基本情報

この種の脆弱性は、この投稿で最初に発見されました。SMTPプロトコルの解釈に不一致がある場合、攻撃者は合法的なメールの本文にさらに多くのメールを密輸することができ、影響を受けるドメインの他のユーザー（たとえばadmin@outlook.com）をなりすますことができ、SPFなどの防御をバイパスすることができます。

理由

SMTPプロトコルでは、メールで送信されるメッセージのデータは、ユーザー（攻撃者）によって制御されます。これにより、受信者に追加のメールを密輸するパーサーの違いを悪用する特別に作成されたデータを送信できます。元の投稿からのこのイラスト付きの例をご覧ください：

方法

この脆弱性を悪用するには、攻撃者はアウトバウンドSMTPサーバーが1つのメールだと思うデータを送信する必要があり、インバウンドSMTPサーバーは複数のメールがあると考える必要があります。

研究者たちは、インバウンドサーバーがメールメッセージのデータの終わりとして異なる文字を考慮していることを発見しました。 たとえば、通常のデータの終わりは\r\n.\rです。しかし、インバウンドSMTPサーバーが\n.もサポートしている場合、攻撃者は単にそのデータをメールに追加し、新しいSMTPコマンドを示し始めることで、前述の画像のようにそれを密輸することができます。

もちろん、これはアウトバウンドSMTPサーバーもこのデータをメッセージデータの終わりとして扱わない場合にのみ機能します。そうでない場合、1つの代わりに2つのメールが表示されるため、最終的にはこの脆弱性で悪用されているデシンクロが発生します。

潜在的なデシンクロデータ：

• \n.

• \n.\r

また、SPFがバイパスされることに注意してください。admin@outlook.comからuser@outlook.comのメールを密輸すると、送信者は依然としてoutlook.comです。

参考文献

• https://sec-consult.com/blog/detail/smtp-smuggling-spoofing-e-mails-worldwide/