Siirry pääsisältöön

Mitä on SMTP-salakuljetus?

Kuva, jossa näytetään, kuinka SMTP toimii tietokoneverkossa.

Kyberturvallisuus on dynaaminen maailma, jossa vanhat uhat kehittyvät ja uusia uhkia nousee esiin. SMTP-salakuljetuksen kaltainen uhka on vakava muistutus siitä, kuinka tärkeää on pysyä ajan tasalla kyberturvallisuusuhista ja kyberhyökkäyksiä vastaan suojautumisen tavoista. Mitä SMTP-salakuljetus tarkkaan ottaen on ja miten se toimii?

Mikä SMTP on?

Simple Mail Transfer Protocol (SMTP) on TCP/IP-verkon protokolla, joka mahdollistaa sähköpostien lähettämisen tietokoneiden ja palvelinten välillä. Tätä protokollaa käytetään niin laajasti, että SMTP-asiakasohjelmiin kuuluvat Gmail, Outlook, Yahoo ja Apple.

Mitä SMTP siis tarkoittaa sähköpostin yhteydessä? Kun sähköpostiviesti on kirjoitettu asiakasohjelmassa, esimerkiksi Microsoft Outlookissa, se toimitetaan SMTP-palvelimelle, joka etsii vastaanottajan toimialueen perusteella oikean sähköpostipalvelimen, jolle viesti lähetetään. Jos prosessi toimii sujuvasti, vastaanottajatoimialueen SMTP-palvelin käsittelee viestin ja joko toimittaa sen tai käyttää SMTP:tä viestin uudelleenlähettämiseen toisen verkon kautta ennen sen toimittamista vastaanottajalle.

SMTP:stä kannattaa tietää, että sen kyky todentaa on ollut rajallinen. Tästä johtuen sähköpostiväärennöksistä on muodostunut vakava ongelma. Hyökkääjät voivat yksinkertaisesti valita oikean työkalun – toisen postiohjelman, komentosarjan tai apuohjelman – joka sallii heidän valita lähettäjän nimen. Sen jälkeen he suorittavat kohdennettuja hyökkäyksiä sähköpostilla esiintyen luotettavana lähettäjänä ja yrittävät saada vastaanottajan tekemään tietyn toimenpiteen, kuten napsauttamaan tietojenkalastelulinkkiä tai lataamaan haittaohjelman sisältävän tiedoston.

Tätä haavoittuvuutta (CVE-2023-51766) on korjattu useilla suojauksilla, esimerkiksi seuraavilla:

  • Sender Policy Framework (SPF): Tämä hyödyntää DNS-tietoja kertomaan vastaanottaville postipalvelimille, millä IP-osoitteilla on oikeus lähettää sähköposteja tietyn toimialueen osoitteista.
  • DomainKeys Identified Mail (DKIM): Tämä menetelmä käyttää lähettäjän palvelimelle tallennettua yksityistä avainta allekirjoittamaan lähtevät sähköpostit digitaalisesti, mikä mahdollistaa vastaanottajapalvelimille lähettäjien varmistamisen lähettävän palvelimen julkisella avaimella.
  • Domain-based Message Authentication, Reporting, and Conformance (DMARC): Tämä protokolla vahvistaa sähköpostiviestin lähettäjän toimialueen From-otsaketiedosta SPF:n ja/tai DKIM:n avulla. Jos tiedot eivät vastaa toisiaan, DMARC-tarkistus epäonnistuu. Tämä protokolla ei kuitenkaan ole yleisessä käytössä.

Mikä SMTP-palvelin on?

