Il termine “SMTP Smuggling” è stato coniato per descrivere un attacco che compromette la sicurezza dei server SMTP, il protocollo utilizzato per inviare e-mail. Ricercatori di SEC Consult hanno scoperto vulnerabilità zero-day nelle implementazioni di SMTP di vari fornitori, evidenziando una minaccia concreta che ha coinvolto i principali provider. Questo attacco ha consentito l’invio di e-mail falsificate da milioni di domini a milioni di server SMTP vulnerabili, bypassando i controlli SPF.
Le vulnerabilità individuate, sebbene corrette in alcuni casi, persistono in molti server SMTP in tutto il mondo. L’attacco si basa sulla differenza nella gestione della sequenza di fine dati nel protocollo SMTP, consentendo agli attaccanti di inviare comandi SMTP arbitrari e di estendere la loro azione oltre i dati del messaggio e-mail.
Questo comporta rischi significativi per la sicurezza, e molti provider, inclusi Microsoft e GMX, sono stati coinvolti nell’azione correttiva.Per proteggersi da tali minacce, è essenziale utilizzare meccanismi come SPF, DKIM e DMARC. SPF autentica il mittente verificando gli indirizzi IP autorizzati tramite record DNS, ma ha limitazioni nella verifica del campo “From” dell’header. DKIM firma i dati del messaggio, incluso l’header “From”, e può essere verificato dal destinatario tramite una chiave pubblica. DMARC allinea gli identificatori di SPF e DKIM, verificando la coerenza tra il dominio “From” e le firme DKIM e SPF.
L’attacco SMTP Smuggling sfrutta le differenze nelle implementazioni del protocollo SMTP, introducendo comportamenti anomali attraverso sequenze specifiche. Gli attaccanti possono inviare e-mail contraffatte da un dominio legittimo verso altri gestori di posta elettronica, dimostrando la vulnerabilità diffusa di molti provider Internet. La soluzione a questo problema, ad esempio nel caso di Cisco Secure E-mail, consiste nella corretta configurazione del software per gestire in modo sicuro i caratteri di ritorno a capo e i line feed.