邮箱伪造漏洞、钓鱼邮件漏洞(未添加SPF导致)
目錄
?
0x00 背景
0x01 細節
0x02?測試方法
0x03?漏洞利用
0x04?防御
參考文獻:
0x00 背景
郵箱偽造技術,可被用來做釣魚攻擊。
即偽造管理員或者IT運維部等郵箱發郵件,獲取信任使對方打開附帶的木馬文件或者回復想要獲取的敏感資料等。
0x01 細節
SMTP協議中,允許發件人偽造絕大多數的發件人特征信息。
這就導致了可以偽造別人發送郵件。
網上還有個網站比較方便直接發送偽造郵件的:
http://emkei.cz/
0x02?測試方法
nslookup -type=txt baidu.com
存在郵箱偽造漏洞的內容:
C:\Users\Administrator>nslookup -type=txt baidu.com 服務器: public1.114dns.com Address: 114.114.114.114bjca.com.cnprimary name server = dns1.hichina.comresponsible mail addr = hostmaster.hichina.comserial = 1refresh = 3600 (1 hour)retry = 1200 (20 mins)expire = 3600 (1 hour)default TTL = 600 (10 mins)不存在漏洞的情況:
C:\Users\Administrator>nslookup -type=txt ***.com 服務器: public1.114dns.com Address: 114.114.114.114非權威應答: baidu.com text ="v=spf1 include:spf.capmail.cn -all"0x03?漏洞利用
首先申請一個測試郵箱,我用的是中國移動郵箱139
利用工具 kali自帶:swaks?
實例:?
swaks --body "test" --header "Subject:test標題" -t gesila_yuan@139.com -f "admin@baidu.com"- --body:內容
- --header:標題
- -t:我們的郵箱
- -f:偽造的郵箱
工具更多用法自查:swaks -h
0x04?防御
為了防止郵箱偽造,就出現了SPF。
SPF(或是Sender ID)是Sender Policy Framework的縮寫。
當你定義了你域名的SPF記錄后,接收郵件方會根據你的SPF記錄來判斷連接過來的IP地址是否被包含在SPF記錄里面,如果在,則認為是一封正確的郵件,否則則認為是一封偽造的郵件。現在絕大部份反垃圾郵件系統都支持SPF過濾,這種過濾一般不會有誤判,除非是郵件系統管理員自己把SPF記錄配置錯誤或遺漏.
至于domain key則是由Yahoo所提出的。必需配合軟件和加密技術,比較麻煩。目前使用的也不多。 Google目前所謂的支援domainkey也只是在寄信的時候加入,免得被yahoo退信,本身并沒有要求寄件者要有domainkey。
正確設置后郵件頭一般顯示如下:
關于SPF是否有設定的必要?一般認為有加上SPF比較好,怕萬一碰到哪個收件服務器有采用SenderID機制來過濾信件的話就有用處了。
如何增加SPF記錄,非常簡單,在DNS里面添加TXT記錄即可,可以使用下面兩個SPF生成檢查工具:
http://www.microsoft.com/mscorp/safety/content/technologies/senderid/wizard/default.aspx
http://old.openspf.org/wizard.html
參考文獻:
- 郵件偽造漏洞:http://www.vuln.cn/7135
- swaks?使用:https://blog.csdn.net/u013819875/article/details/80797906
- swaks?使用:https://blog.csdn.net/hard_lushunming/article/details/62416698
總結
以上是生活随笔為你收集整理的邮箱伪造漏洞、钓鱼邮件漏洞(未添加SPF导致)的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 学习书籍
- 下一篇: KVM虚拟化查看虚拟机IP