Gå til hovedindhold

Hvad er SMTP-smugling?

Billede, der viser, hvordan SMTP-protokollen fungerer i et computernetværk.

Cybersikkerhed er et dynamisk landskab, hvor gamle trusler udvikler sig, og nye dukker op. En trussel som SMTP-smugling er en skarp påmindelse om vigtigheden af at holde sig opdateret om cybersikkerhedstrusler og metoder til at forsvare sig mod cyberangreb. Men hvad er SMTP-smugling egentlig, og hvordan fungerer det?

Hvad er SMTP?

Simple Mail Transfer Protocol (SMTP) er en TCP/IP-netværksprotokol, der gør det muligt at sende e-mails mellem forskellige computere og servere. Brugen af denne protokol er så udbredt, at SMTP-e-mailklienter omfatter Gmail, Outlook, Yahoo og Apple.

Så hvad er SMTP helt præcist ifm. e-mail? Når en mail er skrevet i f.eks. Microsoft Outlook, bliver den leveret til en SMTP-server, som kigger på modtagerens domæne for at finde den rette mailserver at levere mailen til. Hvis processen kører problemfrit, behandler SMTP-serveren på modtagerens domæne e-mailen og leverer enten meddelelsen eller bruger SMTP til at videresende den gennem et andet netværk før levering.

Det er vigtigt at bemærke om SMTP er, at dens evne til at autentificere historisk set har været begrænset. Spoofing af e-mails blev derfor et alvorligt problem. Angriberne kunne blot vælge det rigtige værktøj – det kunne være en anden mailklient, et script eller et værktøj – som gav dem mulighed for at vælge en afsenders navn. Derefter begår de målrettede angreb med e-mails, der udgiver sig for at være en pålidelig afsender og overbeviser dem om at foretage en bestemt handling, som f.eks. at klikke på phishing-links eller downloade filer, der er inficeret med malware.

Der blev udviklet adskillige sikkerhedsrettelser til at rette denne iboende sårbarhed (CVE-2023-51766), herunder:

  • Ramme for afsenderpolitik (SPF): Dette anvender DNS-poster til at angive over for den modtagende mailserver, hvilke IP-adresser der har tilladelse til at sende e-mails fra et bestemt domæne.
  • DKIM (DomainKeys Identified Mail): Denne metode bruger en privat nøgle, der er gemt på afsenderens server, til at underskrive udgående e-mails digitalt, så modtagerserverne kan validere afsendere med afsenderserverens offentlige nøgle.
  • Domain-based Message Authentication, Reporting, and Conformance (DMARC): Denne protokol kontrollerer e-mailens afsenderdomæne i sidehovedet "From" i forhold til SPF og/eller DKIM. Hvis der er uoverensstemmelse, mislykkes DMARC-tjekket. Denne protokol er dog ikke almindeligt anvendt.

Hvad er en SMTP-server?

En SMTP-server i computernetværk er en e-mailserver, der kan sende og modtage e-mails ved hjælp af SMTP-protokollen. Generelt bruger disse servere TCP på port 25 eller 587 – numrene fortæller serveren, hvilke specifikke processer der skal anvende meddelelser. E-mailklienter opretter direkte forbindelse til e-mailudbyderens SMTP-server for at sende en e-mail. Flere forskellige softwareprogrammer kører på en SMTP-server:

  • Mail Submission Agent (MSA): Modtager meddelelser fra e-mailklienten
  • Mail Transfer Agent (MTA): Overfører e-mails til den næste server efter behov. På dette tidspunkt kan serveren starte en DNS-forespørgsel efter modtagerdomænets mail exchange (MX) DNS-post
  • Mail delivery agent (MDA): Modtager e-mails til opbevaring i modtagerens indbakke

Hvad er SMTP-smugling?

SMTP-smugling refererer til cyberangreb, der forfalsker e-mailadresser, så deres meddelelser ser ud til at være sendt fra legitime kilder. Det ultimative mål med disse cyberangreb er at udføre en form for phishing og opfordre målet til at reagere ved f.eks. at klikke på skadelige links, åbne inficerede vedhæftede filer eller endda sende følsomme oplysninger eller penge.

Disse angreb udnytter forskellene mellem, hvordan servere til udgående og indgående e-mails behandler end-of-data-kodesekvenser. Målet er at narre modtagerens server til en anden fortolkning af slutningen af en meddelelse ved hjælp af "smuglede" SMTP-kommandoer, så e-mailen fremstår som to separate meddelelser.

Hvordan fungerer SMTP-smugling?

For at udføre angrebene "smugler" cyberkriminelle tvetydige SMTP-kommandoer for at kompromittere integriteten af e-mailserverens kommunikation. Dette er inspireret af, hvordan angreb med smugling af HTTP-anmodninger fungerer. Mere specifikt angiver SMTP-servere traditionelt slutningen på meddelelsens data med koden <CR><LF>.<CR><LF> eller \r\n.\r\n. Disse står for henholdsvis "Carriage Return" og "Line Feed" og er standard tekstafgrænsere.

