Ana içeriğe atlayın

SMTP Kaçakçılığı Nedir?

SMTP'nin bir bilgisayar ağında nasıl çalıştığını gösteren resim.

Siber güvenlik, eski tehditlerin evrim geçirdiği ve yenilerinin ortaya çıktığı dinamik bir ortamdır; SMTP kaçakçılığı gibi bir tehdit, siber güvenlik tehditleri ve siber saldırılara karşı savunma yöntemleri konusunda güncel kalmanın önemini çarpıcı bir şekilde hatırlatmaktadır. Peki SMTP kaçakçılığı tam olarak nedir ve nasıl çalışır?

SMTP nedir?

Simple Mail Transfer Protocol (SMTP), farklı bilgisayarlar ve sunucular arasında e-posta iletimini kolaylaştıran bir TCP/IP ağ protokolüdür. Bu protokolün kullanımı o kadar yaygındır ki SMTP e-posta istemcileri arasında Gmail, Outlook, Yahoo ve Apple yer alır.

Peki, e-postada SMTP tam olarak nedir? Bir e-posta Microsoft Outlook gibi bir istemcide yazıldıktan sonra, e-postanın teslim edileceği uygun e-posta sunucusunu bulmak için alıcının etki alanına bakan bir SMTP sunucusuna teslim edilir. Süreç sorunsuz ilerlerse, alıcının etki alanındaki SMTP sunucusu e-postayı işler ve mesajı teslim eder ya da teslim etmeden önce başka bir ağ üzerinden iletmek için SMTP'yi kullanır.

SMTP hakkında dikkat edilmesi gereken önemli bir husus, kimlik doğrulama yeteneğinin tarihsel olarak sınırlı olmasıdır. Bu nedenle, e-posta sahteciliği ciddi bir sorun haline gelmiştir. Saldırganlar, bir gönderenin adını seçmelerine izin veren doğru aracı (başka bir posta istemcisi, komut dosyası veya yardımcı program olabilir) seçebilir. Daha sonra, güvenilir bir göndericinin kimliğine bürünmek ve kimlik avı bağlantılarına tıklamak veya kötü amaçlı yazılım bulaşmış dosyaları indirmek gibi belirli bir eylemi gerçekleştirmeye ikna etmek için e-postalarla hedefli saldırılar gerçekleştirirler.

Bu doğal güvenlik açığını (CVE-2023-51766) kapatmak için çeşitli önlemler tasarlanmıştır:

  • Sender Policy Framework (SPF): Bu, alıcı posta sunucularına hangi IP adreslerinin belirli bir etki alanından e-posta gönderme yetkisine sahip olduğunu belirtmek için DNS kayıtlarını kullanır.
  • Domain Key Identified Mail (DKIM): Bu yöntem, giden e-postaları dijital olarak imzalamak için gönderenin sunucusunda depolanan özel bir anahtar kullanır ve alıcı sunucuların gönderenleri gönderen sunucunun ortak anahtarıyla doğrulamasına olanak tanır.
  • Domain-based Message Authentication, Reporting, and Conformance (DMARC): Bu protokol, e-postanın "Kimden" başlığındaki gönderen etki alanını SPF ve/veya DKIM'e göre doğrular - bir uyuşmazlık varsa DMARC kontrolü başarısız olur. Ancak bu protokol yaygın olarak kullanılmaz.

SMTP Sunucusu nedir?

Bilgisayar ağlarındaki bir SMTP sunucusu, SMTP protokolünü kullanarak e-posta gönderip alabilen bir posta sunucusudur. Genellikle bu sunucular 25 veya 587 numaralı bağlantı noktalarında TCP kullanırlar; bu numaralar sunucuya mesajlar için hangi spesifik işlemleri kullanacağını söyler. E-posta istemcileri, e-posta göndermek için doğrudan e-posta sağlayıcısının SMTP sunucusuna bağlanır. Bir SMTP sunucusu üzerinde birkaç farklı yazılım programı çalışır:

  • Mail Submission Agent (MSA): E-posta istemcisinden gelen mesajları alır
  • Mail Transfer Agent (MTA): E-postaları uygun şekilde bir sonraki sunucuya aktarır; bu noktada sunucu, alıcı alan adının posta değişimi (MX) DNS kaydı için bir DNS sorgusu başlatabilir
  • Mail delivery agent (MDA): Alıcının gelen kutusunda saklanmak üzere e-postaları alır

SMTP Kaçakçılığı Nedir?

SMTP kaçakçılığı, mesajlarının güvenilir kaynaklardan gönderilmiş gibi görünmesi için e-posta adreslerini taklit eden siber saldırıları ifade eder. Bu siber saldırıların esas amacı bir tür kimlik avı gerçekleştirmek ve hedefi kötü niyetli bağlantılara tıklamak, virüslü ekleri açmak ve hatta hassas bilgi veya para göndermek gibi eylemlerde bulunmaya yöneltmektir.

Bu saldırılar, giden ve gelen e-posta sunucularının veri sonu kod dizilerini işleme biçimleri arasındaki farklardan yararlanır. Amaç, alıcının sunucusunu "kaçak" SMTP komutları kullanarak bir mesajın sonunu farklı bir şekilde yorumlaması için kandırmaktır, böylece e-posta iki ayrı mesaj olarak görünür.

SMTP Kaçakçılığı Nasıl Gerçekleşir?

Saldırıları gerçekleştirmek için siber suçlular, e-posta sunucusu iletişimlerinin bütünlüğünü ihlal etmek için belirsiz SMTP komutlarını “kaçırırlar”; bu yöntem HTTP istek kaçakçılığı saldırılarının çalışma şeklinden ilham alır. Daha spesifik olarak, SMTP sunucuları geleneksel olarak mesaj verilerinin sonunu <CR><LF>.<CR><LF> veya \r\n.\r\n koduyla belirtir. Bunlar sırasıyla "Satır Başı" ve "Satır Besleme" anlamına gelir ve standart metin sınırlayıcılarıdır.

