Die Cybersicherheit ist eine dynamische Landschaft, in der sich alte Bedrohungen weiterentwickeln und neue auftauchen. Bedrohungen wie SMTP-Schmuggel sind eine eindringliche Mahnung daran, wie wichtig es ist, sich regelmäßig über Cybersicherheitsbedrohungen und Methoden zur Abwehr von Cyberangriffen zu informieren. Doch was genau ist SMTP-Schmuggel und wie funktioniert es?
Was ist SMTP?
Das Simple Mail Transfer Protocol (SMTP) ist ein TCP/IP-Netzwerkprotokoll, das die Übertragung von E-Mails zwischen verschiedenen Computern und Servern ermöglicht. Die Verwendung dieses Protokolls ist weit verbreitet und wird sogar von den E-Mail-Clients Gmail, Outlook, Yahoo Mail und Apple Mail genutzt.
Welche Funktion hat SMTP denn nun genau im E-Mail-Verkehr? Nachdem eine E-Mail in einem Client wie Microsoft Outlook geschrieben wurde, wird sie an einen SMTP-Server übermittelt, der anhand der Domain des Empfängers den passenden E-Mail-Server für die Zustellung der E-Mail sucht. Wenn der Prozess reibungslos verläuft, verarbeitet der SMTP-Server in der Domain des Empfängers die E-Mail und stellt die Nachricht entweder zu oder leitet sie vor der Zustellung über ein anderes Netzwerk weiter.
Ein wichtiger Punkt, der in Bezug auf SMTP zu beachten ist, ist die Tatsache, dass die Fähigkeit zur Authentifizierung in der Vergangenheit begrenzt war. Aus diesem Grund wurde E-Mail-Spoofing zu einem ernsthaften Problem. Angreifer konnten einfach das richtige Tool wählen (z. B. einen anderen E-Mail-Client, ein Skript oder ein Dienstprogramm), das es ihnen ermöglichte, den Namen eines Absenders auszuwählen. Anschließend führen sie gezielte Angriffe mit E-Mails durch, in denen sie sich als vertrauenswürdiger Absender ausgeben und den Empfänger dazu bringen, eine bestimmte Aktion durchzuführen, z. B. auf Phishing-Links zu klicken oder mit Malware infizierte Dateien herunterzuladen.
Es wurden mehrere Schutzmaßnahmen entwickelt, um diese inhärente Schwachstelle (CVE-2023-51766) zu beheben, darunter:
- Sender Policy Framework (SPF): Hierbei werden DNS-Einträge verwendet, um den empfangenden Mailservern anzuzeigen, welche IP-Adressen berechtigt sind, E-Mails von einer bestimmten Domain zu senden.
- DomainKeys Identified Mail (DKIM): Bei dieser Methode wird ein auf dem Server des Absenders gespeicherter privater Schlüssel verwendet, um ausgehende E-Mails digital zu signieren, sodass die Empfängerserver die Absender anhand des öffentlichen Schlüssels des Absenderservers validieren können.
- Domain-based Message Authentication, Reporting, and Conformance (DMARC): Dieses Protokoll überprüft die Absenderdomain der E-Mail im „From“-Header anhand von SPF und/oder DKIM. Bei einer Nichtübereinstimmung schlägt die DMARC-Prüfung fehl. Dieses Protokoll wird jedoch nicht häufig verwendet.
Was ist ein SMTP-Server?
In Computernetzwerken handelt es sich bei einem SMTP-Server um einen Mailserver, der E-Mails über das SMTP-Protokoll senden und empfangen kann. In der Regel verwenden diese Server TCP an den Ports 25 oder 587. Dabei geben die Nummern dem Server an, welche spezifischen Prozesse er für die Nachrichten verwenden soll. E-Mail-Clients stellen eine direkte Verbindung mit dem SMTP-Server des E-Mail-Anbieters her, um eine E-Mail zu versenden. Auf einem SMTP-Server werden unterschiedliche Softwareprogramme ausgeführt:
- Mail Submission Agent (MSA): Empfängt Nachrichten vom E-Mail-Client
- Mail Transfer Agent (MTA): Leitet E-Mails gegebenenfalls an den nächsten Server weiter – an diesem Punkt kann der Server eine DNS-Abfrage nach dem Mail Exchange (MX)-DNS-Eintrag der Empfängerdomain starten
- Mail Delivery Agent (MDA): Nimmt E-Mails entgegen und speichert sie im Posteingang des Empfängers
Was ist SMTP-Schmuggel?
SMTP-Schmuggel bezeichnet Cyberangriffe, bei denen E-Mail-Adressen gefälscht werden, um den Anschein zu erwecken, dass die Nachrichten von legitimen Quellen gesendet wurden. Das eigentliche Ziel dieser Cyberangriffe ist es, eine Form von Phishing durchzuführen und die Zielperson zu Aktionen wie dem Anklicken bösartiger Links, dem Öffnen infizierter Anhänge oder sogar dem Senden sensibler Daten oder Geld zu verleiten.
Diese Angriffe machen sich die Unterschiede in der Verarbeitung von End-of-Data-Codesequenzen zwischen ausgehenden und eingehenden E-Mail-Servern zunutze. Ziel ist es, den Server des Empfängers mit „eingeschmuggelten“ SMTP-Befehlen dazu zu bringen, das Ende einer Nachricht anders zu interpretieren, sodass die E-Mail als zwei separate Nachrichten erscheint.
Wie funktioniert SMTP-Schmuggel?