Ved at ændre denne kodesekvens kan angribere ændre serverens forståelse af, hvor meddelelsens data slutter. Hvis de kan informere den udgående server om, at meddelelsen slutter på ét tidspunkt, mens de fortæller den indgående server, at meddelelsen slutter senere, skaber det en åbning til at smugle ekstra data.

Normalt er disse falske e-mails en del af målrettede phishingangreb. Virksomheder er særligt sårbare over for SMTP-smugling, fordi det kan være lettere at forfalske deres domæner og bruge social engineering til at skabe phishingmails eller spear-phishing-angreb.

Sådan undgår du SMTP-smuglermails

Selvom producenterne af de mest populære og velkendte e-mailservere Postfix, Exim og Sendmail har udgivet rettelser og andre løsninger til at modvirke smugling, kan man tage flere andre skridt for at forsøge at minimere truslen:

  1. Kør regelmæssige sikkerhedstjek i organisationens infrastruktur for at overvåge mulige angrebsvektorer og sårbarheder.
  2. Tjek den e-mail-routingsoftware, der bruges. Hvis softwaren er kendt for at være sårbar, skal du opdatere den til den nyeste version og bruge indstillinger, der specifikt afviser uautoriseret pipelining.
  3. Brugere af Ciscos e-mailprodukter rådes til manuelt at opdatere deres standardkonfiguration for "CR and LF Handling" til "Tillad" i stedet for "Rens", så serveren kun fortolker og leverer e-mails med <CR><LF>.<CR><LF> som end-of-data-sekvenskode.
  4. Tillad ikke <LF> uden <CR> i koden.
  5. Afbryd forbindelsen til SMTP-fjernklienter, der sender bare linjeskift.
  6. Gennemfør regelmæssig træning i bevidsthed om sikkerhed for medarbejderne, som f.eks. kan omfatte bekræftelse af en afsenders e-mailadresse, før der foretages yderligere handlinger.

Hvordan ser spoofing af SMTP-e-mails ud?

Det er nyttigt at vide, hvordan en falsk e-mail kan se ud for at være opmærksom på truslen om SMTP-smugling. En falsk e-mail kan se ud på flere måder:

  1. Legitim domæne-spoofing: Dette er simpelthen spoofing af en virksomheds domæne ved at indsætte det i afsenders e-mailadresse. Det er det, som godkendelsesmetoderne SPF, DKM og DMARC forsøger at fange. Virksomheder bør konfigurere deres mailgodkendelse korrekt for at minimere angribernes mulighed for at spoofe deres domæner.
  2. Spoofing af visningsnavn (DNS): I dette tilfælde forfalskes afsenderens navn, der vises før e-mailadressen i linjen "Fra", ofte ved hjælp af det rigtige navn på en virksomheds medarbejder. De fleste e-mailklienter skjuler automatisk afsenderens e-mailadresse og viser blot visningsnavnet, og derfor bør brugerne kontrollere adressen, hvis e-mailen virker mistænkelig. Der er flere former for dette, herunder Ghost Spoofing og AD Spoofing. Kaspersky Secure Mail Gateway (KSMG) yder en stærk beskyttelse mod AD-spoofing-angreb ved at bekræfte afsenderens ægthed og sikre, at meddelelser overholder etablerede standarder for godkendelse af e-mails.
  3. Spoofing af lookalike-domæne: Denne mere komplicerede metode kræver, at angriberen registrerer et domæne, der ligner målorganisationens, og opretter e-mails, DKIM/SPF-signaturer og DMARC-godkendelse. Igen er der flere typer af denne form for spoofing, herunder Primary Lookalike (for eksempel en forkert stavning af et legitimt virksomhedsdomæne) og Unicode Spoofing (udskiftning af et ASCII-tegn i domænenavnet med et lignende tegn fra Unicode). KSMG kan hjælpe organisationer med at forsvare sig mod lookalike-domæne-spoofingangreb ved at bekræfte afsenderidentiteter og mindske risikoen for bedrageriske e-mails.

Kaspersky Endpoint Security modtog forbrugerprisen “Product of the Year Award” fra AV Comparatives https://www.av-comparatives.org/tests/summary-report-2023/.

Relaterede artikler og links:

Relaterede produkter og tjenester:

Hvad er SMTP-smugling?

SMTP-smugling er en cybersikkerhedstrussel, der er dukket op i de seneste måneder. Find ud af, hvilken type trussel, der er tale om, hvordan den fungerer, og hvordan du kan minimere risikoen.
Kaspersky logo

Relaterede artikler