Neue Lücke in altem E-Mail-Protokoll: SMTP smuggling

Wenn heute E-Mails durchs Internet flutschen, ist ziemlich sicher das Simple Mail Transfer Protocol (SMTP) mit von der Partie. Die Mehrzahl der E-Mail-Clients und -Server verwenden es, um Nachrichten einzuliefern, sei es an lokale oder entfernte Empfänger. Für den Transport zuständige Server nutzen es untereinander. Das Protokoll ist steinalt und viele heutige lästige E-Mail-Probleme von Spam bis Phishing lassen sich darauf zurückführen, dass es niemals grundlegend überarbeitet worden ist.

Umso überraschender ist, dass erst im Juni Forscher von SEC Consult eine weitere unangenehme Eigenschaft entdeckt haben: Mit geringfügig variierten Eingabedaten gelang es ihnen, Mail-Absender zu fälschen und sich so zum Beispiel gegenüber Benutzern als Admin auszugeben. Das wäre keine News, wenn die von den Entdeckern genannte "SMTP smuggling" genannte Eigenschaft nicht sämtliche für die Absicherung erdachten Verfahren überrumpeln könnte. SPF, DKIM und DMARC, die mit Absichtserklärungen, Signaturen und Header-Prüfungen derlei erkennen sollten, versagen unter "idealen" Umständen.

Pate für die Angriffe standen Implementierungsschwächen von Webservern: Dort gelang es, Backendservern weitere Requests unterzuschieben, indem sie als Trittbrettfahrer mit einem unscheinbaren Request beim Frontend eingereicht wurden. Die Sicherheitsforscher von SEC Consult fanden heraus, dass etwas Ähnliches auch im SMTP-Dialog zwischen Servern gelingt, weil die eine für das Ende des Datenteils einer E-Mail vereinbarte Signatur unterschiedlich behandeln (eine Zeile, die nur einen Punkt enthält). So konnten sie an eine unverdächtige Nachricht eine zweite mit gefälschten Absenderadressen anhängen.

Als echt eingestuft, weil vom selben Server

Die Forscher untersuchten mit diesen Erkenntnissen das Verhalten der Server vieler großer E-Mail-Provider. Sie fanden dabei auch Variationen, mit denen sich die Schwäche ausnutzen lässt: Es kommt dabei auf die verwendeten Zeilenenden an, etwa nur Linefeed-Zeichen, Kombinationen mit Carriage Return oder eingestreute Nullzeichen. Da die gefälschte Mail aber vom jeweiligen Server selbst kommt, bestätigen die eigentlich gegen Fälschungen erfundenen Techniken wie SPF, DKIM und DMARC unter Umständen sogar noch deren vermeintliche Echtheit.

Im Rahmen einer vertrauensvollen Offenlegung (responsible disclosure) haben die Forscher von SEC Consult ihre Entdeckung Ende Juli mit Microsoft, Cisco und GMX geteilt. GMX hat rund zwei Wochen später reagiert und das Problem auf seinen Servern abgestellt. Microsoft brauchte mehr als zwei Monate, um auf Exchange Online (Hotmail et cetera) die Manipulationsmöglichkeit zu schließen. Das Cisco Secure Email Gateway, das vielfach zum Einsatz kommt, lässt sich laut den Sicherheitsforschern bis heute nur durch manuelle Eingriffe gegen die Schmuggelattacke härten.

Durch ein Missverständnis in der Abstimmung mit dem CERT Koordinierungscenter (CERT/CC), berichtet SEC Consult es, überrumpelte man freie Projekte wie Postfix mit der Offenlegung der Entdeckung im Blog kurz vor Weihnachten. Dort gibt es zwischenzeitlich aber Hinweise, die Betreiber von Mail-Servern umsetzen können. Der Entdecker nutzte den diesjährigen Chaos Communication Congress (37C3), um sich bei den Postfix-Maintainern zu entschuldigen und seine Entdeckung zu erklären.

Beim Mailsever Postfix gibt es Informationen zu einem Workaround und zu den Patches.

(tiw)