Die Funktionsweise von SMTP-Schmuggel ist an HTTP-Request-Schmuggel-Angriffe angelehnt. Zur Durchführung der Angriffe „schmuggeln“ Cyberkriminelle zweideutige SMTP-Befehle ein, um die Integrität der E-Mail-Server-Kommunikation zu beeinträchtigen. SMTP-Server zeigen das Ende von Nachrichtendaten traditionell mit dem Code <CR><LF>.<CR><LF> oder \r\n.\r\n an. Diese Codezeichen stehen für „Carriage Return“ bzw. „Line Feed“ und sind Standard-Trennzeichen.
Durch die Änderung dieser Codesequenz können Angreifer die Auffassung des Servers darüber ändern, wo die Nachrichtendaten enden. Wenn es ihnen gelingt, dem Ausgangsserver mitzuteilen, dass die Nachricht an einem bestimmten Punkt endet, während sie dem Eingangsserver mitteilen, dass die Nachricht später endet, entsteht ein Schlupfloch, über das zusätzliche Daten eingeschmuggelt werden können.
In der Regel sind diese gefälschten E-Mails Teil von gezielten Phishing-Angriffen. Unternehmen sind besonders anfällig für SMTP-Schmuggel, da es einfacher sein kann, ihre Domains zu fälschen und Social Engineering zur Erstellung von Phishing-E-Mails oder Spear-Phishing-Angriffen einzusetzen.
So schützen Sie sich vor SMTP-Schmuggel-E-Mails
Zwar haben die Hersteller der beliebtesten und bekanntesten Mailserver Postfix, Exim und Sendmail Patches und Umgehungslösungen veröffentlicht, um den Schmuggel-Angriffen entgegenzuwirken, doch können verschiedene andere Schritte unternommen werden, um die Gefahr zu minimieren:
- Führen Sie regelmäßige Sicherheitsprüfungen innerhalb der Infrastruktur des Unternehmens durch, um mögliche Angriffsvektoren und Schwachstellen zu überwachen.
- Überprüfen Sie die verwendete E-Mail-Routing-Software – wenn die Software bekanntermaßen anfällig ist, aktualisieren Sie sie auf die neueste Version und verwenden Sie Einstellungen, die unautorisiertes Pipelining ausdrücklich ablehnen.
- Nutzern von E-Mail-Produkten von Cisco wird empfohlen, die Standardkonfiguration für „CR- und LF-Behandlung“ manuell auf „Zulassen“ statt „Bereinigen“ zu aktualisieren, damit der Server ausschließlich E-Mails mit <CR><LF>.<CR><LF> als End-of-Data-Sequenzcode interpretiert und zustellt.
- Blockieren Sie <LF> ohne <CR> im Code.
- Trennen Sie Remote-SMTP-Clients, die bloße Zeilenumbrüche senden.
- Führen Sie regelmäßige Sicherheitsschulungen für Ihre Mitarbeiter durch, die z. B. über die Notwendigkeit aufklären, die E-Mail-Adresse eines Absenders zu überprüfen, bevor weitere Maßnahmen ergriffen werden.
Wie sieht SMTP-E-Mail-Spoofing aus?
Um vor SMTP-Schmuggel auf der Hut zu sein, kann es hilfreich sein, zu wissen, wie eine gefälschte E-Mail aussehen könnte. Eine gefälschte E-Mail kann verschiedene Formen annehmen:
- Spoofing legitimer Domains: Hier wird einfach die Domain eines Unternehmens gefälscht, indem sie im „From“-Header der E-Mail eingefügt wird. Genau das versuchen die Authentifizierungsmethoden SPF, DKM und DMARC zu verhindern. Unternehmen sollten ihre E-Mail-Authentifizierung entsprechend konfigurieren, um die Möglichkeiten der Angreifer, ihre Domains zu fälschen, zu minimieren.
- Spoofing von Anzeigenamen: In diesem Fall wird der Name des Absenders, der vor der E-Mail-Adresse im „From“-Header angezeigt wird, gefälscht, oft unter Verwendung des echten Namens eines Mitarbeiters des Unternehmens. Die meisten E-Mail-Clients blenden die E-Mail-Adresse des Absenders automatisch aus und zeigen lediglich den Anzeigenamen an, weshalb Nutzer die Adresse überprüfen sollten, wenn die E-Mail verdächtig erscheint. Diese Art von Spoofing kann verschiedene Formen annehmen, darunter Ghost Spoofing und AD Spoofing. Kaspersky Secure Mail Gateway (KSMG) bietet einen wirksamen Schutz gegen AD-Spoofing-Angriffe, indem es die Authentizität des Absenders prüft und sicherstellt, dass die Nachrichten den etablierten E-Mail-Authentifizierungsstandards entsprechen.
- Lookalike-Domain-Spoofing: Bei dieser komplizierteren Methode muss der Angreifer eine Domain registrieren, die der des Zielunternehmens ähnlich ist, und DKIM/SPF-Signaturen sowie Mail- und DMARC-Authentifizierung einrichten. Auch bei dieser Form des Spoofing gibt es mehrere Arten, darunter Primary Lookalike (z. B. eine falsche Schreibweise einer legitimen Unternehmensdomain) und Unicode Spoofing (Ersetzen eines ASCII-Zeichens im Domain-Namen durch ein ähnlich aussehendes Zeichen aus Unicode). KSMG kann Unternehmen dabei helfen, sich gegen Spoofing-Angriffe mit ähnlich aussehenden Domains zu schützen, indem es die Identität des Absenders verifiziert und das Risiko von betrügerischen E-Mails verringert.
Kaspersky Endpoint Security wurde von AV Comparatives mit dem „Consumer Product of the Year Award“ ausgezeichnet https://www.av-comparatives.org/tests/summary-report-2023/.
Verwandte Artikel und Links:
- Was ist Spoofing – Definition und Erläuterung
- Was ist Spear-Phishing
- Phishing-E-Mails: So lassen sie sich erkennen und vermeiden
Verwandte Produkte und Services: