SMTP Smuggling ist eine neue Angriffstechnik, die es Angreifern ermöglicht, gefälschte E-Mails zu versenden, die Authentifizierungsmechanismen und Spam-Filter umgehen können. Diese Technik wurde im Dezember 2023 von Sicherheitsforschern der Firma SEC Consult entdeckt und veröffentlicht .
SMTP steht für Simple Mail Transfer Protocol und ist ein Standardprotokoll für den Versand und Empfang von E-Mails im Internet. SMTP basiert auf der Kommunikation zwischen SMTP-Servern, die die E-Mails weiterleiten, und SMTP-Clients, die die E-Mails senden oder empfangen. Dabei werden die E-Mails in einzelne Nachrichten aufgeteilt, die jeweils einen Header und einen Body enthalten. Der Header enthält Informationen wie den Absender, den Empfänger, das Datum und den Betreff der E-Mail. Der Body enthält den eigentlichen Inhalt der E-Mail.
Um das Ende einer Nachricht zu markieren, wird eine spezielle Zeichenfolge verwendet, die aus einem Punkt (.) gefolgt von einem Zeilenumbruch besteht. Diese Zeichenfolge wird als End-of-Message (EOM) bezeichnet. Allerdings interpretieren verschiedene SMTP-Implementierungen diese Zeichenfolge unterschiedlich. Manche SMTP-Server akzeptieren nur einen Zeilenumbruch (\n), andere nur einen Wagenrücklauf (\r), und wieder andere akzeptieren beide (\r\n). Dies führt zu einer Inkonsistenz zwischen den SMTP-Servern, die die E-Mails weiterleiten.
SMTP Smuggling nutzt diese Inkonsistenz aus, indem es eine spezielle Zeichenfolge in den Body einer E-Mail einfügt, die aus einem Punkt (\.) gefolgt von einem Wagenrücklauf (\r) besteht. Diese Zeichenfolge wird als End-of-Header (EOH) bezeichnet. Wenn ein SMTP-Server diese Zeichenfolge als EOM interpretiert, wird er die E-Mail nach dieser Zeichenfolge abschneiden und an den nächsten SMTP-Server weiterleiten. Wenn der nächste SMTP-Server diese Zeichenfolge jedoch nicht als EOM interpretiert, wird er die E-Mail nach dem nächsten Punkt (\.) abschneiden und an den nächsten SMTP-Server weiterleiten.
Auf diese Weise kann eine einzige E-Mail in mehrere E-Mails aufgespalten werden, die jeweils einen anderen Header haben. Der Angreifer kann so den Header manipulieren, um den Absender zu fälschen, Authentifizierungsmechanismen wie SPF, DKIM und DMARC zu umgehen oder Warnungen wie Spam-Markierungen zu entfernen. Dies kann zu verschiedenen Social Engineering- oder Phishing-Angriffen führen, bei denen der Empfänger glaubt, eine legitime E-Mail von einer vertrauenswürdigen Quelle zu erhalten.
Wie kann man sich vor SMTP Smuggling schützen? Eine Möglichkeit ist, SMTP-Server so zu konfigurieren, dass sie nur eine einheitliche Zeichenfolge für das EOM akzeptieren (\r\n.\r\n) und alle anderen Varianten ablehnen. Eine andere Möglichkeit ist, SMTP-Clients so zu konfigurieren, dass sie keine zusätzlichen Punkte (\.) in den Body einer E-Mail einfügen. Einige große Unternehmen wie Microsoft und GMX haben bereits ihre Maildienste vor SMTP Smuggling abgesichert .
SMTP Smuggling ist eine neue und gefährliche Angriffstechnik, die das alte und weit verbreitete SMTP-Protokoll ausnutzt. Es ist wichtig, sich über diese Technik zu informieren und geeignete Schutzmaßnahmen zu ergreifen.