Passa al contenuto principale

Cos'è il contrabbando di SMTP?

Immagine che mostra il funzionamento di SMTP in una rete di computer.

La cybersecurity è un panorama dinamico in cui vecchie minacce si evolvono e nuove minacce emergono di continuo: in tale contesto il contrabbando di SMTP rappresenta un duro promemoria dell'importanza di rimanere aggiornati sulle minacce e sui modi per difendersi. Ma cos'è esattamente il contrabbando di SMTP e come funziona?

Cos'è SMTP?

Simple Mail Transfer Protocol (SMTP) è un protocollo di rete TCP/IP per la trasmissione di e-mail tra diversi computer e server. La diffusione tra i client e-mail è garantita da nomi come Gmail, Outlook, Yahoo e Apple.

Quindi, cos'è esattamente il protocollo SMTP? Dopo che un'e-mail è stata scritta in un client come Microsoft Outlook, viene indirizzata a un server SMTP che esamina il dominio del destinatario per trovare il server appropriato a cui recapitarla. Se il processo non incontra problemi, il server SMTP nel dominio del destinatario elabora l'e-mail e consegna il messaggio o, in alternativa, usa il protocollo SMTP per inoltrare il messaggio attraverso un'altra rete.

Un aspetto importante di SMTP da tenere presente è la sua limitata capacità di autenticazione. Tale limitazione ha fatto sì che lo spoofing delle e-mail diventasse un problema serio. Gli autori degli attacchi possono semplicemente scegliere lo strumento adeguato (ad esempio un altro client di posta, uno script o un'utilità) che consenta loro di scegliere il nome di un mittente e sferrare attacchi mirati tramite e-mail per impersonare un mittente attendibile e convincerlo a compiere un'azione specifica, come fare clic su un link di phishing o scaricare file infetti da malware.

Diverse misure di sicurezza sono state approntate per correggere questa vulnerabilità intrinseca (CVE-2023-51766), tra cui:

  • Sender Policy Framework (SPF): usa record DNS per indicare ai server e-mail riceventi quali indirizzi IP sono autorizzati a inviare e-mail da uno specifico dominio.
  • Domain Key Identified Mail (DKIM): usa una chiave privata memorizzata sul server del mittente per firmare digitalmente le e-mail in uscita, consentendo ai server dei destinatari di convalidare i mittenti con la chiave pubblica del server di invio.
  • Autenticazione, segnalazione e conformità dei messaggi basata sul dominio (DMARC): questo protocollo verifica il dominio di invio dell'e-mail nell'intestazione "Da" rispetto a SPF e/o DKIM. In caso di mancata corrispondenza, il controllo DMARC ha esito negativo. Tuttavia, non è un protocollo di uso comune.

Cos'è un server SMTP?

Un server SMTP è un server e-mail in grado di inviare e ricevere e-mail tramite il protocollo SMTP. In genere questi server usano TCP sulla porta 25 o 587: i numeri indicano al server quali processi specifici usare con i messaggi. I client e-mail si collegano direttamente al server SMTP del provider e-mail per inviare un'e-mail. Su un server SMTP vengono eseguiti diversi programmi software:

  • Mail Submission Agent (MSA): riceve messaggi dal client e-mail
  • Mail Transfer Agent (MTA): trasferisce le e-mail al server successivo, secondo le esigenze. Il server poi potrà avviare una query DNS per il record DNS di scambio di posta (MX) del dominio del destinatario
  • Agente di recapito della posta (MDA): riceve le e-mail per l'archiviazione nella posta in arrivo del destinatario

Cos'è il contrabbando di SMTP?

Il contrabbando di SMTP è un tipo di cyberattacco che falsifica gli indirizzi e-mail in modo da truccare messaggi dannosi come provenienti da fonti legittime. L'obiettivo finale di questi cyberattacchi è eseguire una forma di phishing e incoraggiare la vittima a compiere azioni come fare clic su link dannosi, aprire allegati infetti o addirittura inviare informazioni sensibili o denaro.

Questi attacchi sfruttano le differenze tra il modo in cui i server e-mail in uscita e in ingresso elaborano le sequenze di codice di fine dati. L'obiettivo è ingannare il server del destinatario inducendolo a interpretare diversamente la fine di un messaggio a causa di comandi SMTP "contrabbandati" in modo che l'e-mail appaia come due messaggi separati.

Come funziona il contrabbando di SMTP?

Per portare a termine gli attacchi, i cybercriminali "contrabbandano" comandi SMTP ambigui per compromettere l’integrità delle comunicazioni del server e-mail, ispirandosi in questo agli attacchi di contrabbando di richieste HTTP. Più specificamente, i server SMTP indicano tradizionalmente la fine dei dati del messaggio con il codice <CR><LF>.<CR><LF> oppure con \r\n.\r\n. Questi codici sono delimitatori di testo standard e indicano, rispettivamente, "Carriage Return" e "Line Feed" (ritorno a capo e fine riga).

