Lewatkan ke konten utama

Apa itu Penyelundupan SMTP?

Gambar yang menunjukkan cara kerja SMTP dalam jaringan komputer.

Keamanan siber merupakan lanskap dinamis tempat ancaman lama berevolusi dan ancaman baru muncul, seperti penyelundupan SMTP yang menjadi pengingat nyata akan pentingnya terus mengikuti perkembangan ancaman keamanan siber dan metode untuk bertahan dari serangan siber. Namun apa sebenarnya penyelundupan SMTP itu, dan bagaimana cara kerjanya?

Apa itu SMTP?

Simple Mail Transfer Protocol (SMTP) adalah protokol jaringan TCP/IP yang memfasilitasi transmisi email antara berbagai komputer dan server. Penggunaan protokol ini sangat luas sehingga klien email SMTP mencakup Gmail, Outlook, Yahoo, dan Apple.

Jadi, apa sebenarnya SMTP dalam email? Setelah email ditulis dalam klien seperti Microsoft Outlook, email tersebut dikirim ke server SMTP, yang memeriksa domain penerima untuk menemukan server email yang tepat untuk mengirimkan email tersebut. Jika proses berjalan lancar, server SMTP di domain penerima memproses email, lalu mengirimkan pesan atau menggunakan SMTP untuk meneruskannya melalui jaringan lain sebelum pengiriman.

Satu hal penting yang perlu diperhatikan tentang SMTP adalah bahwa kemampuannya untuk mengautentikasi secara historis terbatas. Dengan demikian, spoofing email menjadi perhatian serius. Penyerang dapat memilih alat yang tepat—bisa berupa klien email, skrip, atau utilitas lain—yang memungkinkan mereka memilih nama pengirim. Mereka kemudian melakukan serangan tertarget melalui email untuk menyamar sebagai pengirim tepercaya dan meyakinkan mereka untuk melakukan tindakan tertentu, seperti mengklik tautan phishing atau mengunduh file yang terinfeksi malware.

Beberapa perlindungan dirancang untuk menambal kerentanan bawaan ini (CVE-2023-51766), termasuk:

  • Sender Policy Framework (SPF): Ini menggunakan rekaman DNS untuk menunjukkan kepada layanan email penerima alamat IP mana yang memiliki otorisasi untuk mengirim email dari domain tertentu.
  • Domain Key Identified Mail (DKIM): Metode ini menggunakan kunci pribadi yang disimpan di server pengirim untuk menandatangani email keluar secara digital, yang memungkinkan server penerima untuk memvalidasi pengirim dengan kunci publik server pengirim.
  • Domain-based Message Authentication, Reporting, and Conformance (DMARC): Protokol ini memverifikasi domain pengiriman email di header “Dari” terhadap SPF dan/atau DKIM – jika terdapat ketidakcocokan, pemeriksaan DMARC akan gagal. Akan tetapi protokol ini tidak umum digunakan.

Apa itu Server SMTP?

Server SMTP dalam jaringan komputer adalah server email yang dapat mengirim dan menerima email menggunakan protokol SMTP. Secara umum, server ini menggunakan TCP pada port 25 atau 587—angka-angka tersebut memberi tahu server proses spesifik mana yang akan digunakan dengan pesan. Klien email terhubung langsung dengan server SMTP penyedia email untuk mengirim email. Beberapa program perangkat lunak yang berbeda berjalan di server SMTP:

  • Mail Submission Agent (MSA): Menerima pesan dari klien email
  • Mail Transfer Agent (MTA): Mentransfer email ke server berikutnya sebagaimana mestinya – pada titik ini, server dapat memulai permintaan DNS untuk rekaman DNS pertukaran surat (MX) domain penerima
  • Mail delivery agent (MDA): Menerima email untuk disimpan di kotak masuk penerima

Apa itu Penyelundupan SMTP?

Penyelundupan SMTP merujuk pada serangan siber yang memalsukan alamat email sehingga pesannya tampak berasal dari sumber yang sah. Tujuan akhir dari serangan siber ini adalah untuk mengeksekusi bentuk phising dan mendorong target untuk mengambil tindakan seperti mengklik tautan berbahaya, membuka lampiran yang terinfeksi, atau bahkan mengirim informasi sensitif atau uang.

Serangan ini memanfaatkan perbedaan antara cara server email keluar dan masuk memproses rangkaian kode akhir data. Tujuannya adalah untuk mengelabui server penerima agar memberikan interpretasi yang berbeda terhadap akhir pesan menggunakan perintah SMTP yang “diselundupkan” sehingga email tersebut muncul sebagai dua pesan terpisah.

Bagaimana Cara Kerja Penyelundupan SMTP?

Untuk melakukan serangan tersebut, pelaku kejahatan dunia maya “menyelundupkan” perintah SMTP yang tidak jelas untuk membahayakan integritas komunikasi server email—ini terinspirasi oleh cara kerja serangan penyelundupan permintaan HTTP. Lebih khusus lagi, server SMTP secara tradisional menunjukkan akhir data pesan dengan kode <CR><LF>.<CR><LF> atau \r\n.\r\n. Ini masing-masing merupakan singkatan dari “Carriage Return” dan “Line Feed” dan merupakan pembatas teks standar.

