Moin Leute,
wenn man selber Server Infrastruktur betreibt dann gibt es so Dinge die man über die Feiertage nicht wirklich braucht. Zum Beispiel eine Sicherheitslücke in verschiedensten SMTP Implementierungen und eine "responsible" Disclosure wo die Meldung zwar an Microsoft und Co. geht die Macher von Postfix etc.von der Sache erst kurz vor knapp erfahren, bevor die Lücke auf dem 37c3 präsentiert wird.
Keine Ahnung warum das von Sec Consult so gemacht wurde aber vielleicht gibt es ja einen paar Worte dazu beim Talk heute: https://events.ccc.de/congress/2023/…ails_worldwide/
Worum geht es bei der Attacke?
- Sie ermöglich Phishing und Social Engineering in der Form das es so aussieht als käme eine Mail von einem vertrauenswürdigen Host obwohl dem nicht so ist. DMARC, DKIM, SPF ausgehebelt dadurch das CR, LF Befehle falsch / anders interpretiert werden. Man schmuggelt im Endeffekt z.B. eine Phishing Mail innerhalb einer vetrauenswürdigen E-Mail.
Wer Einzelheiten braucht: https://sec-consult.com/blog/detail/sm…ails-worldwide/
Was bedeutet das nun: Wer selber einen E-Mail Server betreibt (so wie wir hier bei Kodinerds) sollte schauen ob der Macher des MTA (Postfix, Exim, Sendmail etc.) entweder eine aktuelle Programmversion anbietet oder zumindest Settings empfiehlt um das Problem so gut es geht abzuschwächen.
Wie gesagt ob die Form der responsible Disclosure hier so clever war weiss ich jetzt nicht. Die Postfix Entwickler waren jedoch nicht wirklich glücklich darüber erst kurz vor einem 10 tägigem Urlaub von der Lücke zu erfahren, wo andere wie Cisco, die sich offensicht einen scheiss darum kümmern (its not a bug ist a feature (sic)) , schon Monate vorher informiert waren.
Die Macher von Postfix habe nen guten Blogeintrag verfasst der auch die nötigen Settings für mehrere Postfix Versionen bereit stellt: https://www.postfix.org/smtp-smuggling.html
Postfix ist u.a. auch die Grundlage für den Docker Mailserver den wir hier verwenden.
Also bitte: Wer einen Mail Server betreibt: checked mal ob Ihr auch betroffen seit!