Kurz vor Weihnachten lieferte SEC Consult eine böse Bescherung an alle SMTP-Server-Entwickler weltweit:
Einige Details des SMTP-Protokolls werden von verschiedenen SMTP-Softwarepaketen nicht korrekt umgesetzt bzw. im Falle des Postfix werden solche Verstöße aus Kompatibilitätsgründen per Default akzeptiert.
Einem Angreifer ist es hiermit möglich, im Rahmen einer SMTP-Session zusätzliche Mails zu verschicken, bei denen die Envelope-From- und Header-From-Mailadressen gefälscht sein können, ohne dass der SPF-Check und damit der DMARC-Check dies bemerken. So übermittelte Phishing-Mails könnten dadurch etwas glaubhafter aussehen.
Details hierzu sind hier zu finden:
- www.postfix.org/smtp-smuggling.html
- sec-consult.com/blog/detail/smtp-smuggling-spoofing-e-mails-worldwide
Da hier leider die Gefahr besteht, auch gute Mails abzulehnen, schalten wir die empfohlene Mitigation nicht per Default scharf, sondern nur explizit auf Wunsch. Bitte wenden Sie sich hierfür an unsere Hotline.
Update 2.1.2024:
Wir haben seit heute die mit dem long-term fix versehene postfix-Version 3.5.23 im Einsatz, die Smugglingversuche erkennt und ablehnt.