钓鱼之发件人伪造

前言1:最近发现之前写的文章跟shi一,最近会把一些文章进行翻新,增加文章阅读的可读性。

前言2:

发件人伪造总体分为伪造发件人/发件人字段绕过和代转发两种模式。


1. 发件原理

1.1伪造发件头原理

因为smtp协议未对发信的字段做校验,所以发信时更改from等值便可以伪造发件人。我们来看一下一封邮件的结构。

钓鱼之发件人伪造

一封邮件最重要的也就是from和to分别为

from:发件人(这里就是通过更改发件人进行发件人伪造)

to:收件人

from头伪造防御:SPF,什么是SPF我的另一篇文章有进行讲解这里就不复述了。详情见:发件人伪造和防御原理

1.2代转发伪造发件人原理

代转发机制按理来说会被SPF拦截,但是神 奇的是代转发的邮件往往能进垃圾箱,更甚者能进收件箱。其中的影响因素颇多,跟玄学一般。

钓鱼之发件人伪造

正常邮件路径为A→C

代转发A→B→C

攻击路径:B伪造A转发给C

防御策略:如无业务需求,一律禁止代转发操作

2. 代转发伪造发件人测试

2.1网易和腾讯smtp服务器

一开始以网易和腾讯的smtp服务器做发件测试,发现网易进行伪造会进垃圾箱,腾讯的会显示由XXX代转发。

钓鱼之发件人伪造

值得一提的是在outlook客户端由XXX转发是不显示的。

钓鱼之发件人伪造

所以决定发件的成功的关键,便是找到一个稳定可用无太多安全策略的smtp服务器。这里提供两个方法。

1.自己搭建smtp服务器。

2.找不知名的野鸡smtp厂商。

3. 发件测试

实验环境:

工具:kali swaks

Smtp服务器:smtp2go.com

本人较懒就不把一些测试绕坑的过程写出来了。直接测最终成功的命令。

1.      为了绕过一些邮件服务器的防护策略这里发件直接把钓鱼邮件以eml格式导出。

钓鱼之发件人伪造

2.      删除from值,及更改收件人昵称

通过文本编辑器更改from值及昵称,from改成自己想要伪造的邮件域名及账号,或者直接删掉from和to字段通过第三步的swaks进行配置。

钓鱼之发件人伪造

3.      然后就可以发送了

命令:

swaks –data aaa.eml–h-from “=?gb18030?B?x+XLrg==?=<admin@qingshui.com>”  –from bbb@smtp2go.com –to 12345@qq.com –server mail.smtp2go.com -au  user  -ap pass

钓鱼之发件人伪造

群发钓鱼的话,收件人可以改为一个组,这样就更加具有迷惑性。

经过测试outlook客户端会有这样的骚毛病,exchange服务器不管网页还是客户端均存在此问题。

来源:边界骇客,本文观点不代表自营销立场,网址:https://www.zyxiao.com/p/78042

发表评论

电子邮件地址不会被公开。 必填项已用*标注

侵权联系
分享本页
返回顶部