SMTP (Basit Posta Aktarım Protokolü) kaçakçılığı, saldırganların proxy sunucuların veya güvenlik duvarlarının SMTP trafiğini analiz etme ve işleme biçimindeki tutarsızlıklardan yararlandığı bir tekniktir.
Tehdit aktörleri, bu tutarsızlıklardan yararlanarak kötü amaçlı yükleri kaçırabilir veya tespit edilmekten kurtulabilir.
Bu eksiksiz süreç, güvenlik sistemlerinin e-posta aktarım sürecini doğru şekilde teşhis etmesini zorlaştırarak potansiyel güvenlik açıklarına yol açar.
SEC Consult ile işbirliği içinde Timo Longin, SMTP kaçakçılığı adı verilen yeni bir SMTP istismar tekniğini açıkladı.
Küresel çapta savunmasız sunucular, herhangi bir adresten kötü amaçlı e-postalar gönderilerek kimlik avı saldırıları için kullanılabilir.
Bunun yanı sıra, birden fazla 0 günlük kusur bulundu ve satıcılar, 2023 sorumlu açıklamasıyla zaten bilgilendirildi.
Yeni SMTP Kaçakçılığı Saldırısı
SMTP protokolü yorumlama farklılıkları, SPF kontrollerinden geçerken sahte e-postalar göndererek SMTP kaçakçılığına olanak tanır.
İki tür SMTP kaçakçılığı keşfedildi ve bunlardan bahsettik: –
Bu, çeşitli etki alanlarından büyük SMTP sunucularına kimlik sahtekarlığı yapılmasına olanak tanır. Microsoft ve GMX güvenlik açıklarını düzeltti ancak SEC Consult, Cisco Güvenli E-posta kullanıcıları için manuel güncelleme yapılmasını öneriyor.
MUA (Posta kullanıcı aracısı), Outlook’un MTA’sına (Posta aktarım aracısı) TCP/587 aracılığıyla bağlanır. Bundan sonra bir dizi SMTP komutu gönderilir; Outlook SMTP izni değerlendirir ve ardından aşağıdakileri atlayarak alıcının SMTP sunucusuna TCP/25 aracılığıyla gelen bir e-posta gönderir: –
Gelen SMTP sunucuları, rastgele alan adı e-postalarını önlemek için SPF, DKIM ve DMARC’yi kullanarak gönderenin kimliğini doğrular. SPF, gönderenin IP izni için DNS kayıtlarına güvenir ve başarısızlık, iletmemeye veya spam işaretlemeye neden olur.
Ancak SPF, From başlığındaki isteğe bağlı değeri değil, yalnızca MAIL FROM alanını kontrol eder; bu da bir sınırlama oluşturur.
DKIM, alıcı tarafından DNS’deki bir genel anahtarla doğrulanan, Kimden başlığı da dahil olmak üzere mesaj verilerini imzalar.
Ancak anahtarın etki alanını zorlamaz. DMARC, “Kimden” alanının SPF ve/veya DKIM ile uyumlu olup olmadığını kontrol ederek tanımlayıcı hizalamasını sağlar.
Politika (p=), DMARC’de başarısız olan mesajların reddedilmesini belirtir ve yalnızca geçerli SPF veya DKIM ile kabul edilmesini sağlar.
Kullanılan e-posta sağlayıcıları
Aşağıda, kullanılan tüm e-posta sağlayıcılarından bahsettik: –
- görünüm.com
- gmail.com
- gmx.net
- icloud.com
- zoho.com
- fastmail.com
- runbox.com
- startmail.com
- posta kutusu.org
- aol.com
- yahoo.com
- web.de
Giden SMTP sunucularının analizi, Microsoft Outlook’un (outlook.com) sunucusunda bir anormallik olduğunu ortaya çıkardı. Gönderiliyor
- “550 5.6.11 SMTPSEND.Çıplak Hat BeslemeleriYasadışıdır; mesaj, DATA yoluyla gönderilemeyen ve alıcı sistem BDAT’yi desteklemeyen çıplak satır beslemeleri içeriyor”
GMX’in aksine Outlook filtreleme yapmaz
Giden sunucu temizliğinin ihmalkar olması nedeniyle, GMX ve Exchange Online’da SMTP kaçakçılığı mümkündür.
Güvenli olmayan gelen SMTP sunucularını araştıran bir tarayıcı, egzotik veri sonu dizileriyle izin verilebilirliği test ediyor. Burada zaman aşımı, sunucunun alışılmadık sırayı göz ardı ettiğini gösterir.
Araştırma, aşağıdaki gibi veri sonu dizilerini yorumlayan egzotik gelen SMTP sunucularını ortaya çıkardı:
Microsoft ve GMX’in hızlı yamalarına rağmen, varsayılan olarak yapılandırılmış Cisco Güvenli E-posta örneklerine gelen SMTP kaçakçılığı hala mümkün. Bu yapılandırmaların değiştirilmesi şiddetle tavsiye edilir.
Zaman çizelgesi
