Eine gefälschte E-Mail stellt seit mehreren Jahrzehnten eine der größten Cyber Bedrohungen für die IT-Sicherheit dar. Sie gilt als bevorzugtes Mittel, um Trojaner und Bots zu verbreiten oder mittels gefälschter Webseiten, zum Beispiel durch das allgemeine Phishing oder das zielgerichteten Spear Phishing, sensible Daten wie Nutzernamen und dazu gehörende Passwörter, Bankdaten oder andere Informationen zu stehlen. Mit dem SMTP-Smuggling haben IT-Experten eine neue Sicherheitslücke entdeckt, mit der sich viele der etablierten Schutzmaßnahmen gegen eine falsche E-Mail umgehen lassen. Kritisch ist dabei vor allem, das die Nachricht nicht von Filtern erkannt und selbst bei einer genauen Inspektion der Header nicht sofort als Fälschung identifiziert werden kann.
Wie gehen Angreifer bei dem SMTP-Smuggling vor?
Das Simple Mail Transfer Protokoll (SMTP) entstand bereits in den 1980er Jahren und wurde im Laufe der Zeit wiederholt an aktuelle Anforderungen der IT-Sicherheit angepasst, besitzt jedoch einige grundlegende Schwächen. Bei dem SMTP-Smuggling machen sich Cyberkriminelle die Tatsache zunutze, dass bestimmte Zeichenfolgen von versendenden und empfangenden Servern unterschiedlich interpretiert werden. Das ermöglicht, von einer legitimen Verbindung weitere Befehle inklusive Absender, Nachrichten und Anhänge einzuschleusen, die von einem E-Mail-Server ohne weitere Überprüfung ausgeführt werden. Dabei handelt es sich in der Regel um eine zweite E-Mail, die der Server separat ohne vorhergehende Authentifizierung versendet. So hebelt eine derartig manipulierte E-Mail auch nachträglich zur Sicherheit eingeführte Verfahren wie DomainKeys Identified Mail (DKIM) und Domain-based Message Authentication, Reporting and Conformance (DMARC) aus. Sie überprüfen ausschließlich den verantwortlichen und in diesem Fall korrekten Server.
Welche Gefahren gehen von SMTP-Smuggling aus?
Bislang galten SKIM und DMARC als zuverlässige Werkzeuge, um eine gefälschte E-Mail zu identifizieren und zu filtern, indem sie SMTP-Server einer Internetadresse über das Domain Name System (DNS) verifizieren. Nahezu alle großen Provider setzen diese Authentifizierung voraus, um Nachrichten überhaupt zustellen zu können. Mit SMTP-Smuggling lassen sich diese Hürden allerdings umgehen, um den wahren Absender zu verschleiern und neben weiteren auch Spam-Filter zu überwinden. Daraus ergibt sich eine Vielzahl von möglichen Bedrohungen:
- Einschleusen von Schadsoftware inklusive Trojanern durch unauffällige Anhänge
- Gezielte Verbreitung von falschen Informationen von scheinbar seriösen Sendern
- Überwindung von sämtlichen Filtern inklusive SPAM, DMARC und DKIM
- Umleiten von verschlüsselten HTTPS-Verbindungen auf fremde Webserver
- Phishing und Spear-Phishing durch bekannte und verifizierte Kontakte
- Diebstahl von Identitäten etwa bei Social Media Plattformen oder in kritischen Umgebungen wie Banken
Es lässt sich nicht abschätzen, ob und in welchem Umfang Cyberkriminelle das SMTP-Smuggling ausnutzen. Die Sicherheitslücke wurde durch den IT-Experten Timo Longin 2023 entdeckt, der sie vor der Veröffentlichung den untersuchten Providern einschließlich Google, Microsoft, Amazon und GMX meldete. Alle betroffenen IT-Konzerne reagierten zeitnah und verbesserten ihre IT-Sicherheit, um SMTP-Smuggling in Zukunft zu unterbinden.
Wie lässt sich SMTP-Smuggling erkennen?
Für gewöhnliche Nutzer ohne weitergehende IT-Kenntnisse ist es kaum möglich, eine durch SMTP-Smuggling eingeschleuste Nachricht zu identifizieren, weil sie technisch von einem legitimen und verifizierten Absender verschickt wurde. Aus diesem Grund sollte bei jeder eingehenden E-Mail mit einem Link oder einem Anhang strikte Sicherheitsmaßnahmen beachtet werden, selbst wenn sie aus einer scheinbar seriösen oder bekannten Adresse stammen. Zu diesen gehören insbesondere:
- Kein Öffnen von angehängten Dateien, die nicht aus zuverlässiger Quelle stammen
- Genaues Überprüfen von eingebetteten Links auf ihre wahre Adresse
- Verifizierung einer E-Mail durch andere Kommunikationswege wie Telefon oder Social Media
- Manuelle Eingabe von Internetadressen statt Klicken auf einen eingebetteten Link
- Verwendung sicherer Umgebungen etwa durch „Sandboxes“ oder virtualisierte Betriebssysteme
Große IT-Unternehmen wie Amazon, Microsoft oder Google haben unverzüglich Maßnahmen ergriffen, die SMTP-Smuggling verhindern. Eine akute Gefahr besteht jedoch nach wie vor für kleinere gewerbliche oder private SMTP-Server, deren Betreiber nicht in eine aufwendige und stetig aktualisierte IT-Sicherheit investieren.
Bild von Gerd Altmann auf Pixabay