邮箱伪造详解

瞌睡龙 2013-08-29 20:20:00

邮箱伪造技术,可被用来做钓鱼攻击。

即伪造管理员或者IT运维部等邮箱发邮件,获取信任使对方打开附带的木马文件或者回复想要获取的敏感资料等。

0x01 细节


SMTP协议中,允许发件人伪造绝大多数的发件人特征信息。

这就导致了可以伪造别人发送邮件。

来看一下乌云上的案例:

WooYun: ifeng exchange伪造源地址漏洞

WooYun: 腾讯邮箱服务器允许源地址欺骗漏洞

WooYun: qq邮箱伪造发件地址,容易被钓鱼利用

网上还有个网站比较方便直接发送伪造邮件的:

http://emkei.cz/

0x02 防御


为了防止邮箱伪造,就出现了SPF。

SPF(或是Sender ID)是Sender Policy Framework的缩写。

当你定义了你域名的SPF记录后,接收邮件方会根据你的SPF记录来判断连接过来的IP地址是否被包含在SPF记录里面,如果在,则认为是一封正确的邮件,否则则认为是一封伪造的邮件。现在绝大部份反垃圾邮件系统都支持SPF过滤,这种过滤一般不会有误判,除非是邮件系统管理员自己把SPF记录配置错误或遗漏.

至于domain key则是由Yahoo所提出的。必需配合软件和加密技术,比较麻烦。目前使用的也不多。 Google目前所谓的支援domainkey也只是在寄信的时候加入,免得被yahoo退信,本身并没有要求寄件者要有domainkey。

正确设置后邮件头一般显示如下:

Received-SPF: pass (google.com: domain of wordpress@your_domain.com designates 72.47.192.112 as permitted sender) client-ip=72.47.192.112;
Authentication-Results: mx.google.com; spf=pass (google.com: domain of wordpress@your_domain.com designates 72.47.192.112 as permitted sender) smtp.mail=wordpress@your_domain.com

关于SPF是否有设定的必要?一般认为有加上SPF比较好,怕万一碰到哪个收件服务器有采用SenderID机制来过滤信件的话就有用处了。

如何增加SPF记录,非常简单,在DNS里面添加TXT记录即可,可以使用下面两个SPF生成检查工具:

http://www.microsoft.com/mscorp/safety/content/technologies/senderid/wizard/default.aspx

http://old.openspf.org/wizard.html

a 你域名的A记录,一般选择yes,因为他有可能发出邮件,比如我上面提到的Wordpress的回信。
mx 一般也是yes,MX服务器会有退信等。
ptr 选择no,官方建议的。
inlude 如果有可能通过一个isp来发信,isp有自己的SPF记录,则填入这个isp的域名。比如你使用Google Apps,应该增加include:google.com记录,因为你的邮件时从Google服务器发出去的。
ip4: 你还有没有其他的ip发信?可能你的smtp服务器是独立出来的,那么就填入你的IP地址或者网段。
~all: 意思是除了上面的,其他的都不认可。当然是yes了。

查看SPF记录的方法

Windows下进入DOS模式后用以下命令

nslookup -type=txt 域名

Unix操作系统下用:

# dig -t txt 域名

评论

I

insight-labs 2013-08-29 20:47:01

还有个replyto的header可以利用

B

Blackeagle 2013-09-05 13:41:39

总觉着邮件伪造算漏洞

小贱人 2014-03-30 21:18:57

不错

_

_Evil 2015-01-16 11:28:31

大帅哥
http://www.exploit-db.com/exploits/34896/
Postfix SMTP 这个能复现不,一直成功不了@_@...

_

_Evil 2015-05-07 16:36:51

@insight-labs 大帅哥 http://www.exploit-db.com/exploits/34896/ Postfix SMTP 这个能复现不,一直成功不了@_@...

L

Lucaroot 2015-08-20 14:07:59

学习了

瞌睡龙

fighting……

twitter weibo github wechat

随机分类

浏览器安全 文章:36 篇
XSS 文章:34 篇
运维安全 文章:62 篇
逻辑漏洞 文章:15 篇
SQL注入 文章:39 篇

扫码关注公众号

WeChat Offical Account QRCode

最新评论

Article_kelp

因为这里的静态目录访功能应该理解为绑定在static路径下的内置路由,你需要用s

N

Nas

师傅您好!_static_url_path那 flag在当前目录下 通过原型链污

Z

zhangy

你好,为什么我也是用windows2016和win10,但是流量是smb3,加密

K

k0uaz

foniw师傅提到的setfge当在类的字段名成是age时不会自动调用。因为获取

Yukong

🐮皮

目录