Overslaan naar hoofdinhoud

Wat is SMTP-smuggling?

Afbeelding die aantoont hoe SMTP werkt in een computernetwerk.

Cyberbeveiliging is een dynamisch landschap waarin oude bedreigingen evolueren en nieuwe opduiken. Zo is SMTP-smuggling is een grimmige herinnering aan het belang om op de hoogte te blijven van cyberdreigingen en methoden om jezelf te beschermen tegen cyberaanvallen. Maar wat is SMTP-smuggling nu precies en hoe werkt het?

Wat is SMTP?

Simple Mail Transfer Protocol (SMTP) is een TCP/IP-netwerkprotocol voor de overdracht van e-mails tussen verschillende computers en servers. Dit protocol wordt enorm veel gebruikt en SMTP-e-mailclients zijn onder andere Gmail, Outlook, Yahoo en Apple.

Maar wat is SMTP in e-mail precies? Nadat een e-mail is geschreven in bijvoorbeeld Microsoft Outlook, wordt deze afgeleverd op een SMTP-server. Deze server zoekt het domein van de ontvanger om de juiste e-mailserver te vinden om de e-mail af te leveren. Als het proces vlot verloopt, verwerkt de SMTP-server de e-mail in het domein van de ontvanger en bezorgt het bericht of gebruikt SMTP om het door te sturen via een ander netwerk voordat het wordt afgeleverd.

Wat belangrijk is om te onthouden over SMTP, is dat het authenticatievermogen ervan meestal beperkt was. Hierdoor werd e-mail-spoofing steeds meer een probleem. Aanvallers moesten gewoon maar de juiste tool kiezen (dit kan een andere e-mailclient, script of hulpprogramma zijn) waarmee ze de naam van een afzender kunnen kiezen. Vervolgens plegen ze gerichte aanvallen met e-mails om zich voor te doen als een vertrouwde afzender en mensen te overtuigen een bepaalde actie te ondernemen, zoals het klikken op phishing-links of het downloaden van bestanden geïnfecteerd met malware.

Er zijn verschillende beveiligingen ontworpen om deze inherente kwetsbaarheid op te lossen (CVE-2023-51766), waaronder:

  • Sender Policy Framework (SPF): Dit maakt gebruik van DNS-records om aan de ontvangende mailservers aan te geven welke IP-adressen toestemming hebben om e-mails vanaf een bepaald domein te verzenden.
  • Domain Key Identified Mail (DKIM): Deze methode maakt gebruik van een privésleutel opgeslagen op de server van de afzender om uitgaande e-mails digitaal te ondertekenen. Zo kunnen de ontvangende servers afzenders valideren met de openbare sleutel van de verzendende server.
  • Domain-based Message Authentication, Reporting, and Conformance (DMARC): Dit protocol verifieert het domein van de verzonden e-mail in "Van" ten opzichte van SPF en/of DKIM. Als deze niet overeenkomen, mislukt de DMARC-controle. Dit protocol wordt echter niet zo vaak gebruikt.

Wat is een SMTP-server?

Een SMTP-server in computernetwerken is een mailserver die e-mails kan verzenden en ontvangen met behulp van het SMTP-protocol. Over het algemeen gebruiken deze servers TCP op poort 25 of 587. De cijfers vertellen de server welke specifieke processen moeten worden gebruikt met berichten. E-mailclients maken rechtstreeks verbinding met de SMTP-server van de e-mailprovider om een e-mail te verzenden. Er worden verschillende softwareprogramma's op een SMTP-server uitgevoerd:

  • Mail Submission Agent (MSA): Ontvangt berichten van de e-mailclient.
  • Mail Transfer Agent (MTA): verzendt e-mails naar de volgende server indien nodig. Op dit punt kan de server een DNS-query starten voor het mail exchange (MX) DNS-record van het ontvangende domein
  • Mail delivery agent (MDA): ontvangt e-mails voor opslag in de inbox van de ontvanger

Wat is SMTP-smuggling?

SMTP-smuggling verwijst naar cyberaanvallen waarbij e-mailadressen worden vervalst zodat het lijkt alsof hun berichten afkomstig zijn van legitieme bronnen. Het uiteindelijke doel van deze cyberaanvallen is een vorm van phishing om het doelwit aan te moedigen actie te ondernemen, zoals het klikken op kwaadaardige links, het openen van geïnfecteerde bijlagen of zelfs het verzenden van gevoelige informatie of geld.

Deze aanvallen maken gebruik van de verschillen tussen de manier waarop uitgaande en inkomende e-mailservers codesequenties verwerken om het einde van de gegevens aan te duiden (end-of-data). Het doel is om de server van de ontvanger te overhalen het einde van een bericht anders te interpreteren met behulp van "gesmokkelde" SMTP-commando's, zodat de e-mail als twee afzonderlijke berichten verschijnt.

Hoe werkt SMTP-smuggling?

Om de aanvallen uit te voeren, "smokkelen" cybercriminelen dubbelzinnige SMTP-commando's om de integriteit van de communicatie van de e-mailserver in gevaar te brengen. Deze methode is gebaseerd op de werking van HTTP-smuggling-verzoeken. Meer specifiek geven SMTP-servers traditioneel het einde van berichtgegevens aan met de code <CR><LF>.<CR><LF> of \r\n.\r\n. Deze staan respectievelijk voor "Carriage Return" en "Line Feed" en zijn standaard tekstscheidingstekens.

