ایمیل همچنان یکی از ابزارهای حیاتی ارتباطی، در حوزه شخصی و حرفهای، بهشمار میرود. این ابزار برای ارتباطات مدرن ضروری است اما در عین حال یک خطر امنیتی قابلتوجه نیز محسوب میشود. در میان تهدیدات مختلفی که زیرساخت ایمیل را هدف قرار میدهند، تکنیکی نسبتاً جدید و پیشرفته با عنوان SMTP Smuggling ظهور کرده است. در ادامه مقاله به بررسی دقیق اینکه حمله SMTP Smuggling چیست، چگونه عمل میکند و چطور میتوان از زیرساخت ایمیل در برابر این تهدید رو به رشد محافظت کرد، پرداخته خواهد شد.
SMTP چیست؟
SMTP یا Simple Mail Transfer Protocol، یک پروتکل استاندارد برای ارسال ایمیل در بستر اینترنت است. این پروتکل بر پایه مدل کلاینت-سرور کار میکند؛ به این صورت که کلاینت ایمیل (نرم افزار) فرستنده با سرور ارتباط برقرار کرده و پیام را برای مقصد ارسال مینماید. در نهایت، سرور گیرنده وظیفه دارد ایمیل را به صندوق ورودی (inbox) تحویل دهد.
SMTP یک پروتکل متنی است و روی پروتکل TCP/IP اجرا میشود و معمولاً از پورت ۲۵ استفاده میکند. با وجود آنکه SMTP پروتکلی قدرتمند بوده و سال ها است که ستون فقرات ارتباطات ایمیلی را تشکیل میدهد اما در ابتدا با در نظر گرفتن ملاحظات امنیتی طراحی نشده بود. در طول زمان، بروزرسانیهایی مانند SMTP مبتنی بر SSL/TLS به منظور ایمنسازی ارسال ایمیلها معرفی شدهاند اما ماهیت openness (باز) این پروتکل همچنان آن را در برابر انواع حملات آسیبپذیر باقی گذاشته است.
تصویر(۱)
حمله SMTP Smuggling چیست؟
SMTP Smuggling یک تکنیک حمله پیچیده می باشد که از نحوه مدیریت ترافیک SMTP توسط سرورهای ایمیل سوءاستفاده میکند. این حمله بهطور خاص، تناقض های موجود در نحوه تفسیر دستورات SMTP و هدرهای ایمیل توسط سرورهای مختلف و دروازههای امنیتی را هدف قرار میدهد.
در واقع، حمله SMTP Smuggling شامل ایجاد پیامهای ایمیلی است که برای برخی سرورها قانونی و عادی بهنظر میرسند اما توسط سرورهای دیگر بهشکلی متفاوت تفسیر میشوند. این امر به مهاجمان اجازه میدهد تا فیلترهای امنیتی را دور بزنند، محتوای مخرب ارسال کنند یا حتی دادهها را از سیستم خارج نمایند. این حمله میتواند خطرناک باشد زیرا قادر است از مکانیزمهای امنیتی سنتی که برای بازرسی و فیلتر ترافیک ایمیل طراحی شدهاند، عبور کند.
اجزای کلیدی حمله SMTP Smuggling:
-
تزریق کد و دستکاری هدرها: حمله SMTP Smuggling اغلب شامل تزریق هدرهای اضافی SMTP یا دستکاری هدرهای موجود با هدف فریب سرورهای ایمیل در مراحل بعدی می باشد. به عنوان مثال، مهاجم ممکن است ایمیلی با دو هدر “Content-Length” ایجاد کند که هرکدام مقدار متفاوتی داشته باشند. برخی سرورها ممکن است از هدر اول استفاده نمایند در حالیکه برخی دیگر از هدر دوم تبعیت کنند؛ این موضوع منجر به تفسیر متفاوتی از محل شروع و پایان بدنه (body) ایمیل خواهد شد.
-
تفاوت در مراحل تجزیه و تحلیل (Parsing) چند مرحلهای: سرورهای ایمیل و تجهیزات امنیتی مختلف ممکن است ترافیک SMTP را به شیوههای متفاوتی تجزیه و تحلیل نمایند. مهاجمان از این اختلافات در تجزیه و تحلیل استفاده کرده تا شرایطی ایجاد کنند که یک سرور بخشی از پیام را قانونی تفسیر کند، در حالیکه سرور دیگر همان بخش را مخرب تشخیص دهد. به عنوان نمونه، یک ایمیل میتواند طوری طراحی شود که برای دروازه امنیتی بیخطر بهنظر برسد اما در سرور ایمیل نهایی مخرب باشد.