Dengan mengubah urutan kode ini, penyerang dapat mengubah pemahaman server tentang di mana data pesan berakhir. Jika mereka dapat memberi tahu server keluar bahwa pesan berakhir pada satu titik sekaligus memberi tahu server masuk bahwa pesan berakhir kemudian, hal itu menciptakan celah untuk penyelundupan data tambahan.

Biasanya, email palsu ini merupakan bagian dari serangan phishing yang ditargetkan. Perusahaan sangat rentan terhadap penyelundupan SMTP karena lebih mudah untuk memalsukan domain dan menggunakan rekayasa sosial untuk membuat email phishing atau serangan spear-phishing.

Cara Menghindari Email Penyelundupan SMTP

Meskipun produsen server email paling populer dan terkenal Postfix, Exim, dan Sendmail telah merilis perbaikan dan solusi untuk melawan penyelundupan, beberapa langkah lain dapat diambil untuk mencoba dan meminimalkan ancaman:

  1. Jalankan pemeriksaan keamanan rutin dalam infrastruktur organisasi untuk memantau kemungkinan vektor serangan dan kerentanan.
  2. Periksa perangkat lunak perutean email yang digunakan – jika perangkat lunak tersebut diketahui rentan, perbarui ke versi terbaru dan gunakan pengaturan yang secara khusus menolak penyaluran yang tidak sah.
  3. Pengguna produk email Cisco disarankan untuk memperbarui konfigurasi default secara manual untuk “CR and LF Handling” menjadi “Allow,” dan bukan “Clean,” sehingga server hanya akan menginterpretasikan dan mengirimkan email dengan <CR><LF>.<CR><LF> sebagai kode urutan akhir data.
  4. Larang <LF> tanpa <CR> dalam kode.
  5. Putuskan sambungan klien SMTP jarak jauh yang hanya mengirim baris baru kosong.
  6. Terapkan pelatihan kesadaran keamanan rutin bagi karyawan, yang dapat mencakup, misalnya, memverifikasi alamat email pengirim sebelum mengambil tindakan lebih lanjut.

Seperti Apa Spoofing Email SMTP?

Agar waspada terhadap ancaman penyelundupan SMTP, ada baiknya mengetahui seperti apa bentuk email palsu. Email palsu dapat memiliki beberapa bentuk:

  1. Spoofing domain yang sah: Ini hanyalah pemalsuan domain perusahaan dengan memasukkannya ke dalam header “Dari” email. Inilah yang coba ditangkap oleh metode autentikasi SPF, DKIM, dan DMARC. Perusahaan harus mengonfigurasi autentikasi email mereka dengan tepat untuk meminimalkan kemampuan penyerang dalam memalsukan domain mereka.
  2. Spoofing Nama Tampilan: Dalam kasus ini, nama pengirim—yang ditampilkan sebelum alamat email di header “Dari”—dipalsukan, sering kali menggunakan nama asli karyawan perusahaan. Sebagian besar klien email secara otomatis menyembunyikan alamat email pengirim dan hanya menampilkan nama tampilan, oleh karena itu pengguna harus memeriksa alamat tersebut jika email tersebut tampak mencurigakan. Ada beberapa bentuk ini, termasuk Ghost Spoofing dan AD Spoofing. Kaspersky Secure Mail Gateway (KSMG) menyediakan perlindungan yang kuat terhadap serangan AD Spoofing dengan memverifikasi keaslian pengirim dan memastikan pesan mematuhi standar autentikasi email yang ditetapkan.
  3. Lookalike Domain Spoofing: Metode yang lebih rumit ini mengharuskan penyerang untuk mendaftarkan domain yang mirip dengan organisasi target, dan menyiapkan email, tanda tangan DKIM/SPF, dan autentikasi DMARC. Sekali lagi, ada beberapa jenis spoofing jenis ini, termasuk Primary Lookalike (misalnya, kesalahan ejaan pada domain perusahaan yang sah) dan Unicode Spoofing (mengganti karakter ASCII pada nama domain dengan karakter yang mirip dari Unicode). KSMG dapat membantu organisasi mempertahankan diri terhadap serangan pemalsuan domain serupa dengan memverifikasi identitas pengirim dan mengurangi risiko email penipuan.

Kaspersky Endpoint Security menerima Penghargaan Konsumen “Produk Tahun Ini” dari AV Comparatives https://www.av-comparatives.org/tests/summary-report-2023/.

Artikel dan Tautan Terkait:

Produk dan Layanan Terkait:

Apa itu Penyelundupan SMTP?

Penyelundupan SMTP adalah ancaman keamanan siber yang muncul dalam beberapa bulan terakhir. Temukan apa ancamannya, cara kerjanya, dan cara meminimalkan risikonya.
Kaspersky logo