Groups | Search | Server Info | Login | Register

Groups > de.admin.net-abuse.mail > #8862

Re: SMTP smuggling mit sendmail

From Stefan+Usenet@Froehlich.Priv.at (Stefan Froehlich)
Newsgroups de.admin.net-abuse.mail
Subject Re: SMTP smuggling mit sendmail
Date 2024-10-12 12:40 +0000
Message-ID <1t670a6878i2bd8a0n3e8%sfroehli@Froehlich.Priv.at> (permalink)
References <1t670a43f9i2b14can3e8%sfroehli@Froehlich.Priv.at> <vedjg8$6p2f$10@solani.org>

Show all headers | View raw

On Sat, 12 Oct 2024 12:36:56 Marco Moock wrote:
> Am 12.10.2024 10:03 Uhr schrieb Stefan Froehlich:
>> Ich habe einen Debian-Server, auf den sendmail in der Version
>> 8.15.2-22+deb11u3 läuft. Nun beschwert sich ein Empfänger, das
>> einige Mails auf seiner Seite wegen "Illegally formed message
>> body (bare CR or LF characters)" abgewiesen werden. Ich vermute,
>> das referenziert auf CVE-2023-51765, aber sollte nicht genau das
>> von genau der eingesetzten Sendmail-Version verhindert werden?

> Die von dir genutzte Version wurde gepatched von Debian, ist also
> nicht das originale sendmail von Proofpoint.

Ja, natürlich. Und da der Patch spezifische für dieses CVE erstellt
und seit neun Monaten nicht nachgebessert wurde, betrachte ich das
Problem daher als behoben - alles andere wäre nach so langer Zeit
doch sehr irritierend.

>                 - Do not accept a CR or LF except in the combination
>                 CRLF (as required by the RFCs).  These checks can
>                 be disabled by the new srv_features options
>                 'U' and 'G', respectively.  In this case it is
>                 suggested to use 'u2' and 'g2' instead so the server
>                 replaces offending bare CR or bare LF with a space.
>                 It is recommended to only turn these protections off
>                 for trusted networks due to the potential for abuse.

Ich habe mir den Quelltext angesehen, genau dieser Kommentar findet
sich im Patch. Aber, wenn ich das beim Überfliegen des Codes richtig
mitbekommen habe, die ganze Geschichte betrifft offenbar ohnehin nur
SMTP, nicht aber die lokale Verarbeitung. Sprich: Mails an
"/usr/sbin/sendmail -i -t" werden erst einmal nur mit 0x0a im Spool
gespeichert, sendmail kümmert sich dann beim Verstand selber darum,
dass 0x0d0x0a gesendet wird.

>> Zuatzaufgabe: Die Mails werden aus einem Template erstellt, in
>> dem alle Zeilenumbrüche (konsequent) durch 0x0a markiert sind; es
>> werden jedoch keine 10% der Mails abgewiesen (die allerdings
>> reproduzierbar). Umgekehrt finde ich - bisher - in den
>> inkriminierten Mails Benutzereingaben mit 0x0d0x0a. Ersetze ich
>> im fertigen Mailbody die 0x0a durch 0x0d0x0a ersetze, werden die
>> Mails immer noch abgewiesen, ebenso allerdings, wenn ich in den
>> Benutzereingaben die 0x0d0x0a durch 0x0a ersetze.

> Es gibt dann wirklich kein reines CR oder LF mehr?

Entweder das, oder es gibt genau umgekehrt nur noch reine CR - ohne
Unterschied, was aber wegen obiger Erkenntnis (nunmehr) wenig
überraschend keinen Unterschied macht.

Bleibt aber natürlich die Frage: Wenn ich gar nichts falsch machen
kann, worüber beschwert sich dann die Firewall meines Kunden? Und
wieso hängt das vom Inhalt der Mails ab (bzw. was macht den
Unterschied)?

Und: Wie debugge ich das am einfachsten? Bei mir im Spool kann ich
zwar mitlesen, aber das hilft mir nicht (weil: siehe oben). Am
Netzwerkinterface kann ich zwar mitlesen, aber verschlüsselt. Und
beim Empfänger kann ich nicht mitlesen, weil nicht mein System.

Servus,
   Stefan

-- 
http://kontaktinser.at/ - die kostenlose Kontaktboerse fuer Oesterreich
Offizieller Erstbesucher(TM) von mmeike

Spaß mit Stefan, überlegen und stark!
(Sloganizer)

Back to de.admin.net-abuse.mail | Previous | NextPrevious in thread | Next in thread | Find similar

Thread

SMTP smuggling mit sendmail Stefan+Usenet@Froehlich.Priv.at (Stefan Froehlich) - 2024-10-12 10:03 +0000
  Re: SMTP smuggling mit sendmail Marco Moock <mm+solani@dorfdsl.de> - 2024-10-12 12:36 +0200
    Re: SMTP smuggling mit sendmail Stefan+Usenet@Froehlich.Priv.at (Stefan Froehlich) - 2024-10-12 12:40 +0000
      Re: SMTP smuggling mit sendmail Marco Moock <mm+solani@dorfdsl.de> - 2024-10-12 16:09 +0200
        Re: SMTP smuggling mit sendmail Stefan+Usenet@Froehlich.Priv.at (Stefan Froehlich) - 2024-10-12 14:21 +0000
          Re: SMTP smuggling mit sendmail Marco Moock <mm+solani@dorfdsl.de> - 2024-10-12 16:28 +0200
            Re: SMTP smuggling mit sendmail Stefan+Usenet@Froehlich.Priv.at (Stefan Froehlich) - 2024-10-12 15:20 +0000
              Re: SMTP smuggling mit sendmail Marco Moock <mm+solani@dorfdsl.de> - 2024-10-12 17:24 +0200
                Re: SMTP smuggling mit sendmail Stefan+Usenet@Froehlich.Priv.at (Stefan Froehlich) - 2024-10-12 18:30 +0000
          Re: SMTP smuggling mit sendmail Claus Aßmann <INVALID_NO_CC_REMOVE_IF_YOU_DO_NOT_POST_ml+sendmail(-no-copies-please)@esmtp.org> - 2024-10-13 11:51 -0400
      Re: SMTP smuggling mit sendmail Stefan Reuther <stefan.news@arcor.de> - 2024-10-13 10:50 +0200
        Re: SMTP smuggling mit sendmail Marco Moock <mm+solani@dorfdsl.de> - 2024-10-13 11:35 +0200
          Re: SMTP smuggling mit sendmail Enrik Berkhan <Enrik.Berkhan@inka.de> - 2024-10-13 15:18 +0000
            Re: SMTP smuggling mit sendmail Stefan Reuther <stefan.news@arcor.de> - 2024-10-14 17:08 +0200
      Re: SMTP smuggling mit sendmail Claus Aßmann <INVALID_NO_CC_REMOVE_IF_YOU_DO_NOT_POST_ml+sendmail(-no-copies-please)@esmtp.org> - 2024-10-14 12:04 -0400
  Re: SMTP smuggling mit sendmail Marco Moock <mm+solani@dorfdsl.de> - 2024-10-12 12:38 +0200

csiph-web