Tietokoneverkossa SMTP-palvelin on postipalvelin, joka voi lähettää ja vastaanottaa sähköposteja SMTP-protokollaa käyttäen. Yleensä nämä palvelimet käyttävät TCP:tä portissa 25 tai 587. Numerot kertovat palvelimelle, mitä prosesseja sovelletaan viesteihin. Sähköpostiohjelmat muodostavat yhteyden suoraan sähköpostin tarjoajan SMTP-palvelimeen sähköpostin lähettämistä varten. SMTP-palvelimella toimii useita ohjelmistoja:

  • Mail Submission Agent (MSA) (postinlähetysagentti) vastaanottaa viestit sähköpostiohjelmasta.
  • Mail Transfer Agent (MTA) (postinsiirtoagentti) siirtää sähköpostiviestit asianmukaisesti seuraavalle palvelimelle. Tässä vaiheessa palvelin saattaa käynnistää DNS-kyselyn vastaanottajatoimialueen mail exchange (MX) DNS -tietueesta.
  • Mail delivery agent (MDA) (postintoimitusagentti) vastaanottaa sähköpostit vastaanottajan postilaatikkoon.

Mitä on SMTP-salakuljetus?

SMTP-salakuljetus tarkoittaa kyberhyökkäystä, joissa väärennetään sähköpostiosoitteita niin, että viestit näyttävät tulevan kunnollisista lähteistä. Näiden hyökkäysten perimmäinen tavoite on suorittaa tietojenkalastelua ja kannustaa kohdetta esimerkiksi napsauttamaan haitallista linkkiä, avaamaan tartunnan saaneita liitteitä tai jopa lähettämään arkaluonteisia tietoja tai rahaa.

Nämä hyökkäykset hyödyntävät eroja siinä, kuinka lähettävät ja vastaanottavat postipalvelimet käsittelevät tietojen lopun koodijonoja. Tavoite on huijata vastaanottajan palvelin tulkitsemaan viestin loppu eri tavalla käyttämällä "salakuljetettuja" SMTP-komentoja, niin että viesti näkyy kahtena eri viestinä.

Miten SMTP-salakuljetus toimii?

Suorittaakseen hyökkäyksen kyberrikollinen "salakuljettaa" epäselviä SMTP-komentoja, jotka vaarantavat sähköpostipalvelinten viestinnän. Tässä on otettu vaikutteita siitä, kuinka HTTP-pyynnön salakuljetushyökkäykset toimivat. Tarkemmin sanottuna SMTP-palvelimet perinteisesti merkitsevät viestin loppumistiedon koodilla "<CR><LF>.<CR><LF>" tai "\r\n.\r\n". Ne ovat eri tapoja merkitä rivinvaihtoa ja ovat vakiomuotoisia tekstin erottimia.

Muuttamalla tätä koodijonoa hyökkääjät voivat vaikuttaa siihen, missä kohtaa palvelin uskoo viestitiedon päättyvän. Jos he voivat kertoa lähettäjäpalvelimelle, että viesti päättyy yhdessä kohtaa ja vastaanottajapalvelimelle, että se päättyy toisessa kohtaa, he voivat luoda tilaa salakuljetettavalle datalle.

Tavallisesti nämä väärennetyt sähköpostiviestit ovat osa kohdennettua tietojenkalasteluhyökkäystä. Yritykset ovat erityisen alttiita SMTP-salakuljetuksille, koska niiden toimialueet voi olla helpompi väärentää ja käyttää tietojenkalasteluhyökkäyksiin joko kohdennettuina tai kohdentamattomina.

Kuinka SMTP-salakuljetusviesteiltä voi välttyä?

Vaikka suosituimpien ja tunnetuimpien postipalvelinten Postfixin, Eximin ja Sendmailin valmistajat ovat julkaisseet korjauksia ja tilapäisratkaisuja salakuljetuksia vastaan, uhkaa voi pienentää muutamalla muullakin tapaa.

  1. Suorita säännöllisiä turvatarkastuksia organisaation järjestelmissä, jotta voit valvoa mahdollisia hyökkäysvektoreita ja haavoittuvuuksia.
  2. Tarkista käytetty sähköpostin reititysohjelmisto. Jos ohjelmisto tiedetään haavoittuvaksi, päivitä se uusimpaan versioon ja käytä asetuksia, jotka nimenomaisesti hylkäävät valtuuttamattoman liukuhihnakäsittelyn.
  3. Ciscon sähköpostituotteiden käyttäjille suositellaan, että he päivittävät oletuskokoonpanonsa manuaalisesti, niin että "CR and LF Handling" -kohdan asetus on "Allow" eikä "Clean", jotta palvelin tulkitsee ja toimittaa vain viestejä, joissa on tiedon loppukoodina "<CR><LF>.<CR><LF>".
  4. Estä koodissa "<LF>" ilman "<CR>":ää.
  5. Katkaise yhteys etä-SMTP-ohjelmiin, jotka lähettävät puhtaita newline-komentoja.
  6. Tarjoa säännöllistä tietoturvakoulutusta työntekijöille. Koulutukseen saattaa sisältyä mm. lähettäjän osoitteen varmistaminen ennen mihinkään toimiin ryhtymistä.

Miltä SMTP-sähköpostiväärennös näyttää?

Jotta SMTP-salakuljetusta osataan varoa, voi olla hyödyllistä tietää, miltä väärennetty sähköpostiviesti saattaa näyttää. Seuraavassa muutama väärennetyn sähköpostin tyyppi:

  1. Oikean toimialueen väärennys: Tässä yksinkertaisesti väärennetään yrityksen toimialue lisäämällä se viestin From-otsikkotiedoksi. Juuri tämä yritetään havaita SPF-, DKM- ja DMARC-todennusmenetelmillä. Yritysten tulisi määrittää postien todennus asianmukaisesti minimoidakseen hyökkääjien mahdollisuudet toimialueen väärentämiseen.
  2. Näyttönimen väärennys: Tässä tapauksessa väärennetään lähettäjän nimi, joka näytetään ennen sähköpostiosoitetta From-otsikkotiedossa. Yleensä siinä käytetään yrityksen työntekijän oikeaa nimeä. Useimmat sähköpostiohjelmat piilottavat lähettäjän sähköpostiosoitteen automaattisesti ja näyttävät vain näyttönimen. Tämän vuoksi käyttäjien tulisi tarkistaa osoite, jos viesti vaikuttaa epäilyttävältä. Tästä on monia versioita, kuten aaveväärennös ja AD-väärennös. Kaspersky Secure Mail Gateway (KSMG) tarjoaa tehokkaan suojauksen AD-väärennöshyökkäyksiä vastaan vahvistamalla lähettäjän aitouden ja varmistamalla, että viestit noudattavat vakiintuneita sähköpostin todennusstandardeja.
  3. Samankaltaisen toimialueen väärennys: Tämä monimutkaisempi menetelmä edellyttää, että hyökkääjä rekisteröi toimialueen, jonka nimi muistuttaa kohdeorganisaation nimeä, ja pystyttää sille postipalvelimen, DKIM/SPF-allekirjoitukset ja DMARC-todennuksen. Tästäkin väärennöksestä on monia versioita, kuten ensisijainen samankaltaisuus (esimerkiksi oikean yrityksen toimialueen nimi väärinkirjoitettuna) ja Unicode-väärennös (korvaa toimialueen nimessä ASCII-merkin saman näköisellä Unicode-merkillä). KSMG voi auttaa organisaatioita puolustautumaan samankaltaisen toimialueen väärennöksiltä vahvistamalla lähettäjien henkilöllisyyden ja lieventämällä petollisten sähköpostien riskiä.

Kaspersky Endpoint Security sai AV Comparativesin kuluttajien Vuoden tuote -palkinnon https://www.av-comparatives.org/tests/summary-report-2023/.

Aiheeseen liittyviä artikkeleita ja linkkejä:

Aiheeseen liittyvät tuotteet ja palvelut:

Mitä on SMTP-salakuljetus?

SMTP-salakuljetus on viime kuukausina esiin noussut kyberturvallisuusuhka. Lue siitä, mitä tämä uhka tarkoittaa, kuinka se toimii ja kuinka voit minimoida sen riskit.
Kaspersky logo

Aiheeseen liittyviä artikkeleita