-
حملات مبتنی بر عدم تطابق مرزها (Boundary Mismatch Attacks): این دسته از حملات شامل ایجاد ایمیلهایی است که تعاریف مرز بین هدرها و بدنه یا بین بخشهای مختلف یک ایمیل MIME (Multipurpose Internet Mail Extensions) را بهگونهای گیجکننده تنظیم میکنند. این عدم تطابق میتواند منجر به تفسیر نادرست توسط ابزارهای امنیتی ایمیل شود و اجازه دهد محتوای مخرب از آنها عبور کند.
تصویر(۲)
حمله SMTP Smuggling چگونه کار میکند؟
حمله SMTP Smuggling معمولاً از مراحل زیر پیروی میکند:
۱. ساخت ایمیل: مهاجم، ایمیلی با هدرها و دستورات خاص SMTP طراحی مینماید که از تفاوتهای موجود در تفسیر ترافیک SMTP توسط سرورهای ایمیل و دروازههای امنیتی سوءاستفاده میکند. این فرآیند ممکن است شامل تقسیم ایمیل به بخشهایی باشد که هر یک توسط سرورهای مختلف در زنجیره انتقال (Relay Chain) بهصورت متفاوت پردازش میشوند.
۲. ارسال ایمیل: ایمیل مخرب توسط مجموعهای از سرورهای رله ارسال میشود. هدف مهاجم این است که ایمیل در ابتدا برای دروازه امنیتی اولیه بیخطر به نظر برسد اما ماهیت واقعی و مخرب آن در یکی از مراحل بعدی زنجیره انتقال، آشکار شود.
۳. سوءاستفاده از ناسازگاریها: در طی انتقال ایمیل از میان سرورهای مختلف، ممکن است برخی دستورات تنظیمشده را بهگونهای متفاوت تفسیر کنند. برای مثال، یک سرور ممکن است بخشی از ایمیل را بهعنوان دستور معتبر بشناسد در حالیکه سرور دیگر همان بخش را نادیده بگیرد. این تفاوت میتواند به مهاجم اجازه دهد که محتوای مخرب وارد کند یا ابزارهای امنیتی را دور بزند.
۴. عبور از سد امنیتی: در نهایت، ایمیل به سرور یا صندوق ورودی هدف میرسد، جایی که اقدامات مخرب آن میتواند اجرا شود. با توجه به اینکه حمله از تفاوتهای تفسیری بین سرورها بهره برده، تدابیر امنیتی سنتی ممکن است ناکارآمد بوده و هدف را در معرض آسیب قرار دهند.
راهکارهای شناسایی و مقابله
با توجه به ماهیت پنهان SMTP Smuggling، شناسایی آن میتواند دشوار باشد. با این حال، سازمانها میتوانند توسط انجام اقدامات زیر، خطر حملات را کاهش دهند:
۱. استفاده از راهکارهای امنیتی پیشرفته ایمیل: راهکارهایی فراتر از فیلترهای اسپم سنتی را پیادهسازی کنید. این راهکارها باید شامل بازرسی عمیق محتوا (Deep Content Inspection)، تحلیل رفتاری (Behavioral Analysis) و استفاده از یادگیری ماشین برای شناسایی و انسداد تهدیدات پیشرفته مانند حمله SMTP Smuggling باشند.
۲. بروزرسانی و پچ منظم سرورهای ایمیل: اطمینان حاصل کنید که سرورهای ایمیل و نرمافزارهای وابسته بهطور منظم بروزرسانی و پچ میشوند. اکثر حملات SMTP Smuggling از آسیبپذیریهای موجود در نرمافزارهای قدیمی سوءاستفاده میکنند، بنابراین بروز نگهداشتن سیستمها امری حیاتی است.
۳. نظارت بر ترافیک ایمیل: ابزارهای نظارتی را برای تحلیل الگوهای ترافیک ایمیل بهکار بگیرید. ناهنجاری در ارتباطات SMTP مانند توالیهای غیرعادی دستورات یا Payload های (افزایش حجم درخواست های ورودی) غیرمنتظره میتوانند نشانههایی از تلاش برای Smuggling باشند.
