spoofing-Mails führen können, die nach SPF valide sind. Die beiden Anbieter IONOS und Microsoft haben ihre Systeme bereits abgesichert und es gibt für Postfix einfache Einstellungen, die diese Art von manipulierten Mails ablehnen.
Kritisch ist höchstens der Zeitpunkt. Gerade wenn die Postmaster in ihren wohlverdienten Weihnachtsurlaub gehen, haben die Spammer ein neues Spielzeug bekommen, bei dem gar nicht so klar ist, wo es überall funktioniert.
Wir wünschen allen Admins und Postmastern dennoch eine ruhige Weihnachtszeit und einen guten Rutsch!
, woran das liegen konnte.