Eine neue E-Mail-Schwachstelle ermöglicht es Cyberkriminellen, Authentifizierungsverfahren und Warnungen zu umgehen. Mittels Simple Mail Transfer Protocol (SMTP) Smuggling können Hacker E-Mail-Sicherheitsverfahren umgehen und Phishing-Angriffe starten. Foto: DAVIDSANTOS739 – shutterstock.comDas Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor einer neuen Angriffstechnik mittels Simple Mail Transfer Protocol (SMTP) Smuggling. Dabei machen sich die Angreifer den Umstand zunutze, dass verschiedene SMTP-Implementierungen die Kennzeichnung des Endes einer E-Mail-Nachricht unterschiedlich interpretieren.Dadurch können sie E-Mails aufspalten und anschließend aus einer vertrauenswürdigen Domäne versenden (Spoofing). Zudem ermöglicht die Angriffsmethode es, Authentifizierungsmechanismen wie SPF, DKIM und DMARC oder Warnungen, wie eine Spam-Markierung in der Betreffzeile, zu umgehen. Auf diese Weise können Hacker Social-Engineering-, beziehungsweise Phishing-Angriffe unterschiedlichster Art initiieren.So reagieren die großen E-Mail-AnbieterDas Cybersicherheitsunternehmen SEC Consult, das die Sicherheitslücke ursprünglich entdeckte, informierte sämtliche E-Mail-Provider. Microsoft und GMX haben daraufhin ihre Maildienste vor SMTP Smuggling abgesichert. Cisco dagegen hält laut SEC Consult das gefundene Problem in (on-prem / cloud-basiert) Cisco Secure Email (Cloud) Gateway für ein Feature und keine Schwachstelle. Das Problem in Cisco Secure Email Gateway ist demnach das (standardmäßige) CR and LF Handling – dies erlaubt Nachrichten mit CR und LF Zeichen und konvertiert CR und LF Zeichen zu CRLF Zeichen. Dieses Verhalten erlaubt den Empfang von gefälschten Mails mit validem DMARC. Laut BSI besteht die Schwachstelle nicht in den zugrunde liegenden Standards, sondern in ihrer oftmals unzureichenden Implementierung. Der Angriff ist demnach mit relativ geringem Aufwand mitigierbar.GegenmaßnahmenDas BSI empfiehlt, bereitgestellte Patches einzuspielen und sicherzustellen, dass genutzte IT-Systeme so konfiguriert sind, dass nur RFC-konforme Ende-Kennzeichnungen unterstützt werden. Für das IT-Produkt (on-prem / cloud-basiert) Cisco Secure Email (Cloud) Gateway empfiehlt SEC Consult eine Anpassung der CR and LF Handling Konfiguration auf das Verhalten “Allow”, um sich vor Angriffen mittels SMTP-Smuggling zu schützen. SUBSCRIBE TO OUR NEWSLETTER From our editors straight to your inbox Get started by entering your email address below. Bitte geben Sie eine gültige E-Mail-Adresse ein. Abonnieren