تصویر(۳)
۴. آموزش کارکنان: کارکنان را برای شناسایی حملات فیشینگ و ایمیلهای مشکوک آموزش دهید. گرچه حمله SMTP Smuggling ممکن است تدابیر فنی را دور بزند اما یک نیروی کار هوشیار و آگاه میتواند خط دفاعی مؤثری باشد.
۵. پیادهسازی DMARC، SPF و DKIM: پروتکلهای احراز هویت ایمیل نظیر DMARC (Domain-based Message Authentication, Reporting, and Conformance)، SPF (Sender Policy Framework) و DKIM (DomainKeys Identified Mail) به اعتبارسنجی فرستندههای ایمیل کمک میکنند. پیکربندی صحیح این پروتکلها میتواند خطر جعل ایمیل (Spoofing) و حملات Smuggling را کاهش دهد.
۶. انجام ممیزیهای امنیتی منظم: بهطور منظم ممیزیهای امنیتی را روی زیرساخت ایمیل خود انجام دهید تا آسیبپذیریها و نقاط ضعف احتمالی را شناسایی کنید. این رویکرد پیشگیرانه میتواند به شما کمک کند تا قبل از سوءاستفاده مهاجمان، مشکلات را برطرف نمایید.
تفاوت SMTP Smuggling با سایر حملات مبتنی بر ایمیل
در حالیکه حمله SMTP Smuggling از برخی جهات با سایر تهدیدات مبتنی بر ایمیل شباهت دارد اما از نظر ماهیتی با آنها کاملاً متفاوت است. برخلاف بسیاری از حملات که بر محتوای فریبنده یا مهندسی اجتماعی تکیه دارند، SMTP Smuggling تمرکز خود را بر ضعفهای تفسیری زیرساختی معطوف میکند.
در ادامه، تفاوت های این تکنیک آورده شده است:
- برخلاف فیشینگ که کاربر نهایی را با پیامهای جعلی هدف قرار میدهد، SMTP Smuggling از ناسازگاریهای تفسیری سطح زیرساخت بین سرورهای ایمیل و دروازههای امنیتی سوءاستفاده میکند.
- برخلاف جعل هویت (Spoofing) که هویت فرستنده را جعل مینماید تا گیرنده را فریب دهد، حمله SMTP Smuggling تفسیر دستورات SMTP را دستکاری میکند؛ طوری که مهاجم قادر است بدون هشدار دادن به مکانیزمهای امنیتی سنتی، فیلترها را دور زده و محتوای مخرب را وارد نماید.
- برخلاف حملات تزریق هدر (Header Injection) یا MIME confusion attacks، در SMTP Smuggling از توالیهای دستوری SMTP و هدرهای ساختگی استفاده می شود که توسط سیستمهای مختلف در زنجیره ارسال، بهگونهای متفاوت تفسیر میشوند. این تفاوت در تفسیر به مهاجم اجازه میدهد تا بخشهایی را از لایههای امنیتی، پنهان کند.
بهطور خلاصه، حمله SMTP Smuggling یک تکنیک پنهانکاری در لایه پروتکل است که نسبت به حملات کاربرمحور، از حیث فنی بودن و پیچیدگی سطح بالاتری دارد و بهدلیل قابلیت دور زدن چندین لایه دفاعی، میتواند تهدیدی جدیتر باشد.
تصویر(۴)
نتیجهگیری
SMTP Smuggling بهعنوان یک حمله پیشرفته و مخرب، مستقیماً زیرساخت ارتباطات ایمیلی را هدف قرار میدهد. با توجه به تداوم توسعه روشهای حمله از سوی مجرمان سایبری، ضروری است که سازمانها با استقرار تدابیر امنیتی قدرتمند در حوزه ایمیل و ارتقاء آگاهی کارکنان، نسبت به مخاطرات این نوع تهدیدات، از آنها پیشی بگیرند.
درک عمیق از سازوکار این حمله و اجرای اقدامات پیشگیرانه برای حفاظت سامانههای ایمیل، میتواند بهطور قابلتوجهی احتمال قربانی شدن در برابر این تهدید پنهان را کاهش دهد.