El email spoofing es una técnica ampliamente usada para enviar correos electrónicos falsificados. Estos correos aparentan ser enviados desde una fuente diferente a la real, haciendo trivial la falsificación de la dirección de correo del remitente. Este método puede ser explotado con fines maliciosos, incluyendo el engaño, el phishing y otros tipos de ataques cibernéticos. Para defenderse de estas prácticas, tanto los usuarios comunes como los programas de seguridad informática deben emplear métodos fiables que permitan descubrir el origen real de los correos y quién los envía.

SMTP Smuggling: un ataque que compromete los servidores SMTP

En 2023, un grupo de investigadores de SEC Consult, conocidos por descubrir debilidades en protocolos de comunicación, señaló vulnerabilidades zero-day en varias implementaciones del protocolo SMTP (Simple Mail Transfer Protocol). Este protocolo, que data de 1981, es fundamental para el envío de correos electrónicos y sigue siendo ampliamente utilizado en la actualidad.

Los expertos advierten que el problema, conocido como SMTP Smuggling, no es meramente teórico. En los últimos meses, ha requerido la intervención de todos los principales proveedores de servicios de correo electrónico, quienes han contribuido a su solución.

SMTP Smuggling: falsificación de la identidad del remitente

El ataque de SMTP Smuggling explota las diferencias en la gestión del protocolo SMTP, permitiendo a los atacantes enviar correos electrónicos falsificados que pasan los controles del SPF (Sender Policy Framework). Este problema ha posibilitado el envío de correos falsificados desde millones de dominios hacia servidores SMTP vulnerables.

SEC Consult ha reportado que, aunque vulnerabilidades en servidores SMTP como los de Microsoft y GMX han sido corregidas, muchos proveedores a nivel mundial siguen siendo vulnerables a la técnica de SMTP Smuggling.

  • SPF, DKIM y DMARC: Herramientas Contra el Spoofing
  • SPF (Sender Policy Framework): Verifica el remitente controlando los IPs autorizados a través de registros SPF/TXT en el DNS. Sin embargo, SPF solo verifica el dominio en el campo MAIL FROM del "sobre" del correo, no el campo From del encabezado.
  • DKIM (DomainKeys Identified Mail): Este mecanismo permite firmar los datos del mensaje, incluyendo el encabezado From, con una firma verificable mediante una clave pública en el DNS.
  • DMARC (Domain-based Message Authentication, Reporting and Conformance): Comprueba la alineación del dominio "From" del correo con las verificaciones SPF y/o las firmas DKIM.

¿Cómo funciona el ataque SMTP Smuggling?

Este ataque se aprovecha de las diferencias en la interpretación de los servidores SMTP respecto a la secuencia de fin de datos. Si los servidores interpretan de manera diferente esta secuencia, un atacante podría extender su acción más allá del contenido del mensaje, ejecutando comandos SMTP arbitrarios.

El impacto de la vulnerabilidad y cómo resolverla

El problema de SMTP Smuggling tiene un alcance inmenso, afectando a la mayoría de los proveedores de Internet. Una solución propuesta para sistemas como Cisco Secure Email es configurar el software para manejar de manera segura los caracteres de retorno de carro y alimentación de línea, eliminando así el riesgo de SMTP Smuggling.