Door deze codesequentie te wijzigen, kunnen aanvallers veranderen waar de server het einde van de berichtgegevens ziet. Als ze de uitgaande server kunnen vertellen dat het bericht op een bepaald moment eindigt, terwijl ze de inkomende server vertellen dat het bericht later eindigt, ontstaat er een opening waarin extra gegevens kunnen worden meegesmokkeld.

Normaal gesproken maken deze vervalste e-mails deel uit van gerichte phishing-aanvallen. Bedrijven zijn bijzonder kwetsbaar voor SMTP-smuggling omdat het gemakkelijker kan zijn om hun domeinen te vervalsen en social engineering te gebruiken om phishing-e-mails of spearphishing-aanvallen te maken.

E-mails met SMTP-smugggling vermijden

Hoewel fabrikanten van de meest populaire en bekende mailservers Postfix, Exim en Sendmail fixes en workarounds hebben uitgebracht om dit fenomeen tegen te gaan, kunnen er verschillende andere stappen worden ondernomen om de dreiging te minimaliseren:

  1. Voer regelmatige beveiligingscontroles uit binnen de infrastructuur van de organisatie om mogelijke aanvalsvectoren en kwetsbaarheden te bewaken.
  2. Controleer de gebruikte e-mailrouteringssoftware. Als bekend is dat de software kwetsbaar is, werk deze dan bij naar de nieuwste versie en gebruik instellingen die specifiek ongeoorloofde pipelining weigeren.
  3. Gebruikers van Cisco's e-mailproducten worden geadviseerd om hun standaardconfiguratie voor "CR en LF Handling" handmatig bij te werken naar "Allow" in plaats van "Clean". Zo interpreteert en bezorgt de server alleen e-mails met <CR><LF>.<CR><LF>als de codesequentie om het einde van de gegevens aan te geven.
  4. Sta <LF> niet toe zonder <CR> in code.
  5. Verbreek de verbinding met externe SMTP-clients die lege newlines verzenden.
  6. Implementeer regelmatige beveiligingsbewustzijnstrainingen voor werknemers. Deze kunnen bijvoorbeeld bestaan uit het verifiëren van het e-mailadres van een afzender voordat er verdere actie wordt ondernomen.

Hoe ziet SMTP-e-mailspoofing eruit?

Om alert te zijn op de dreiging van SMTP-smuggling, kan het handig zijn om te weten hoe een spoof-e-mail eruit kan zien. Een spoof-e-mail kan verschillende vormen aannemen:

  1. Legitieme domeinspoofing: dit is simpelweg het vervalsen van het domein van een bedrijf door het in het gedeelte "Van" van de e-mail in te voegen. Dit is wat de SPF- , DKM- en DMARC- authenticatiemethoden proberen te vangen. Bedrijven moeten hun e-mailverificatie op de juiste manier configureren om het vermogen van aanvallers om hun domeinen te vervalsen tot een minimum te beperken.
  2. Spoofing van de weergavenaam: In dit geval wordt de naam van de afzender die wordt weergegeven voor het e-mailadres in 'Van' vervalst, vaak met de echte naam van de werknemer van een bedrijf. De meeste e-mailclients verbergen automatisch het e-mailadres van de afzender en tonen alleen de weergavenaam, daarom moeten gebruikers het adres controleren als de e-mail verdacht lijkt. Hier zijn verschillende vormen van, waaronder Ghost Spoofing en AD Spoofing. Kaspersky Secure Mail Gateway (KSMG) biedt krachtige bescherming tegen AD spoofing-aanvallen door de authenticiteit van de afzender te verifiëren en ervoor te zorgen dat berichten voldoen aan de normen voor e-mailverificatie.
  3. Lookalike Domain Spoofing: Deze methode is iets ingewikkelder. De aanvaller moet een domein registreren dat vergelijkbaar is met dat van de doelorganisatie en e-mail, DKIM/SPF-handtekeningen en DMARC-authenticatie instellen. Er zijn verschillende soorten van deze vorm van spoofing, waaronder Primary Lookalike (bijvoorbeeld een spelfout van een legitiem bedrijfsdomein) en Unicode Spoofing (het vervangen van een ASCII-teken in de domeinnaam door een vergelijkbaar uitziend teken van Unicode) . KSMG kan organisaties helpen zich te verdedigen tegen lookalike domain spoofing-aanvallen door de identiteit van afzenders te verifiëren en het risico op misleidende e-mails te beperken.

Kaspersky Endpoint Security ontving de prijs "Consumer Product of the Year Award" van AV Comparatives https://www.av-comparatives.org/tests/summary-report-2023/.

Gerelateerde artikels en links:

Gerelateerde producten en diensten:

Wat is SMTP-smuggling?

SMTP-smuggling is een cyberdreiging die de afgelopen maanden de kop heeft opgestoken. Ontdek wat de dreiging is, hoe deze werkt en hoe je de risico's kunt minimaliseren.
Kaspersky logo

Gerelateerde artikelen