IKARUS mail.security erkennt SMTP Smuggling

4. Januar, 2024

SMTP Smuggling macht sich zunutze, dass E-Mails durch bestimmte Kodierungen vom Empfangsserver in mehrere E-Mails aufgespalten werden können. Findet auf dem Empfangsserver keine unabhängige Überprüfung der neu entstandenen E-Mails mehr statt, können ansonsten wirksame Authentifizierungsmechanismen wie SPM, DKIM oder DMARC nicht greifen. Gezielte Phishing-Angriffe gelangen so in eigentlich geschützte Postfächer.

IKARUS mail.security ist und war nie für SMTP Smuggling anfällig.

SMTP Smuggling umgeht Authentifizierungsmechanismen

Die im Dezember 2023 veröffentlichte Schwachstelle ermöglicht es Angreifern, manche SMTP-Implementierungen zu missbrauchen, um E-Mails mit gefälschten Absenderdaten zu „schmuggeln“. Die Methode basiert darauf, dass die Kennzeichnung des Endes einer Nachricht (RFC-Codierung) je nach Implementierung unterschiedlich interpretiert wird.

Eine präparierte E-Mail mit nicht RFC-konformer Kodierung kann vom empfangenden Server in mehrere E-Mails aufgeteilt werden. Angreifer können die neu entstandenen E-Mails mit beliebigen Kopfzeilen – zum Beispiel Absender- oder Empfängeradresse – versehen und so vertrauenswürdige Domains missbrauchen. Werden diese gefälschten E-Mails nicht erneut gescannt und authentifiziert, entstehen täuschend echte Phishing-Mails.

IKARUS mail.security erkennt SMTP Smuggling

Erhält IKARUS mail.security eine E-Mail mit einer nicht RFC-konformen Kennzeichnung, wird diese nicht automatisch akzeptiert. Alle Inhalte werden den üblichen Scans unterzogen – von verschiedenen Authentifizierungskontrollen über Malware-Checks bis hin zu Inhalts- und Linkanalysen. E-Mails mit gefälschten Absenderdaten werden von IKARUS mail.security blockiert bzw. je nach Benutzereinstellung markiert oder umgeleitet.

Zum Schutz der eigenen Identität können IKARUS mail.security-User zusätzlich S/MIME-Zertifikate für ihre Postfächer vergeben. Ein fehlendes oder ungültiges Zertifikat signalisiert dem Empfänger, dass die eingehende Nachricht möglicherweise nicht authentisch ist.

Schutzmaßnahmen gegen SMTP Smuggling

Große Unternehmen wie GMX und Microsoft haben die Schwachstelle in ihren Services bereits behoben. Cisco Secure Email-User müssen ihre Einstellungen manuell aktualisieren.

Da die Schwachstelle erst kürzlich entdeckt wurde und noch nicht ausreichend erforscht ist, schließen Forscher weitere Anfälligkeiten in Zusammenhang mit SMTP-Smuggling nicht aus. Die klassischen Warnungen, E-Mails niemals blind zu vertrauen, bleiben daher auch mit den aktuellen Schutzmaßnahmen bestehen.

IKARUS wird die Entwicklungen weiter beobachten und auf mögliche neue Schwachstellen umgehend reagieren.