#Netzwerk & Sicherheit · 3 Min. Lesezeit · Tim Rinkel

MAIL-ALARM! „Dead.Letter“-Bug reisst JETZT JEDEN Exim-Server auf — UPDATE PFLICHT oder dein Postausgang gehört den Hackern

MAIL-ALARM! „Dead.Letter“-Bug reisst JETZT JEDEN Exim-Server auf — UPDATE PFLICHT oder dein Postausgang gehört den Hackern

MAIL-SERVER-PANIK in der Linux-Welt! Wer einen Exim-Mailserver betreibt — und das sind weltweit über die Hälfte aller MTAs — muss SOFORT patchen. Die neue Lücke CVE-2026-45185 trägt den hübschen Spitznamen „Dead.Letter“ und sie öffnet Remote Code Execution auf praktisch jedem ungepatchten Exim. Disclosed am Mittwoch.

UNGLAUBLICH: So funktioniert der Angriff

Exim nutzt das BDAT-Kommando (Binary Data Transfer) als Alternative zum klassischen DATA-Kommando in SMTP. Bei BDAT wird die Größe vorher angekündigt, der Body geht binär durch. Die Lücke: Wenn ein Angreifer während des Body-Transfers ein TLS-close_notify schickt, räumt Exim Speicher frei — den nachfolgender Code aber weiter benutzt. Use-after-free klassisch.

HAMMER: Was Angreifer damit machen

Mit präparierten Payloads können Angreifer:

  • Beliebigen Code als Exim-User ausführen.
  • Mit zweitem CVE in der Chain auf Root eskalieren.
  • Mailserver-Konfig auslesen — inklusive SMTP-Passwörter, DKIM-Keys.
  • Den Server als Spam-Relay kapern oder zur Persistenz nutzen.

Mailserver sind die kritischste Public-Edge in jeder Infrastruktur — wer hier reinkommt, sieht den gesamten E-Mail-Verkehr.

SKANDAL: Wie weit die Verbreitung ist

Exim hat im April 2026 laut Mail-Server-Survey einen Marktanteil von 54% aller öffentlich erreichbaren MTAs. Speziell auf Debian und Ubuntu ist Exim oft Default. Postfix-Nutzer sind nicht betroffen, ebensowenig Sendmail oder qmail. Wer aber den Standard nicht angetastet hat, läuft Exim.

So patchst du SOFORT

Auf Debian/Ubuntu:

apt update && apt install --only-upgrade exim4

Auf RHEL/Rocky/AlmaLinux:

dnf update exim

Auf Alpine:

apk update && apk upgrade exim

Nach dem Update: exim4 -bV oder exim -bV prüfen — die Version muss mindestens 4.99.2 sein (Patch-Level am 13. Mai). Reload mit systemctl reload exim4 oder systemctl restart exim4.

EXTRA: Übergangs-Mitigation

Wenn du nicht sofort patchen kannst:

  1. BDAT deaktivieren: In der Exim-Konfig tls_advertise_hosts = auf leer setzen oder chunking_advertise_hosts = deaktivieren.
  2. Inbound TLS-Verbindungen auf vertrauenswürdige Submitter beschränken.
  3. Fail2ban-Regel für ungewöhnliche BDAT-Close-Notify-Muster.

Diese Mitigations sind nicht dauerhaft — patch so bald wie möglich.

FAZIT: Mail ist die Festung — und sie wackelt

Mailserver-Pflege wird unterschätzt. Viele Sysadmins fassen Exim nur an, wenn es brennt. Dead.Letter zeigt: SMTP ist Public-Edge, und Public-Edge braucht Pflege. Plan einen festen Patch-Slot für deinen Mailserver ein — am besten gleich nach Patch Tuesday und gekoppelt an Quartals-Audits.

Häufige Fragen

Welche Exim-Versionen sind betroffen?
Alle Versionen seit 4.91 mit BDAT-Support. Patches landen in 4.99.2 und im LTS-Branch 4.97.4. Stable-Distros backporten den Fix.
Bin ich auch betroffen, wenn ich nur Outbound SMTP nutze?
Outbound-only MTAs sind weniger gefährdet, aber nicht immun — Inbound-Verbindungen für lokale Zustellung und Forward-Konstellationen können trotzdem den Bug triggern. Patch trotzdem.
Was ist mit Postfix?
Postfix ist nicht betroffen — die Lücke sitzt in Exims BDAT-Handler. Postfix hat eine andere Implementierung.
Wie erkenne ich aktive Ausnutzung?
Aktive Exploits sind aktuell nicht öffentlich. Achte auf ungewöhnliche Crashes im Exim-Log, mehrfache BDAT-Aufrufe mit close_notify-Mitte-Body, oder unerwartete Mail-Relays nach außen.

Quellen:

Kommentar hinterlassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert