Vad är SMTP-smuggling?

Cybersäkerhet är ett fält i konstant förändring där gamla hot utvecklas och nya ständigt dyker upp. SMTP-smuggling är ett exempel på ett sådant hot, som tydligt påminner oss om vikten av att hålla sig ajour med både hotbilden och de bästa sätten att skydda sig mot cyberattacker. Men vad är egentligen SMTP-smuggling och hur fungerar det?

Vad är SMTP?

Simple Mail Transfer Protocol (SMTP) är ett nätverksprotokoll inom TCP/IP som möjliggör överföring av e-post mellan olika datorer och servrar. Detta protokoll är så utbrett att både Gmail, Outlook, Yahoo och Apple använder det.

Så vad innebär egentligen SMTP i e-postsammanhang? När ett e-postmeddelande skrivs i en klient som Microsoft Outlook skickas det till en SMTP-server som identifierar mottagarens domän för att hitta rätt e-postserver att leverera meddelandet till. Om processen fungerar som den ska bearbetar SMTP-servern meddelandet vid mottagarens domän och levererar det antingen direkt eller vidarebefordrar det via ett annat nätverk innan det levereras.

En viktig sak att notera om SMTP är att serverns förmåga att autentisera meddelanden historiskt sett har varit begränsad. Därför har e-postförfalskning blivit ett allvarligt problem. Förr kunde angripare enkelt välja en avsändares namn – till exempel genom en annan e-postklient, ett skript eller ett program – för att sedan genomföra riktade attacker via e-post genom att låtsas vara en betrodd avsändare och försöka övertyga mottagaren att vidta åtgärder, såsom att klicka på nätfiskelänkar eller ladda ner filer innehållande skadlig programvara.

Flera skyddsåtgärder utformades därför för att åtgärda denna inneboende sårbarhet (CVE-2023-51766), inklusive:

• Sender Policy Framework (SPF): Denna metod använder DNS-poster för att informera mottagande e-postservrar om vilka IP-adresser som har behörighet att skicka e-post från en viss domän.
• DomainKeys Identified Mail (DKIM): Denna metod använder en privat nyckel som är lagrad på avsändarens server för att digitalt signera utgående e-postmeddelanden, vilket gör det möjligt för mottagarens server att validera avsändaren med hjälp av serverns öppna nyckel.
• Domain-based Message Authentication, Reporting, and Conformance (DMARC): Detta protokoll verifierar avsändardomänen i e-postmeddelandets avsändarfält mot SPF och/eller DKIM. Om någon avvikelse upptäcks så misslyckas DMARC-kontrollen. Detta protokoll används dock inte särskilt ofta.

Vad är en SMTP-server?

• Mail Submission Agent (MSA): Tar emot meddelanden från e-postklienten
• Mail Transfer Agent (MTA): Överför e-postmeddelanden till nästa server vid behov – i detta skede kan servern initiera en DNS-förfrågan för mottagardomänens MX-DNS-post
• Mail Delivery Agent (MDA): Tar emot e-postmeddelanden för lagring i mottagarens inkorg

Vad är SMTP-smuggling?

SMTP-smuggling syftar på cyberattacker där e-postadresser förfalskas så att meddelanden ser ut att komma från legitima avsändare. Målet med dessa cyberattacker är att genomföra en typ av nätfiskeattack och få offret att vidta specifika åtgärder, såsom att klicka på skadliga länkar, öppna infekterade bilagor eller till och med skicka känslig information eller pengar.

Dessa attacker utnyttjar skillnader i hur utgående och inkommande e-postservrar hanterar slutsekvenser i e-postdata. Målet är att lura mottagarens server att tolka slutet av ett meddelande på ett felaktigt sätt genom att använda “insmugglade” SMTP-kommandon, så att e-postmeddelandet framstår som två separata meddelanden.

Hur fungerar SMTP-smuggling?

För att genomföra attackerna “smugglar” cyberbrottslingar in tvetydiga SMTP-kommandon för att skapa sårbarheter i kommunikationen mellan e-postserverar. Detta är inspirerat av hur smuggling via HTTP-förfrågningar fungerar. Mer specifikt markerar SMTP-servrar vanligtvis slutet på meddelandedata med koden “<CR><LF>.<CR><LF>” eller “\r\n.\r\n”. Dessa står för “Carriage Return” och “Line Feed” och är standardtextavgränsare.

Genom att ändra denna kodsekvens kan angripare manipulera hur servern tolkar var meddelandet slutar. Om de kan lura den utgående servern att meddelandet slutar vid en viss punkt och samtidigt informera den inkommande servern att meddelandet slutar senare så skapas en lucka där ytterligare data kan smugglas in.

Normalt sett är dessa förfalskade e-postmeddelanden en del av riktade nätfiskeattacker. Företag är särskilt sårbara för SMTP-smuggling eftersom det kan vara lättare att förfalska deras domäner och använda sig av social manipulation för att utföra nätfiskeattacker eller spear-phishing-attacker.

Så här undviker du SMTP-smuggling

1. Genomför regelbundna säkerhetskontroller inom organisationens infrastruktur för att övervaka potentiella angreppsvägar och sårbarheter.
2. Kontrollera mjukvaran som används för e-postdirigering. Om det är känt att denna mjukvara är sårbar rekommenderas det att uppdatera till den senaste versionen och använda inställningar som specifikt avvisar obehörig pipelining.
3. Användare av Ciscos e-postprodukter rekommenderas att manuellt uppdatera sin standardkonfiguration för “CR- och LF-hantering” till “Tillåt” istället för “Rensa”, så att servern endast tolkar och levererar e-postmeddelanden med “<CR><LF>.<CR><LF>” som slutsekvens i koden.
4. Avvisa <LF> utan <CR> i koden.
5. Koppla bort fjärr-SMTP-klienter som skickar blanka radbrytningar.
6. Erbjud regelbunden säkerhetsutbildning för anställda, som exempelvis kan inkludera information om hur man verifierar avsändarens e-postadress innan man vidtar ytterligare åtgärder.

Hur upptäcker man SMTP-förfalskning?

För att vara kunna identifiera SMTP-smugglingsförsök kan det vara bra att känna till hur ett förfalskat e-postmeddelande kan se ut. Ett förfalskat e-postmeddelande kan ta olika former:

1. Förfalskning av legitimt domän: Detta innebär att man helt enkelt förfalskar ett företags domän genom att inkludera det i e-postmeddelandet avsändarfält. Detta är vad autentiseringsmetoder som SPF, DKM och DMARC försöker fånga upp. Företag bör konfigurera sin e-postautentisering på korrekt sätt för att minimera angripares möjligheter att förfalska deras domäner.
2. Förfalskning av visningsnamn: Här förfalskas avsändarens namn som visas före e-postadressen i avsändarfältet – ofta genom att använda en riktig anställds namn. De flesta e-postklienter döljer automatiskt avsändarens e-postadress och visar bara visningsnamnet och användare bör därför kontrollera adressen om e-postmeddelandet verkar misstänksam. Det finns flera varianter av detta, inklusive Ghost Spoofing och AD Spoofing. Kaspersky Secure Mail Gateway (KSMG) ger ett kraftfullt skydd mot AD-förfalskningsattacker genom att verifiera avsändarens identitet och säkerställa att meddelanden följer etablerade autentiseringsstandarder för e-post.
3. Domänförfalskning: Denna mer komplicerade metod kräver att angriparen registrerar en domän som liknar målföretagets och konfigurerar sin e-post, DKIM/SPF-signaturer och DMARC-autentisering. Det finns återigen flera olika metoder för att åstadkomma den här typen av förfalskning, inklusive Primary Lookalike (t.ex. en felstavning av en legitim företagsdomän) och Unicode-förfalskning (där angriparen ersätter ett ASCII-tecken i domännamnet med ett liknande tecken från Unicode). KSMG kan hjälpa organisationer att skydda sig mot domänförfalskningsattacker genom att verifiera avsändarens identitet och minska risken för vilseledande e-post.

Relaterade artiklar och länkar:

• Vad är ett Spoofing – definition och förklaring
• Vad är Spear Phishing?
• Så här känner du igen och undviker nätfiskemeddelanden

Relaterade produkter och tjänster:

• Kaspersky Plus
• Kaspersky Premium – produktuppgifter
• Ladda ned en kostnadsfri testversion av Kaspersky Antivirus Premium
• Kaspersky Endpoint Security Cloud