支付宝提示服务器有【中危漏洞】任意邮件伪造检测

已于 2024-05-13 13:48:18 修改
阅读量3.8k 收藏 3
点赞数 1
分类专栏: 站长相关 文章标签: spf 安全 漏洞 域名 解析
于 2020-11-19 23:57:12 首次发布
本人更多原创文章可以去https://www.10t.com.cn查看!!!
本文链接:https://blog.csdn.net/nxuu01/article/details/109830573
版权

​ 使用Bugscan检测到我自己的网站有这个漏洞后,我费了好一番功夫来查找资料,终于是解决了这个问题。在此把经验分享出来,主要觉得这方面中文资料太少了。

​ 检测到你的服务器存在邮件伪造的时候,你可能还在疑惑:这到底是什么东西?有什么危害?和我有什么关系?

​ 这里就不再细说邮件伪造的始末。遇到问题大家最关心的是解决方案。此处将主要围绕解决方案来说,文本旨在读者看后能得到一个正常运行的设置。

首先,如何验证邮件伪造?

​ 解决对邮件伪造的疑惑,这里有一个在线的测试网站:https://emkei.cz/ 。可以尝试使用这个网站测试发送一封邮件给自己。例如:检测说a.com存在邮件伪造漏洞。那么我们可以尝试使用admin@a.com作为发件人,给一个自己的邮箱,例如我的treeoph(at)gmail(dot)com发送一封测试邮件。内容随意填写,不到一分钟你应该就能收到邮件了,也有可能会在垃圾邮件里。注意,请勿用于非法用途。

第二,有什么危害?

​ 可以想见如果有一个a.com的用户,在收到admin@a.com 的邮件后,用户很可能就相信这就是管理员(admin)发来的邮件。因此,用户很可能会毫不犹豫地点开邮件中的链接、下载并打开其中的附件。这个时候,作为一个a.com的用户,就很可能被攻击控制了。如果用户是管理员,那么可能服务器权限也会沦落他人之手。

​ 另外一种危害方式,一个垃圾邮件生产者可以伪造海量的a.com域名的邮件来散播木马、病毒、钓鱼页面,色情、暴力、恐怖的信息,等等。其危害是不可预测的。

第三,如何防止邮件伪造?

​ 答案是:Sender PolicyFramework (SPF) 发信者策略

1. SPF是什么呢?

​ 简单来说就是人们设计的一套可以杜绝邮件伪造的机制,只要遵照他们设计的方法来配置自己域名的DNS解析,就可以杜绝邮件伪造。

​ 关于SPF的一切,你可以在这个网站(英文)上获得:http://www.openspf.org

​ SPF 的原理是这样的,伪造这虽然能伪造你的域名,但是却不能控制你的域名的DNS解析记录。因为只有拥有域名账户权限,才能更改解析记录。你的域名解析到的ip是1.1.1.1,而伪造者的ip是2.2.2.2。如果能做一个声明,告诉邮件接收者,我的域名发的邮件ip都是1.1.1.1,其他的都是假的,可以抛弃掉,那么就可以杜绝邮件伪造了。SPF就是这样的一个协议,你可以按照SPF的格式发出声明,邮件服务器按照SPF解读你的声明。这样的一次沟通,就可以解决邮件伪造问题了。

2. 如何使用SPF

​ 首先,登录你的域名提供商的管理页面,这个页面就是通常是用来设置域名解析ip地址的地方。例如上述例子,可以这样声明,在域名的解析记录里添加一条txt记录,

二级域名:空或@

txt记录值为:v=spf1 ip4:1.1.1.1 -all

这样,就设置了你的邮件只能是从1.1.1.1这个ip发出的。其中txt记录的意义:

v=spf1      #版本号声明;

ip4:x.x.x.x #指定ip地址;

-all        #对其余的标记为无效(FAIL)

当然这样设置有些问题就是你的域名可能需要变化的ip地址,或扩增多个ip,这时候就可以用其他方式,更改中间的部分(ip4对应位置):

二级域名:空或@

txt记录值为:v=spf1 include:spf1.a.com include:spf2.a.com -all

再设置一个spf1.a.com的txt解析记录,内容为:

二级域名:spf1

txt记录值为:v=spf1 ip4:1.1.1.0/24 ip4:1.2.3.4 -all

其中include的意思是使用其后的地址的SPF记录。而ip4:1.1.1.0/24则是使用一个段。设置spf2.a.com与此类似。这样就可以使用更多的地址作为合法地址。也可以include多层,但常见的一般最多三层已经够用,最后一层要指定到具体的ip或域名。

其他如:v=spf1 a mx ip4:x.x.x.x -all 使用a记录,mx解析记录和指定的ip作为合法地址。

3.更多

关于剩余检查项all前面的“-”符号,参见下表:

"+"  Pass(通过)

"-"  Fail(拒绝)

