记录对钓鱼邮件伪造的理解及如何进行钓鱼邮件伪造 – 作者:trancer

前言

伪造钓鱼邮件之前,要先知道一些相关知识,熟悉邮件发送协议和流程,以便应对钓鱼邮件伪造过程中所出现的问题。

image.png

SPF记录

SPF全称Sender Policy Framework,是为了防范垃圾邮件而提出来的一种DNS记录类型,它是一种TXT类型的记录,它用于登记某个域名拥有的用来外发邮件的所有IP地址。可以防止别人伪造你来发邮件,是一个反伪造性邮件的解决方案。当你定义了你的domain name的SPF记录之后,接收邮件方会根据你的SPF记录来确定连接过来的IP地址是否被包含在SPF记录里面,如果在,则认为是一封正确的邮件,否则 则认为是一封伪造的邮件。

邮件服务的常用协议

POP3是Post Office Protocol 3的简称,即邮局协议的第3个版本,它规定怎样将个人计算机连接到Internet的邮件服务器和下载电子邮件的电子协议。它是因特网电子邮件的第一个离线协议标准,POP3允许用户从服务器上把邮件存储到本地主机(即自己的计算机)上,同时删除保存在邮件服务器上的邮件,而POP3服务器则是遵循POP3协议的接收邮件服务器,用来接收电子邮件的。

SMTP的全称是“Simple Mail Transfer Protocol”,即简单邮件传输协议。它是一组用于从源地址到目的地址传输邮件的规范,通过它来控制邮件的中转方式。SMTP协议属于 TCP/IP 协议簇,它帮助每台计算机在发送或中转信件时找到下一个目的地。SMTP服务器就是遵循 SMTP 协议的发送邮件服务器。
SMTP认证,简单地说就是要求必须在提供了账户名和密码之后才可以登录 SMTP服务器,这就使得那些垃圾邮件的散播者无可乘之机。
增加 SMTP认证的目的是为了使用户避免受到垃圾邮件的侵扰。

IMAP全称是Internet Mail Access Protocol,即交互式邮件存取协议,它是跟POP3类似邮件访问标准协议之一。不同的是,开启了IMAP后,您在电子邮件客户端收取的邮件仍然保留在服务器上,同时在客户端上的操作都会反馈到服务器上,如:删除邮件,标记已读等,服务器上的邮件也会做相应的动作。所以无论从浏览器登录邮箱或者客户端软件登录邮箱,看到的邮件以及状态都是一致的。

钓鱼邮件制作

伪造钓鱼邮件,主要是伪造发件人邮箱地址和发件人名称、邮件内容等。我这里选择sendcloud平台发送钓鱼邮件,首先进行一下发送配置,配置一个域名,域名相当于寄件人的地址。
image.png
新增域名后,要进行域名解析配置SPF、DKIM、DMARC记录
image.png
在域名解析设置里面新增四条记录,检测配置,这时发送的配置就完成了,接着就是伪造邮件内容
image.png

image.png

foxmail里面有查看源码,我们把正文部分复制出来放入1.html,这时打开看一下,发现中文乱码,这时候可能需要你手动去更改中文部分,这里就不做演示了
image.png
image.png
配置apiuser和邮件模板,完成之后会有一个key要记录下来
image.png
image.png

下载py发送脚本,进行发送配置
image.png
image.png
image.png
image.png
伪造成功,复制之前的html内容没进行修改,里面存在乱码,会被识别成垃圾邮件,导致发送失败。

来源:freebuf.com 2021-04-10 16:12:11 by: trancer

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论