On 19.12.2023 at 13:31 Mark Alley via mailop wrote: > Hey all, recently saw this mail server SMTP vulnerability that popped up on a > blog yesterday. Sharing here for those interested. > https://sec-consult.com/blog/detail/smtp-smuggling-spoofing-e-mails-worldwide/
Thanks for sharing, interesting read! I'd just appreciate it if such full disclosures would not accumulate shortly before christmas, although I understand that in this case they want to present their findings at CCC at the end of December. Postfix is potentially vulnerable as for compatibility with broken clients it accepts <LF>.<LF> as an end-of-data command. Well, at least it did, Wietse has introduced a flag which fixes this kind of message smuggling: > Protocol enforcement: with "smtpd_forbid_bare_newline = > yes" (the default for Postfix 3.9), reply with "Error: bare > <LF> received" and disconnect when an SMTP client sends a > line ending in <LF>, violating the RFC 5321 requirement > that lines must end in <CR><LF>. Files: mantools/postlink, > proto/postconf.proto, global/mail_params.h, global/smtp_stream.c, > global/smtp_stream.h, smtpd/smtpd.c. It will be available in the next releases for the 3.5 to 3.9 versions, although the new flag will be disabled on all versions except 3.9 by default. -- BR Oliver ________________________________ dmTECH GmbH Am dm-Platz 1, 76227 Karlsruhe * Postfach 10 02 34, 76232 Karlsruhe Telefon 0721 5592-2500 Telefax 0721 5592-2777 dmt...@dm.de<mailto:dmt...@dm.de> * www.dmTECH.de<http://www.dmtech.de> GmbH: Sitz Karlsruhe, Registergericht Mannheim, HRB 104927 Geschäftsführer: Christoph Werner, Martin Dallmeier, Roman Melcher ________________________________ Datenschutzrechtliche Informationen Wenn Sie mit uns in Kontakt treten, beispielsweise wenn Sie an unser ServiceCenter Fragen haben, bei uns einkaufen oder unser dialogicum in Karlsruhe besuchen, mit uns in einer geschäftlichen Verbindung stehen oder sich bei uns bewerben, verarbeiten wir personenbezogene Daten. Informationen unter anderem zu den konkreten Datenverarbeitungen, Löschfristen, Ihren Rechten sowie die Kontaktdaten unserer Datenschutzbeauftragten finden Sie hier<https://www.dm.de/datenschutzerklaerung-kommunikation-mit-externen-493832>. _______________________________________________ mailop mailing list mailop@mailop.org https://list.mailop.org/listinfo/mailop