Saldırganlar bu kod dizisini değiştirerek sunucunun mesaj verilerinin nerede bittiğini anlamasını değiştirebilirler. Giden sunucuya mesajın bir noktada bittiğini söylerken gelen sunucuya mesajın daha sonra bittiğini söyleyebilirlerse, fazladan veri kaçırmak için bir cep oluşturmuş olurlar.

Normalde bu sahte e-postalar hedefli kimlik avı saldırılarının bir parçasıdır. Şirketler SMTP kaçakçılığına karşı özellikle savunmasızdır çünkü alan adlarını taklit etmek ve kimlik avı e-postaları veya hedefli kimlik avı saldırıları oluşturmak için sosyal mühendislik kullanmak daha kolay olabilir.

SMTP Kaçakçılığı E-postaları Nasıl Önlenir?

En popüler ve tanınmış posta sunucuları Postfix, Exim ve Sendmail'in üreticileri kaçakçılığa karşı düzeltmeler ve geçici çözümler yayınlamış olsalar da, tehdidi en aza indirmek için başka adımlar da atılabilir:

  1. Olası saldırı vektörlerini ve güvenlik açıklarını izlemek için kuruluşun altyapısında düzenli güvenlik kontrolleri yapın.
  2. Kullanılan e-posta yönlendirme yazılımını kontrol edin; yazılımın güvenlik açığı olduğu biliniyorsa, en son sürüme yükseltin ve özellikle yetkisiz veri akışını reddeden ayarları kullanın.
  3. Cisco'nun e-posta ürünlerinin kullanıcılarının "CR ve LF İşleme" için varsayılan yapılandırmalarını "Temizle" yerine "İzin Ver" olarak manuel olarak güncellemeleri önerilir, böylece sunucu yalnızca veri sonu sıra kodu olarak <CR><LF>.<CR><LF> içeren e-postaları yorumlar ve teslim eder.
  4. Kod içinde <CR> olmadan <LF>'ye izin vermeyin.
  5. Boş yeni satır gönderen uzak SMTP istemcilerinin bağlantısını kesin.
  6. Çalışanlar için düzenli güvenlik farkındalığı eğitimleri uygulayın; bu eğitimler, örneğin, herhangi bir işlem yapmadan önce gönderenin e-posta adresini doğrulamayı içerebilir.

SMTP E-posta Sahteciliği Neye Benziyor?

SMTP kaçakçılığı tehdidine karşı dikkatli olmak için sahte bir e-postanın neye benzeyebileceğini bilmek faydalı olabilir. Sahte bir e-posta çeşitli şekillerde olabilir:

  1. Meşru alan adı sahtekarlığı: Bu, basitçe bir şirketin alan adını e-postaların "Kimden" başlığına ekleyerek kandırmayı içerir. SPF, DKM ve DMARC kimlik doğrulama yöntemlerinin yakalamaya çalıştığı şey budur. Şirketler, saldırganların alan adlarını taklit etme olanaklarını minimize etmek için posta kimlik doğrulaması yapılandırmalarını gerektiği gibi yapmalıdır.
  2. Görünen Ad Sahtekarlığı: Bu durumda, "Kimden" başlığında e-posta adresinden önce gösterilen gönderenin adı taklit edilir ve genellikle bir şirket çalışanının gerçek adı kullanılır. Çoğu e-posta istemcisi gönderenin e-posta adresini otomatik olarak gizler ve sadece görünen adı gösterir, bu nedenle kullanıcılar e-posta şüpheli görünüyorsa adresi kontrol etmelidir. Hayalet Sahtekarlığı ve AD Sahtekarlığı da dahil olmak üzere bunun çeşitli biçimleri vardır. Kaspersky Secure Mail Gateway (KSMG) gönderenin gerçekliğini doğrulayarak ve iletilerin yerleşik e-posta kimlik doğrulama standartlarına uygun olmasını sağlayarak AD Sahtekarlığı saldırılarına karşı güçlü koruma sağlar.
  3. Benzer Alan Adı Sahtekarlığı: Bu daha karmaşık yöntem, saldırganın hedef kuruluşunkine benzer bir etki alanı kaydetmesini ve posta, DKIM/SPF imzaları ve DMARC kimlik doğrulaması ayarlamasını gerektirir. Yine, bu tür sahtekarlığın Birincil Benzer (örneğin, yasal bir şirket alan adının yanlış yazılması) ve Unicode Sahtekarlığı (alan adındaki bir ASCII karakterinin Unicode'dan benzer görünümlü bir karakterle değiştirilmesi) dahil olmak üzere çeşitli türleri vardır. KSMG gönderen kimliklerini doğrulayarak ve aldatıcı e-postaların riskini azaltarak kuruluşların benzer alan adı sahteciliği saldırılarına karşı savunmalarına yardımcı olabilir.

Kaspersky Endpoint Security, AV Comparatives tarafından Tüketici "Yılın Ürünü Ödülü"ne layık görüldü https://www.av-comparatives.org/tests/summary-report-2023/.

İlgili Makaleler ve Bağlantılar:

İlgili Ürünler ve Hizmetler:

SMTP Kaçakçılığı Nedir?

SMTP kaçakçılığı son aylarda ortaya çıkan bir siber güvenlik tehdididir. Bu tehdidin ne olduğunu, nasıl çalıştığını ve risklerini nasıl en aza indirebileceğinizi keşfedin.
Kaspersky logo

İlgili makaleler