5 min de leitura Por Excello Mail Team

CVE-2026-45185 'Dead.Letter': Um Único Byte Fora de Hora Dá a um Atacante Controle Total do Seu Servidor de E-mail

Uma falha crítica de execução remota de código não autenticada no Exim, um dos agentes de transferência de e-mail mais usados da internet, foi corrigida em maio de 2026 depois que pesquisadores descobriram que um único byte mal sincronizado podia corromper a memória durante um handshake TLS. Se o servidor de e-mail de saída é o que o atacante compromete, o DMARC não tem mais nada para verificar.

Pesquisadores da XBOW divulgaram uma vulnerabilidade crítica no Exim, apelidada de Dead.Letter e catalogada como CVE-2026-45185, que permite a um atacante não autenticado executar código arbitrário em um servidor de e-mail enviando um único byte fora de hora no momento exato de um handshake TLS. O Exim é um dos agentes de transferência de e-mail de código aberto mais usados da internet e o MTA padrão nas distribuições Debian, Ubuntu e outras derivadas do Debian. A vulnerabilidade tem pontuação CVSS de 9.8, não exige credenciais nem interação do usuário, e foi corrigida no Exim 4.99.3 em 12 de maio de 2026. Toda conversa sobre DMARC parte da suposição de que a infraestrutura que envia seu e-mail está sob seu controle. Essa falha é um lembrete de que essa suposição precisa ser conquistada com patches aplicados, não simplesmente assumida.

Como a Falha Funciona

O problema está em como o Exim processa os corpos de mensagem enviados com o comando BDAT, parte da extensão CHUNKING do SMTP, quando o TLS da conexão é tratado pelo GnuTLS. Durante um encerramento normal de TLS, o Exim libera o buffer que usou para armazenar os dados TLS recebidos. O problema é que uma rotina aninhada de recebimento BDAT pode ainda estar em andamento nesse momento, e acaba chamando uma função que escreve um caractere, uma única quebra de linha, na memória que acabou de ser liberada. Essa escrita de um byte cai sobre os dados internos de controle do alocador de heap, corrompendo-os de um jeito que dá ao atacante um ponto de apoio para construir um exploit mais completo. Para acioná-la, um atacante só precisa abrir uma conexão TLS com o servidor, iniciar uma transferência de mensagem BDAT, enviar um alerta TLS close_notify antes que a transferência termine, e seguir com mais um byte em texto simples na mesma conexão TCP. Cada parte dessa sequência, as conexões TLS e a extensão CHUNKING, vem habilitada por padrão na maioria das instalações de Exim expostas à internet.

Quem Está Exposto

A vulnerabilidade afeta as versões do Exim de 4.97 até 4.99.2, mas apenas as compilações feitas com USE_GNUTLS=yes. Instalações que usam OpenSSL em vez de GnuTLS não são vulneráveis a esse caminho específico. Essa distinção concentra a exposição real em Debian, Ubuntu e outras distribuições que empacotam o Exim com GnuTLS como backend TLS padrão, o que descreve boa parte das organizações pequenas e médias que operam seu próprio servidor de e-mail de saída em vez de uma plataforma gerenciada. O Exim 4.99.3, lançado em 12 de maio de 2026, reinicia a pilha de processamento de entrada quando um alerta close_notify chega durante uma transferência BDAT ativa, o que fecha a janela de sincronização específica da qual essa falha depende.

Por Que Isso Importa para o DMARC

DMARC, SPF e DKIM se apoiam em uma mesma suposição compartilhada: que os servidores listados no seu registro SPF e que guardam suas chaves privadas DKIM são operados apenas por pessoas em quem sua organização confia. Uma falha de execução remota de código não autenticada no próprio servidor de e-mail quebra essa suposição em sua base, não em suas bordas. Um kit de phishing ou uma conta de funcionário comprometida ainda precisam contornar o DMARC de fora da sua infraestrutura. Um atacante que consegue executar código no seu servidor Exim através do Dead.Letter não está contornando nada. Ele está dentro da infraestrutura que seu registro SPF já autoriza e ao lado das chaves DKIM nas quais seu domínio já confia. O e-mail enviado desse servidor após um exploit bem-sucedido carrega uma assinatura DKIM real, se origina de um endereço IP que seu próprio registro SPF permite, e passa limpo pelo alinhamento DMARC em qualquer destinatário que o verifique, porque por toda medida técnica que o DMARC aplica, aquele e-mail realmente veio da sua infraestrutura autorizada. O comprometimento aconteceu uma camada abaixo de onde o DMARC chega a olhar.

O Que os Defensores Devem Fazer

Atualizar para o Exim 4.99.3 imediatamente. Uma falha com pontuação CVSS 9.8 que não exige autenticação nem interação do usuário, em software que por design fica diretamente exposto à internet, deve ser tratada como uma mudança de emergência, não como uma janela de manutenção de rotina.

Verificar se sua compilação realmente usa GnuTLS. Executar exim -bV mostra as opções de tempo de compilação, incluindo qual biblioteca TLS foi usada. Ambientes Debian e Ubuntu devem assumir que estão afetados até que esse comando prove o contrário.

Monitorar quedas inexplicadas do Exim como sinal precoce. Uma tentativa de exploração de use-after-free costuma derrubar o processo alvo antes que um atacante a refine até conseguir uma execução de código confiável. Um aumento nos reinícios ou falhas de segmentação do Exim ligados a sessões SMTP vale a pena investigar mesmo que mais nada pareça fora do lugar ainda.

Auditar a integridade das chaves DKIM depois de aplicar o patch. Se seu servidor de e-mail esteve exposto à internet e sem correção durante a janela de exposição, confirme que suas chaves privadas DKIM não foram acessadas nem substituídas, e as rotacione se houver qualquer dúvida.

A Conclusão

A aplicação do DMARC protege a afirmação de que uma mensagem veio de infraestrutura autorizada pelo dono do domínio. Essa proteção só significa alguma coisa se a própria infraestrutura não tiver sido silenciosamente entregue a outra pessoa. O Dead.Letter é um lembrete de que manter seu agente de transferência de e-mail atualizado não é um item separado na lista ao lado de DMARC, SPF e DKIM. É a condição prévia que faz esses três protocolos valerem a pena existir.


A Excello Mail oferece visibilidade contínua sobre seus relatórios agregados de DMARC e sobre cada fonte autorizada a enviar como seu domínio, para que e-mails inesperados vindos da sua própria infraestrutura sejam mais fáceis de detectar a tempo. Cadastre-se gratuitamente na Excello Mail para manter essa visibilidade enquanto sua equipe mantém o Exim, o Postfix, ou o que quer que opere seu e-mail de saída, atualizado.