"~"  Soft Fail(软拒绝)

"?"  Neutral(中立)

建议使用“-all”来拒绝陌生地址的邮件。当使用“~all”时,一般会将邮件标记为垃圾邮件。但是由于有时人们还是会翻查垃圾邮件(甚至有时官方都会建议去检查垃圾邮件),因此这样处理并不安全。所以如无特殊需求,建议使用“-all”来拒绝。

禁用所有邮件服务:

v=spf1 -all

详细语法说明(英文): http://www.openspf.org/SPF_Record_Syntax

http://www.openspf.org/RFC_4408

(用空的话把这个翻译出来)

参考链接(中文):http://www.renfei.org/blog/introduction-to-spf.html

 

勤劳的执着的运维农民工
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 5
    评论
专栏目录
邮箱伪造漏洞、钓鱼邮件漏洞(未添加SPF导致)
墨痕诉清风的博客
10-11 3607
目录 0x00 背景 0x01 细节 0x02测试方法 0x03漏洞利用 0x04防御 参考文献: 0x00 背景 邮箱伪造技术,可被用来做钓鱼攻击。 即伪造管理员或者IT运维部等邮箱发邮件,获取信任使对方打开附带的木马文件或者回复想要获取的敏感资料等。 0x01 细节 SMTP协议中,允许发件人伪造绝大多数的发件人特征信息。 这就导致了可以伪造别人发送邮件。 网上还有个网站比较方便直接发送伪造邮件的: http://emkei.cz/ 0x02测试方法 nsl.....
邮件伪造利用
课嗨教育的专栏
11-18 626
我们以10086的网站作为测试,缺少SPF的设置 检测:http://old.openspf.org/wizard.html 或者:nslookup -type=txt XXX.cn 我们先来说下如果说可以任意邮件伪造的话首先我们知道的利用方式: 钓鱼 认证信息 诈骗 …..等 后面自己发挥想象力! 但是在目前国内安全形势来看的话,这一漏洞最好利用在漏洞平台厂商认证上面。 部署邮件服务器: 准备工具: 外网服务器一台(目前国内所有机房禁用了邮箱端口所以不行) winmail...
鉴定任意伪造指定邮箱发件人邮件地址 亲测有效
04-03
本软件是由邮箱资料站旗下邮箱反垃圾邮件过滤产品技术部独家研制开发,研究此产品的目的主要是希望国内外的邮箱企业能使用我们的软件,来检测完善自身的邮箱产品的不足,弥补在防钓鱼,反垃圾邮件技术上的缺失。可伪造任意的邮箱发送邮件,对市面上的所有的邮箱都有显著的效果,当然也会有个别的邮箱的拦截系统比较完善,不可避免的可能会进入到垃圾箱里。
Python专门造假的库,分分钟伪造上万邮箱,什么城市、人名等都行_python 伪造邮件时间(1)
最新发布
m0_60635035的博客
05-16 1005
不知道你们用的什么环境,我一般都是用的Python3.6环境和pycharm解释器,没有软件,或者没有资料,没人解答问题,都可以免费领取(包括今天的代码),过几天我还会做个视频教程出来,有需要也可以领取~给大家准备的学习资料包括但不限于:Python 环境、pycharm编辑器/永久激活/翻译插件python 零基础视频教程Python 界面开发实战教程Python 爬虫实战教程Python 数据分析实战教程python 游戏开发实战教程Python 电子书100本。
域名下配置,dns TXT记录,防止任意邮件伪造
qq_17335549的博客
07-18 1103
域名下配置,dns TXT记录,防止任意邮件伪造
express中间件当做前端服务器安全漏洞处理
02-27
在使用Express作为前端服务器的过程中,安全是至关重要的。Express是一个流行的Node.js框架,它简化了构建Web应用和服务的过程。然而,如果不正确配置或使用中间件,可能会引入安全漏洞。本篇文章将深入探讨Express...
视频伪造检测:高级视频中基于对象的伪造检测
02-03
"视频伪造检测:高级视频中基于对象的伪造检测"这一主题聚焦于如何通过先进的计算机视觉技术和机器学习算法来识别并检测视频中的伪造内容,特别是针对视频中的对象进行分析。以下是对这一主题的详细阐述: 1. **...
网安工具系列:几个好用的邮件伪造工具
01-13
在网络安全领域,有时需要对邮件进行测试或调查,这时邮件伪造工具就显得尤为重要。本文将详细介绍两个常用的邮件伪造工具——Swaks和SimpleEmailSpoofer,它们都是在匿名发送电子邮件时常用的工具。 首先,让我们...
php漏洞之跨网站请求伪造与防止伪造方法
10-26
攻击者通常会创建一个包含伪造请求的网页或邮件,诱使用户点击或者无意中访问,这个请求可能指向受害者已经登录过的网站,利用用户的已认证身份执行恶意操作。例如,攻击者可能会创建一个链接或隐藏的表单,让受害者...
