Un problema con la posta elettronica: SMTP Smuggling – falsificazione del mittente

SMTP Smuggling

SMTP Smuggling

Alcuni giorni fa SEC Consult ha pubblicato un attacco di spoofing di posta elettronica che coinvolge una composizione di servizi di posta elettronica con differenze specifiche nel modo in cui gestiscono le terminazioni di riga diverse da . (punto)

Dettagli
L’attacco coinvolge una COMPOSIZIONE di due servizi di posta elettronica con differenze specifiche nel modo in cui gestiscono le terminazioni di riga diverse da :

Un servizio di posta elettronica A che non riconosce le terminazioni di riga con formato errato in SMTP come in . in un messaggio di posta elettronica inviato da un utente malintenzionato autenticato a un destinatario presso il servizio di posta elettronica B e che propaga testualmente tali terminazioni di riga con formato errato quando inoltra il messaggio a:

Un diverso servizio di posta elettronica B che supporta terminazioni di riga non corrette in SMTP come in .. Quando questo è seguito da comandi SMTP MAIL/RCPT/DATA “contrabbandati” e dall’intestazione del messaggio più il testo del corpo, il servizio di posta elettronica B viene indotto con l’inganno a ricevere due messaggi di posta elettronica: un messaggio con il contenuto prima di . e un messaggio con l’intestazione “di contrabbando” più il testo del corpo dopo i comandi SMTP “di contrabbando”. Tutto questo quando il servizio di posta A invia un solo messaggio.

Postfix è un esempio del servizio di posta elettronica B. Outlook.com di Microsoft è stato un esempio del servizio di posta elettronica A.

Impatto
L’aggressore autenticato può utilizzare i comandi SMTP MAIL/RCPT/DATA “contrabbandati” e l’intestazione più il testo del corpo, per falsificare un messaggio di posta elettronica da qualsiasi indirizzo MAIL FROM il cui dominio è ospitato anche sul servizio di posta elettronica A, a qualsiasi indirizzo RCPT TO il cui dominio è ospitato anche presso il servizio di posta elettronica B.

Il messaggio di posta elettronica contraffatto supererà i controlli DMARC basati su SPF presso il servizio di posta elettronica B, perché il messaggio contraffatto ha un indirizzo MAIL FROM il cui dominio è ospitato presso il servizio di posta elettronica A e perché il messaggio è stato ricevuto da un indirizzo IP per il servizio di posta elettronica A.

FONTE: https://www.postfix.org/smtp-smuggling.html