釣魚之發件人偽造

前言1:最近發現之前寫的文章跟shi一,最近會把一些文章進行翻新,增加文章閱讀的可讀性。

前言2:

發件人偽造總體分為偽造發件人/發件人字段繞過和代轉發兩種模式。


1. 發件原理

1.1偽造發件頭原理

因為smtp協議未對發信的字段做校驗,所以發信時更改from等值便可以偽造發件人。我們來看一下一封郵件的結構。

一封郵件最重要的也就是from和to分別為

from:發件人(這里就是通過更改發件人進行發件人偽造)

to:收件人

from頭偽造防御:SPF,什么是SPF我的另一篇文章有進行講解這里就不復述了。詳情見:發件人偽造和防御原理

1.2代轉發偽造發件人原理

代轉發機制按理來說會被SPF攔截,但是神 奇的是代轉發的郵件往往能進垃圾箱,更甚者能進收件箱。其中的影響因素頗多,跟玄學一般。

正常郵件路徑為A→C

代轉發A→B→C

攻擊路徑:B偽造A轉發給C

防御策略:如無業務需求,一律禁止代轉發操作

2. 代轉發偽造發件人測試

2.1網易和騰訊smtp服務器

一開始以網易和騰訊的smtp服務器做發件測試,發現網易進行偽造會進垃圾箱,騰訊的會顯示由XXX代轉發。

值得一提的是在outlook客戶端由XXX轉發是不顯示的。

所以決定發件的成功的關鍵,便是找到一個穩定可用無太多安全策略的smtp服務器。這里提供兩個方法。

1.自己搭建smtp服務器。

2.找不知名的野雞smtp廠商。

3. 發件測試

實驗環境:

工具:kali swaks

Smtp服務器:smtp2go.com

本人較懶就不把一些測試繞坑的過程寫出來了。直接測最終成功的命令。

1.      為了繞過一些郵件服務器的防護策略這里發件直接把釣魚郵件以eml格式導出。

2.      刪除from值,及更改收件人昵稱

通過文本編輯器更改from值及昵稱,from改成自己想要偽造的郵件域名及賬號,或者直接刪掉from和to字段通過第三步的swaks進行配置。

3.      然后就可以發送了

命令:

swaks –data aaa.eml–h-from “=?gb18030?B?x+XLrg==?=<admin@qingshui.com>”  –from bbb@smtp2go.com –to 12345@qq.com –server mail.smtp2go.com -au  user  -ap pass

群發釣魚的話,收件人可以改為一個組,這樣就更加具有迷惑性。

經過測試outlook客戶端會有這樣的騷毛病,exchange服務器不管網頁還是客戶端均存在此問題。

發表評論

登錄后才能評論
服務中心
服務中心
聯系客服
聯系客服
返回頂部
AV天堂日本AV天堂欧美AV天堂