支付宝的回调bug以及坑爹处
一名普通码农的菜地
05-08 2091
支付宝回调验签失败解决办法 2018年07月05日 09:47:21 DeBuggggggg 阅读数:3905 标签: 支付宝接口 更多 个人分类: 支付宝 按照支付宝的文档,调用rsaCheckV1的方法,他已经把方法封装的很透彻了,只需要将取到的参数Map(request.getParameterMap())集合放入即可。 但是验签一直不通过,查了很多资料,说公钥不对,应该使用支付宝公钥...
支持任意邮箱发送邮件功能
04-03
支持任意邮箱发送邮件功能,支持任意邮箱发送邮件功能,我知道可以调用系统发送邮件,但这种方法有个弊端,就是您的手机必须安装Mail的客户端,因此我想不用系统发送邮件这种方式,能不能向任意邮箱发送邮件呢?给我自己丢下了一个命题。于是我调查,发现SMTP发送email 无需系统支持,无需配置, 经过多次尝试,多次失败,终于完成了此项功能。 1、使用Mail客户端发送邮件 这种方法前提您的手机必须安装Mail客户端,您可以测试的时候下载QQ邮箱客户端,看看运行的效果。 2、使用SMTP发送邮件 这是此贴的重点所在,SMTP的全称是“Simple Mail Transfer Protocol”,即简单邮件传输协议。 它是一组用于从源地址到目的地址传输邮件的规范,通过它来控制邮件的中转方式。 SMTP 协议属于 TCP/IP 协议簇,它帮助每台计算机在发送或中转信件时找到下一个目的地。 SMTP 服务器就是遵循 SMTP 协议的发送邮件服务器。 它需要三个jar包,下载地址:https://code.google.com/p/javamail-android/downloads/list 下载后复制libs,即可。
邮箱伪造之搭建匿名SMTP服务器
05-13 7925
电子邮件欺骗(email spoofing)的根本原因是SMTP协议是不需要身份验证的,攻击者可以利用这个特性伪造电子邮件头,从任意电子邮件地址发送任何人,导致信息看起来来源于某个人或某...
网易邮箱CSRF漏洞
swordheart的博客
04-11 4865
漏洞详情 披露情况: 2010-07-07-07-01-2007 细节已通知 2010-08-18: 细节向公众公开 简要描述: 网易存在 CSRF 漏洞,成功攻击可能会给用户带来多种数据。 详细说明: 网易126邮箱存在RF漏洞,攻击者一个发给126的邮箱,在邮件中需要用户嵌入一个自动攻击的图片,用户只要打开该邮件,就可以在邮箱中设置只发送给用户的邮箱。 <img src="http://config.mail.126.com/autofw/fwto.do?forwarddes=mai
手机outlook刷新不出邮件_Outlook中的存储型XSS——网页版和安卓版均受影响
weixin_39625337的博客
12-15 1652
大家好,这是我第一次写漏洞文章,也是我发现的第一个Outlook漏洞。在很多网络消息服务中,例如Gmail、Outlook、Yahoo等,都允许接受并渲染电子邮件中的HTML内容(Content-Type: text/html),但同时也会进行安全限制,只允许A、H1、img等标签。而当我测试Outlook中的安全过滤机制时,发现link标签并不会被过滤。这就让我有机可乘,成功引入了外部JS代码,...
钓鱼邮件发件人伪造技术剖析
Karka_的博客
07-31 1385
本文介绍了邮件发件人地址是如何被伪造的,以及针对发件人地址伪造技术进行了较为详细的分析。在实战攻防中,结合邮件话术伪造的发件人地址,往往能骗过绝大多数人的眼睛,让恶意邮件达到意想不到的效果。
邮箱伪造详解
weixin_34345753的博客
07-16 1479
0x00 背景 邮箱伪造技术,可被用来做钓鱼攻击。 即伪造管理员或者IT运维部等邮箱发邮件,获取信任使对方打开附带的木马文件或者回复想要获取的敏感资料等。 0x01 细节 SMTP协议中,允许发件人伪造绝大多数的发件人特征信息。 这就导致了可以伪造别人发送邮件。 来看一下乌云上的案例: WooYun: ifeng exchange伪造源地址漏洞 WooYun: 腾讯邮箱...
电子邮件欺诈防护之 SPF+DKIM+DMARC
热门推荐
javagty6778的博客
03-19 1万+
PoC:php?后面检查了一下,发现确实是这样子,我们的电子邮件没有加上对应的安全检查,很容易被别人冒发,从而有可能对我们的用户造成严重的电子邮件欺诈。通过 SPF + DKIM + DMARC, 我们的站点可以很好的解决电子邮件欺诈的问题了。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

勤劳的执着的运维农民工

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值