{"id":558,"date":"2024-04-22T04:47:56","date_gmt":"2024-04-22T02:47:56","guid":{"rendered":"https:\/\/www.vautron.de\/blog\/?p=558"},"modified":"2024-05-28T05:32:20","modified_gmt":"2024-05-28T03:32:20","slug":"smtp-smuggling-wie-funktioniert-es","status":"publish","type":"post","link":"https:\/\/www.vautron.de\/blog\/smtp-smuggling-wie-funktioniert-es","title":{"rendered":"SMTP-Smuggling – wie funktioniert es und welche Gefahren birgt es?"},"content":{"rendered":"\n

Eine gef\u00e4lschte E-Mail stellt seit mehreren Jahrzehnten eine der gr\u00f6\u00dften Cyber Bedrohungen<\/a> f\u00fcr die IT-Sicherheit dar. Sie gilt als bevorzugtes Mittel, um Trojaner und Bots zu verbreiten oder mittels gef\u00e4lschter Webseiten, zum Beispiel durch das allgemeine Phishing oder das zielgerichteten Spear Phishing, sensible Daten wie Nutzernamen und dazu geh\u00f6rende Passw\u00f6rter, Bankdaten oder andere Informationen zu stehlen. Mit dem SMTP-Smuggling haben IT-Experten eine neue Sicherheitsl\u00fccke entdeckt, mit der sich viele der etablierten Schutzma\u00dfnahmen gegen eine falsche E-Mail umgehen lassen. Kritisch ist dabei vor allem, das die Nachricht nicht von Filtern erkannt und selbst bei einer genauen Inspektion der Header nicht sofort als F\u00e4lschung identifiziert werden kann.<\/strong><\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

<\/p>\n\n\n\n

Wie gehen Angreifer bei dem SMTP-Smuggling vor?<\/h3>\n\n\n\n

Das Simple Mail Transfer Protokoll (SMTP)<\/a> entstand bereits in den 1980er Jahren und wurde im Laufe der Zeit wiederholt an aktuelle Anforderungen der IT-Sicherheit angepasst, besitzt jedoch einige grundlegende Schw\u00e4chen. Bei dem SMTP-Smuggling machen sich Cyberkriminelle die Tatsache zunutze, dass bestimmte Zeichenfolgen von versendenden und empfangenden Servern unterschiedlich interpretiert werden. Das erm\u00f6glicht, von einer legitimen Verbindung weitere Befehle inklusive Absender, Nachrichten und Anh\u00e4nge einzuschleusen, die von einem E-Mail-Server ohne weitere \u00dcberpr\u00fcfung ausgef\u00fchrt werden. Dabei handelt es sich in der Regel um eine zweite E-Mail, die der Server separat ohne vorhergehende Authentifizierung versendet. So hebelt eine derartig manipulierte E-Mail auch nachtr\u00e4glich zur Sicherheit eingef\u00fchrte Verfahren wie DomainKeys Identified Mail (DKIM) und Domain-based Message Authentication, Reporting and Conformance (DMARC) aus. Sie \u00fcberpr\u00fcfen ausschlie\u00dflich den verantwortlichen und in diesem Fall korrekten Server.<\/p>\n\n\n\n

Welche Gefahren gehen von SMTP-Smuggling aus?<\/h3>\n\n\n\n

Bislang galten SKIM und DMARC als zuverl\u00e4ssige Werkzeuge, um eine gef\u00e4lschte E-Mail zu identifizieren und zu filtern, indem sie SMTP-Server einer Internetadresse \u00fcber das Domain Name System (DNS)<\/a> verifizieren. Nahezu alle gro\u00dfen Provider setzen diese Authentifizierung voraus, um Nachrichten \u00fcberhaupt zustellen zu k\u00f6nnen. Mit SMTP-Smuggling lassen sich diese H\u00fcrden allerdings umgehen, um den wahren Absender zu verschleiern und neben weiteren auch Spam-Filter zu \u00fcberwinden. Daraus ergibt sich eine Vielzahl von m\u00f6glichen Bedrohungen:<\/p>\n\n\n\n