Hva er SMTP-smugling?

Nettsikkerhet er et dynamisk landskap der gamle trusler utvikler seg og nye trusler oppstår. Trusler som SMTP-smugling er en alvorlig påminnelse om hvor viktig det er å holde seg oppdatert om nettsikkerhetstrusler og metoder for å beskytte seg mot dataangrep. Men hva er egentlig SMTP-smugling, og hvordan fungerer det?

Hva er SMTP?

Simple Mail Transfer Protocol (SMTP) er en TCP/IP-nettverksprotokoll som er involvert i sendingen av e-poster mellom ulike datamaskiner og tjenere. Denne protokollen er så utbredt at blant annet Gmail, Outlook, Yahoo og Apple er blant e-postklientene som bruker den.

Så – nøyaktig hva er SMTP i e-post? Etter at en e-post er skrevet i en klient som Microsoft Outlook, blir den levert til en SMTP-tjener, som ser på mottakerens domene for å finne riktig e-posttjener å levere e-posten til. Hvis denne prosessen foregår uten problemer, behandler SMTP-tjeneren på mottakerens domene e-posten, og leverer enten meldingen eller bruker SMTP for å videresende den via et annet nettverk før levering.

En viktig ting å merke seg med SMTP er at den historisk sett har hatt begrenset mulighet til autentisering. Dermed ble e-postforfalskning en alvorlig trussel. Angriperne kunne bare velge riktig verktøy – for eksempel andre e-postklienter, skript eller verktøy – der de hadde muligheten til å velge avsendernavn. Så utførte de målrettede angrep med e-poster der de utga seg for å være en pålitelig avsender, og overbeviste mottakeren om å gjøre en bestemt handling, som å klikke på koblinger til nettfisking eller laste ned filer som var infisert med skadelig programvare.

Flere sikkerhetssystemer ble utviklet for å utbedre denne iboende sårbarheten (CVE-2023-51766), inkludert:

• Sender Policy Framework (SPF): Dette bruker DNS-poster for å markere for mottakertjenerne hvilke IP-adresser som er autorisert til å sende e-poster fra et bestemt domene.
• Domain Key Identified Mail (DKIM): Denne metoden bruker en privat nøkkel som er lagret på avsenderens tjener til å signere utgående e-poster digitalt. Dermed kan mottakertjeneren bekrefte avsenderen med den den offentlige nøkkelen til avsendertjeneren.
• Domain-based Message Authentication, Reporting, and Conformance (DMARC): Denne protokollen bekrefter avsenderdomenet til e-posten i "Fra"-feltet mot SPF og/eller DKIM. Hvis det ikke er samsvar mellom disse, er DMARC-kontrollen ikke bestått. Denne protokollen er imidlertid ikke mye brukt.

Hva er en SMTP-tjener?

• Mail Submission Agent (MSA): Mottar meldinger fra e-postklienten
• Mail Transfer Agent (MTA): Overfører e-poster til den neste tjeneren når det er aktuelt. På dette tidspunktet kan tjeneren opprette en DNS-forespørsel om mottakerdomenets DNS-post for utveksling av e-post, «mail exchange» (MX)
• Mail delivery agent (MDA): Mottar e-post for lagring i mottakerens innboks

Hva er SMTP-smugling?

SMTP-smugling er nettangrep som forfalsker e-postadresser slik at meldingene ser ut som om de er sendt fra legitime kilder. Hensikten med disse nettangrepene er å utføre en form for nettfisking og oppfordre mottakeren til å foreta en handling som å klikke på skadelige koblinger, åpne infiserte vedlegg eller til og med sende sensitiv informasjon eller penger.

Disse angrepene utnytter forskjellene mellom hvordan tjenerne for utgående og innkommende e-post behandler kodesekvenser på slutten av datasekvenser. Målet er å lure mottakerens tjener til å feiltolke slutten av en melding ved å bruke «smuglede» SMTP-kommandoer slik at e-posten ser ut som to separate meldinger.

Hvordan fungerer SMTP-smugling?

For å gjennomføre angrepene «smugler» nettkriminelle tvetydige SMTP-kommandoer for å svekke kommunikasjonen mellom e-posttjenerne. Dette er inspirert av måten angrep med smugling via HTTP-forespørsler fungerer på. Nærmere bestemt markerer SMTP-tjenere tradisjonelt slutten av dataene i en melding med koden <CR><LF>.<CR><LF> eller \r\n.\r\n. Disse står for henholdsvis “Carriage Return” og “Line Feed” og er standard tekstskilletegn.

