一、反追踪电子邮件
对可疑邮件的源IP地址发现,可以跟踪邮件,收集尽可能多的信息,一般情况下,当在Internet上跟踪一个源IP地址,不仅可以发现受害者的ISP,而且可以得到攻击者的地理信息。在防御措施中可以进行黑名单处理。
1.1反向DNS查找
可以使用nslppkup工具进行反向DNS查找,找出相关域名对应的IP地址,然后通过Internet查看源IP地址的地理信息判断是否是可信的IP地址。
1.2Whois
介绍一个更加可靠的工具,Whois数据库是一个在世界范围内广泛使用的数据库,这个数据库保持了不通的域名注册表,由不同的域名注册公司来进行管理。这个Whois数据库可以被用来发现有关域名的信息。
也可以在站长之家查询查询相关信息http://whois.chinaz.com
二、邮件伪造
邮件伪造就是让攻击者伪装邮件来源,并将其发送给受害者。攻击者通常使用邮件伪造发送钓鱼邮件。
1.1简单邮件伪造
1.1.1正常邮件发送接受原理
粗略原理如下图所示:
1.2简单邮件伪造
上一节我们是使用sohu邮箱服务器来发送邮件的,其实本地能够直接发送邮件给gmail服务器,我们可以发送邮件给目标邮件服务器,然后声称自己是XXX@qq.com,因为SMTP协议本身也不要求对此声明做认证,这也就是钓鱼邮件的原理。
1.2.1验证SPF
通常钓鱼邮件会声称自己是hr攻击邮箱有可能是hr@venusgroup.com.cn等,此时我们可以查看所收到邮件的源IP地址。
然后使用nslookup查看源ip地址106.39.10.184在不在venusgroup.com.cn域名SPF记录名单里面,如果text的地址中包含查看到的源ip则说明邮件确实是该邮箱发送得。
1.2.2邮件伪造方法
Swaks(瑞士军刀),利用swaks可以方便得发送伪造邮件。
常用Swaks指令
–ehlo [helo-string]:伪造ehlo头信息
–header [header-and-data]:伪造From、Subject、Message-Id、X-Mailer等头信息
–data [data-portion]:伪造DATA的全部内容,可直接将邮件源码作为选项
–attach [attachment-specification]:添加附件
总结:
(1)当一个域名未设置SPF记录或者设置不当,就存在邮件伪造漏洞风险。可以通过如下方式探测域名是否存在SPF记录:
Nslookup -type=txt xxx.com.cn
未设置如下:
设置不当如下:
注意区分:其中的-all表明在不匹配前面所列主机时,接收服务器需要将邮件全部拒绝;SPF记录设置成~all,未匹配到的邮件可被接受,也可被标记为垃圾邮件。
(2)经过测试,当接收邮箱系统验证SPF时出现上述情况时,不同邮箱系统的反应如下:
qq邮箱不接受
outlook邮箱接收
gmail邮箱标记为垃圾邮件
163邮箱标记为垃圾邮件
1.3 绕过SPF
1.3.1 Swaks绕过
会验证smtp.from发送人邮件服务器是否和邮件服务器地址IP相等,如果不同SPF则会验证失败。
邮件显示的是Header当中的From不是smtp.from,因此可以将smtp.from设置为正常的邮件服务器地址,伪造一个Mail.From
swaks --to 123456@qq.com --from 正常地址 --h-From: ‘管理员admin@qq.com’ --ehlo qq.com --body hello --server 邮件服务器 -p 25 -au -ap
不过这样的方法经过测试,会存在一个问题,会显示由xxxx代发,而这个则就是我们真实发送的邮箱。
2万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
