MoinQ:

1. smuggling G 翻訳の一部

SPF/gmx.net SPF/web.de SPF/ionos.com


図 18: 異なる受信者へのクロスドメイン SMTP 密輸

https://sec--consult-com.translate.goog/fileadmin/user_upload/sec-consult/Dynamisch/Blogartikel/2023_12/SMTP_Smuggling-SMTP_smuggling_WEB.DE_19_.png?_x_tr_sl=en&_x_tr_tl=ja&_x_tr_hl=en&_x_tr_pto=wapp


最初は GMX のみを分析しましたが、問題は当初考えられていたよりもはるかに悪化しています。 多くの大手電子メール プロバイダーと同様、GMX はNemesis SMTPdと呼ばれるカスタム SMTP サーバーを使用しています。 GMX はIonosの一部であるため、Ionos が提供する電子メール サービスも Nemesis SMTPd を使用しています。 1 と 1 を組み合わせることで、Ionos に電子メール ドメインを登録し、SMTP 密輸が機能するかどうかを確認します。

そしてそれはそうなります!ただし、カスタム電子メールドメインを介して密輸する必要さえないようです。 登録された電子メール ドメインの SPF レコードには「_spf-eu.ionos.com」が含まれ、 gmx.net の SPF レコードには「_spf.gmx.net」が含まれます。 許可されている IP 範囲を確認すると、「いくつかの」衝突が明らかになります。

gmx.netとweb.deだけでなく、Ionosでホストされている他の約100 万のドメインでもなりすましが可能になってしまいました


送信 Outlook SMTP サーバーは、 outlook.comによる電子メールに使用されるだけでなく、 Exchange Online 全体にも使用されるため、 電子メールの送信に Exchange Online を使用するすべてのドメインから電子メールを送信できるようになりました。


GMX と Exchange Online では、送信 SMTP サーバーでのサニタイズが不十分なため SMTP 密輸が許可されていますが、 安全でない受信 SMTP サーバーについてはどうなるのでしょうか? 最も制限の厳しい送信 SMTP サーバーでもそのようなシーケンスを通過させるような、 制限のないデータ終了シーケンスを許可する受信 SMTP サーバーがある場合はどうなるでしょうか?

この問題の真相を突き止めるには、電子メールを受信 SMTP サーバーに送信するスキャナを使用できますが、特殊なデータ終了シーケンスを使用します。受信 SMTP サーバーへの接続がタイムアウトになると、特殊なデータの終わりのシーケンスは無視されます。それ以外の場合は、おそらく何か興味深いものが見つかるでしょう。

2. history


CategoryDns CategoryWatch CategoryTemplate

MoinQ: SMTP/Smuggling/sec-consult/translation/密輸/2 (last edited 2023-12-29 03:24:52 by ToshinoriMaeno)