Modificando questa sequenza, gli autori degli attacchi possono alterare la comprensione della porzione terminale del messaggio da parte del server. Riuscendo a comunicare al server in uscita che il messaggio termina in un punto e a quello in entrata che il messaggio termina in un punto successivo, si crea uno spazio "di contrabbando" in cui inserire dati extra.

Queste e-mail contraffatte fanno parte in genere di attacchi di phishing mirati. Le aziende sono particolarmente vulnerabili al contrabbando di SMTP poiché può esporre più facilmente i loro domini a falsificazione e nel farlo usa tecniche di social engineering per creare e-mail di phishing o attacchi di spear-phishing.

Come evitare il contrabbando di SMTP

I produttori dei server e-mail più popolari e noti come Postfix, Exim e Sendmail hanno creato apposite soluzioni di difesa, ed è sempre possibile ridurre al minimo la minaccia adottando varie contromisure:

  1. Eseguire controlli di sicurezza regolari all’interno dell’infrastruttura per monitorare possibili vettori di attacco e vulnerabilità.
  2. Controllare il software di routing e-mail in uso: se è notoriamente vulnerabile, aggiornarlo all'ultima versione e configurarlo in modo che rifiuti specificamente il pipelining non autorizzato.
  3. Si consiglia agli utenti dei prodotti e-mail Cisco di aggiornare manualmente la configurazione predefinita per "Gestione CR e LF" su "Consenti", anziché su "Pulisci", in modo che il server interpreti e invii solo e-mail contenenti i codici <CR><LF>.<CR><LF> nella sequenza di fine dati.
  4. Non consentire <LF> a meno che anche <CR> sia presente.
  5. Disconnettere i client SMTP remoti che inviano nuove righe vuote.
  6. Organizzare formazione periodica sulla sicurezza tra i dipendenti, includendo, ad esempio, pratiche di verifica dell'indirizzo e-mail del mittente.

Come si manifesta lo spoofing delle e-mail SMTP?

Per essere consapevoli della minaccia del contrabbando di SMTP, è utile sapere che aspetto abbia un'e-mail contraffatta. Un'e-mail contraffatta può assumere diverse forme:

  1. Spoofing di dominio legittimo: si tratta semplicemente di falsificare il dominio di un'azienda inserendolo nell'intestazione "Da" delle e-mail. Questo è il metodo contrastato dalle soluzioni di autenticazione SPF, DKM e DMARC. Le aziende dovrebbero configurare in modo appropriato l'autenticazione e-mail per ridurre al minimo la capacità degli autori degli attacchi di falsificare i loro domini.
  2. Falsificazione del nome visualizzato: il nome del mittente, visualizzato prima dell'indirizzo e-mail nell'intestazione "Da", viene falsificato, spesso usando il nome reale di un dipendente. La maggior parte dei client e-mail nasconde automaticamente l'indirizzo e-mail del mittente e mostra semplicemente il nome visualizzato, motivo per cui gli utenti dovrebbero sempre controllare l'indirizzo in caso di dubbio. Esistono diverse forme di questo fenomeno, tra cui il Ghost Spoofing e l'AD Spoofing. Kaspersky Secure Mail Gateway (KSMG) offre una potente protezione contro l'AD Spoofing verificando l'autenticità del mittente e garantendo che i messaggi siano conformi agli standard di autenticazione e-mail stabiliti.
  3. Spoofing di domini simili: questo metodo è più complicato e richiede all'autore dell'attacco di registrare un dominio simile a quello dell'organizzazione presa di mira e di impostare tutta l'infrastruttura di e-mail, firme DKIM/SPF e autenticazione DMARC. Anche questa forma di spoofing si estrinseca in vari metodi, come il Primary Lookalike (cioè introducendo un errore di ortografia in un dominio aziendale legittimo) e l'Unicode Spoofing (cioè la sostituzione di un carattere ASCII nel nome di dominio con un carattere Unicode simile nell'aspetto). KSMG può aiutare le organizzazioni a difendersi dagli attacchi di spoofing di domini simili verificando l'identità del mittente e riducendo il rischio di e-mail ingannevoli.

Kaspersky Endpoint Security ha ricevuto il premio Consumer "Product of the Year" da AV Comparatives https://www.av-comparatives.org/tests/summary-report-2023/.

Articoli e collegamenti correlati:

Prodotti e servizi correlati:

Cos'è il contrabbando di SMTP?

Il contrabbando di SMTP è una minaccia alla cybersecurity entrata in scena da pochi mesi. Scopri i dettagli di questa minaccia, come funziona e come ridurne al minimo i rischi.
Kaspersky logo

Articoli correlati: