SMTP-Smuggling mit E-Mail

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor einer neuen Angriffstechnik mittels „Simple Mail Transfer Protocol Smuggling“. Beim „SMTP-Smuggling“ machen sich die Angreifenden zunutze, dass verschiedene SMTP-Implementierungen die Kennzeichnung des Endes einer E-Mail-Nachricht unterschiedlich interpretieren. 

Konsequenzen

Durch die unterschiedliche Interpretation können Angreifende E-Mails aufspalten. Die so entstandenen neuen E-Mails können dann aus einer vertrauenswürdigen Domäne versendet werden (Spoofing). Dies ermöglicht Social-Engineering- bzw. Phishing-Angriffe unterschiedlichster Art.

Durch das Aufspalten können Angreifende außerdem Authentifizierungsverfahren (z. B. SPF, DKIM und DMARC) oder Warnungen (z. B. Spam-Markierung in Betreffzeile) umgehen. 

Große betroffene E-Mail-Provider haben ihre Maildienste inzwischen gegen SMTP-Smuggling abgesichert.

Die Schwachstelle besteht nicht in den zugrunde liegenden Standards, sondern in ihrer oftmals unzureichenden Implementierung. Der Angriff ist mit relativ geringem Aufwand mitigierbar.

• Spielen Sie bereitgestellte Patches ein. Stellen Sie sicher, dass IT-Systeme so konfiguriert sind, dass nur RFC-konforme Ende-Kennzeichnungen unterstützt werden.
• Passen Sie für Cisco Secure Email (Cloud) Gateway die CR and LF Handling Konfiguration auf das Verhalten "Allow" (siehe Link unten) an.
• Das BSI informiert bereits über das Warn- und Informationsdienstportal (WID) über bereitstehende Patches bzw. Mitigationsmaßnahmen für Systemanwendende. So stellen z. B. die Entwickler von Postfix eine Anleitung für einen Workaround bereit.
• Auch Hersteller von bislang nicht genannten E-Mail-Infrastruktur-Produkten veröffentlichen in nächster Zeit möglicherweise Workarounds oder Patches. Überprüfen Sie deshalb regelmäßig die Kommunikationskanäle der Unternehmen, deren Lösungen Sie einsetzen. Bei produktspezifischen Fragen wenden Sie sich an den zuständigen Kundenservice.