Ved å endre denne kodesekvensen kan angriperne endre tjenerens oppfatning av hvor dataene i meldingen slutter. Hvis de kan fortelle den utgående tjeneren at meldingen slutter på ett sted mens de forteller den inngående tjeneren at meldingen slutter senere, skapes det en lomme for smugling av ekstra data.

Slike forfalskede e-poster er vanligvis en del av målrettede nettfiskingsangrep. Bedrifter er spesielt sårbare for SMTP-smugling fordi det kan være enklere å forfalske domenene deres og bruke sosial manipulasjon til å lage nettfiskings-e-poster eller planlegge spydfiskingsangrep.

Hvordan kan du unngå e-poster med SMTP-smugling?

1. Kjør regelmessige sikkerhetssjekker av organisasjonens infrastruktur for å overvåke mulige angrepsvektorer og sårbarheter.
2. Kontroller programvaren som brukes til e-postruting. Hvis programvaren er kjent for å være sårbar, bør du oppdatere til den nyeste versjonen og bruke innstillinger som spesifikt avviser uautorisert trafikk.
3. Brukere av Ciscos e-postprodukter rådes til å oppdatere standardkonfigurasjonen for håndtering av CR- og LF-koder manuelt til å tillate CR- og LF-kodene i stedet for å fjerne dem. Da tolker og leverer tjeneren bare e-poster med sekvenskoden <CR><LF>.<CR><LF> på slutten av datasekvensen.
4. Ikke tillat <LF> uten <CR> i kode.
5. Koble fra eksterne SMTP-klienter som sender enkeltstående nye linjer.
6. Iverksett regelmessig sikkerhetsopplæring for ansatte. Dette kan omfatte for eksempel å bekrefte en avsenders e-postadresse før de gjør noe mer.

Hvordan ser SMTP-forfalskning av e-post ut?

For å være på vakt overfor trusselen ved SMTP-smugling kan det være nyttig å vite hvordan en forfalsket e-post kan se ut. En forfalsket e-post kan ha flere ulike varianter:

1. Forfalskning av legitime domener: Dette er simpelthen forfalskning av en bedrifts domene ved å skrive det i «Fra»-feltet i e-posten. Det er dette autentiseringsmetodene SPF, DKM, og DMARC prøver å fange opp. Bedrifter bør konfigurere e-postautentiseringen på riktig måte slik at det blir vanskeligere for angripere å forfalske domenet deres.
2. Forfalskning av visningsnavn: I slike tilfeller er avsenderens navn, som vises foran e-postadressen i «Fra»-feltet, forfalsket. Ofte brukes det virkelige navnet til en ansatt i bedriften. De fleste e-postklienter skjuler automatisk avsenderens e-postadresse og viser bare visningsnavnet. Derfor bør brukere kontrollere adressen hvis en e-post ser mistenkelig ut. Det finnes flere typer av slik forfalskning, inkludert navneforfalskning («ghost spoofing») og annonseforfalskning. Kaspersky Secure Mail Gateway (KSMG) tilbyr kraftig beskyttelse mot annonseforfalskningsangrep ved å bekrefte at avsenderen er ekte og sikre at meldinger overholder etablerte autentiseringsstandarder for e-post.
3. Forfalskning ved etterligning av domener: Dette er en mer komplisert metode som krever at angriperen registrerer et domene som ligner på domenet til målorganisasjonen, og konfigurerer e-post, DKIM/SPF-signaturer og DMARC-autentisering. Det finnes som nevnt flere ulike typer av denne formen for forfalskning, inkludert primær etterligning (for eksempel en stavefeil i domenenavnet til en legitim bedrift) og Unicode-forfalskning (å bytte ut et ASCII-tegn i domenenavnet med et Unicode-tegn som ligner). KSMG kan hjelpe organisasjoner med å forsvare seg mot forfalskningsangrep ved etterligning av domener ved å bekrefte identiteten til avsendere og redusere risikoen for falske e-poster.

Relaterte artikler og lenker:

• Hva er e-postforfalskning – Definisjon og forklaring
• Hva er spydphishing?
• Phishing-e-post: Slik gjenkjenner og unngår du en phishing-e-post

Relaterte produkter og tjenester:

• Kaspersky Plus
• Kaspersky Premium – Produktdetaljer
• Last ned Kaspersky Antivirus Premium gratis prøveperiode
• Kaspersky Endpoint Security Cloud