几天前, SEC Consult 研究人员透露,通过博客文章,有关的信息 一种称为 SMTP 走私的新攻击技术, 这可以允许发送绕过身份验证机制的虚假电子邮件。
上面提到了攻击技术 针对 SMTP 协议,其中攻击者可以滥用传出和传入 SMTP 服务器解释指示邮件数据结束的序列的方式差异。
关于 SMTP 走私
SMTP 走私是一种新技术 允许在 SMTP 服务器传输时将一条消息分割成多个不同的消息 原始到另一个 SMTP 服务器,该服务器以不同的方式解释序列以区分通过连接传输的字母。
埃斯托 允许将 SMTP 命令注入电子邮件消息中 使接收服务器将它们视为两个单独的消息,其中一个具有一些标头:“To:recipient@domain.com”,“From:sender@domain.com”,“Subject:示例主题”,随后通过消息的实际正文。
此外,由于主邮件信封成功通过了 SPF、DKIM 和 DMARC 等安全检查,因此伪造的邮件会在没有警告的情况下传递到收件箱。
“SMTP 走私是一种新颖的电子邮件欺骗技术,允许攻击者使用虚假发件人地址(例如 ceo@microsoft.com)发送电子邮件来冒充其他人,”Longin 告诉 Dark Reading。 “电子邮件基础设施通常会采取一些缓解措施来限制此类攻击,但采用新方法,将会发送欺骗性电子邮件。”
这种新的攻击称为 SMTP 走私, 它是由蒂莫·朗金设计的,SEC Consult 的高级安全顾问。浪琴 借用了主要概念 另一类攻击称为 HTTP 请求走私, 攻击者欺骗前端负载均衡器或反向代理将特制的请求转发到后端应用程序服务器,最终服务器的后端将其作为两个单独的请求而不是一个请求进行处理。
基于此,SMTP走私 利用 SMTP 服务器以不同方式解释数据流结尾的事实,这可能会导致 SMTP 服务器上的同一会话中的一封信被分成几封。
这个顺序 可以跟随命令发送另一条消息而不中断连接。 一些 SMTP 服务器严格遵循规定,但其他服务器则确保与一些不常见的电子邮件客户端的兼容性。
该攻击归结为这样一个事实:一封信被发送到第一个服务器,该服务器仅处理分隔符“\r\n.\r\n”,在其正文中有一个替代分隔符,例如“\ r.\r »,后跟发送第二条消息的命令。由于第一个服务器严格遵循规范,因此它将接收到的字符串作为单个字母进行处理。
如果随后将信件发送到也接受序列“\r.\r”作为分隔符的中转服务器或收件人服务器,则它将被视为单独发送的两个信件(第二个信件可以代表一个邮件发送)。用户未通过“AUTH LOGIN”进行身份验证,但在收件人方面显示正确)。
有人提到 该问题在最新版本的Postfix中已经得到解决 其中配置 «smtpd_forbid_unauth_pipelined”,如果分隔符不符合 RFC 2920 和 RFC 5321,这会导致连接失败。默认情况下禁用此设置,但他们计划在 Postfix 3.9 分支中默认启用它,预计在 2024 年。
另外还增加了配置 smtpd_forbid_bare_newline, 默认情况下禁用,禁止使用换行符(“\n”)来分隔行而不用回车。还添加了参数 smtpd_forbid_bare_newline_exclusions,它允许您禁用对本地网络上客户端的“\n”支持的限制。
在Sendmail方面,它提供了一个'or'选项来防止srv_features中的攻击,它只允许处理序列“\r\n.\r\n”。
最后 如果您有兴趣了解更多有关它的信息,您可以查看详细信息 在下面的链接.