IKARUS mail.security erkennt SMTP Smuggling

4. Januar, 2024

SMTP Smuggling macht sich zunutze, dass E-Mails durch bestimmte Kodierungen vom Empfangsserver in mehrere E-Mails aufgespalten werden können. Findet auf dem Empfangsserver keine unabhängige Überprüfung der neu entstandenen E-Mails mehr statt, können ansonsten wirksame Authentifizierungsmechanismen wie SPM, DKIM oder DMARC nicht greifen. Gezielte Phishing-Angriffe gelangen so in eigentlich geschützte Postfächer.

IKARUS mail.security ist und war nie für SMTP Smuggling anfällig.

SMTP Smuggling umgeht Authentifizierungsmechanismen

Die im Dezember 2023 veröffentlichte Schwachstelle ermöglicht es Angreifern, manche SMTP-Implementierungen zu missbrauchen, um E-Mails mit gefälschten Absenderdaten zu „schmuggeln“. Die Methode basiert darauf, dass die Kennzeichnung des Endes einer Nachricht (RFC-Codierung) je nach Implementierung unterschiedlich interpretiert wird.

Eine präparierte E-Mail mit nicht RFC-konformer Kodierung kann vom empfangenden Server in mehrere E-Mails aufgeteilt werden. Angreifer können die neu entstandenen E-Mails mit beliebigen Kopfzeilen – zum Beispiel Absender- oder Empfängeradresse – versehen und so vertrauenswürdige Domains missbrauchen. Werden diese gefälschten E-Mails nicht erneut gescannt und authentifiziert, entstehen täuschend echte Phishing-Mails.

IKARUS mail.security erkennt SMTP Smuggling

Erhält IKARUS mail.security eine E-Mail mit einer nicht RFC-konformen Kennzeichnung, wird diese nicht automatisch akzeptiert. Alle Inhalte werden den üblichen Scans unterzogen – von verschiedenen Authentifizierungskontrollen über Malware-Checks bis hin zu Inhalts- und Linkanalysen. E-Mails mit gefälschten Absenderdaten werden von IKARUS mail.security blockiert bzw. je nach Benutzereinstellung markiert oder umgeleitet.

Zum Schutz der eigenen Identität können IKARUS mail.security-User zusätzlich S/MIME-Zertifikate für ihre Postfächer vergeben. Ein fehlendes oder ungültiges Zertifikat signalisiert dem Empfänger, dass die eingehende Nachricht möglicherweise nicht authentisch ist.

Schutzmaßnahmen gegen SMTP Smuggling

Große Unternehmen wie GMX und Microsoft haben die Schwachstelle in ihren Services bereits behoben. Cisco Secure Email-User müssen ihre Einstellungen manuell aktualisieren.

Da die Schwachstelle erst kürzlich entdeckt wurde und noch nicht ausreichend erforscht ist, schließen Forscher weitere Anfälligkeiten in Zusammenhang mit SMTP-Smuggling nicht aus. Die klassischen Warnungen, E-Mails niemals blind zu vertrauen, bleiben daher auch mit den aktuellen Schutzmaßnahmen bestehen.

IKARUS wird die Entwicklungen weiter beobachten und auf mögliche neue Schwachstellen umgehend reagieren.

Links:

https://sec-consult.com/blog/detail/smtp-smuggling-spoofing-e-mails-worldwide/

https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2023/2023-292569-1032.html

SIEM

Was ist ein SIEM?

Nozomi Guardian Air
HarfangLab Guard
MITRE ATT&CK Framework
v.l.n.r.: Joe Pichlmayr (CEO IKARUS) – Anouck Teiller (CSO HarfangLab) –Alexander van der Bellen (Bundespräsident Österreich) - Frédéric Joureau (Erster Botschaftsrat der französischen Botschaft in Wien) – Christian Fritz (COO IKARUS)
EDR
Cyber Kill Chain
Business Email Compromise
Prognosen für die zehn größten Cybersecurity-Bedrohungen für 2030
E-Mail Verschlüsselung
Schritt für Schritt zum Notfallplan für IT-Security-Incidents
Account Management
Bedrohung
Frühzeitige Erkennung von Cybergefahren
Gefahren durch vertrauenswürdige Services
Threat Intelligence

WIR FREUEN UNS AUF SIE!

IKARUS Security Software GmbH
Blechturmgasse 11
1050 Wien

Telefon: +43 1 58995-0
Sales Hotline: +43 1 58995-500
sales@ikarus.at

SUPPORT-HOTLINE:

Support-Infoseite

Support-Hotline:
+43 1 58995-400
support@ikarus.at

Support-Zeiten:
Mo bis Do: 8.00 – 17.00 Uhr
Fr: 8.00 – 15.00 Uhr
24/7 Support nach Vereinbarung

Fernwartung:
AnyDesk Download