SMTP-Fehler gefährdet SPF, DKIM und DMARC

Sicherheitsforscher von SEC Consult haben eine Schwachstelle im Simple Mail Transfer Protocol (SMTP) entdeckt, die das Fälschen von E-Mail-Absendern auf ein neues Niveau hebt. SMTP, das für die Zustellung von E-Mails im Internet verwendet wird, ist ein altes Protokoll, das bislang nicht grundlegend überarbeitet wurde.

Die Forscher konnten durch geringfügige Variationen in den Eingabedaten die Absender von E-Mails fälschen. Diese Technik, "SMTP smuggling" genannt, könnte existierende Sicherheitsmaßnahmen wie SPF, DKIM und DMARC überlisten, die normalerweise dazu dienen, gefälschte Absender zu erkennen.

Die Schwachstelle basiert auf Implementierungsschwächen, ähnlich wie bei Webservern, bei denen Backendserver zusätzliche Anfragen erhalten, die mit einer harmlos erscheinenden Anfrage an das Frontend gesendet werden. Die Forscher entdeckten, dass im SMTP-Dialog zwischen Servern eine ähnliche Methode verwendet werden kann, wobei die Server die für das Ende eines E-Mail-Datenteils vereinbarte Signatur (eine Zeile, die nur einen Punkt enthält) unterschiedlich behandeln. Dadurch können an eine legitime Nachricht eine zweite mit gefälschten Absenderadressen angehängt werden.

Die gefälschten E-Mails werden von den Servern oft als echt eingestuft, da sie scheinbar vom selben Server stammen. In Tests mit großen E-Mail-Providern konnten die Forscher verschiedene Methoden identifizieren, um diese Schwachstelle auszunutzen.

SEC Consult hat Ende Juli eine vertrauensvolle Offenlegung (responsible disclosure) bei Unternehmen wie Microsoft, Cisco und GMX vorgenommen. GMX reagierte innerhalb von zwei Wochen und behob das Problem auf seinen Servern. Microsoft benötigte über zwei Monate, um Exchange Online zu sichern