Il 18 dicembre 2023, è stata resa nota una vulnerabilità del protocollo SMTP chiamata SMTP smuggling.
Ulteriori dettagli anche alla apposita pagina predisposta dal CERT – AGID italiano.
In relazione a Postfix, uno dei maggiori MTA (mail transfert agent) è stata predisposta una apposita pagina di approfondimento della vulnerabilità.
Un aggiornamento è stato velocemente rilasciato; ricordiamo come occorra abilitare, nella configurazione di Postfix, la funzionalità di protezione, in quanto disabilitata per default:
# Optionally disconnect remote SMTP clients that send bare newlines,
# but allow local clients with non-standard SMTP implementations
# such as netcat, fax machines, or load balancer health checks.
#
smtpd_forbid_bare_newline = yes
smtpd_forbid_bare_newline_exclusions = $mynetworks