最近在整邮件钓鱼,在网上搜集了挺多钓鱼资料的,就按着表哥们的思路复现了一波。

swaks工具简介

Swaks是由John Jetmore编写和维护的一种功能强大,灵活,可脚本化,面向事务的SMTP测试工具。可向任意目标发送任意内容的邮件。
swaks-SMTP协议下的瑞士军刀
kali Linux自带

基本使用语法:

1 swaks --to 123@qq.com     //测试邮箱的连通性;
2 选项说明:(更多高级功能请查man手册)
--from  000@qq.com     //发件人邮箱;
--ehlo  qq.com      //伪造邮件ehlo头,即是发件人邮箱的域名。提供身份认证
--body "http://www.baidu.com"    //引号中的内容即为邮件正文;
--header "Subject:邮件标题"   //邮件头信息,subject为邮件标题
--data ./Desktop/email.txt    //将正常源邮件的内容保存成TXT文件,再作为正常邮件发送;
–attach 添加附件

输出内容的含义
“===”:swaks输出的信息行
“*“:swaks中产生的错误
” ->”:发送到目标的预期行(无错误)
“<- “:服务器的预期回复(无错误)
“<**”:服务器返回的错误信息

基本语法

swaks --body "内容" --header "Subject:标题" -t xxxxx@qq.com -f "admin@qq.com"  --server 你的邮件服务器地址 -p 25 -au <USER> -ap <PASS>

邮件服务器可以选择自己搭建一个或者使用smtp2go,smtp2go主要是相当于邮件托管,可以分发子账户进行发送。
下面的实验用的是自己搭建的。如何搭建的话,这个网上有很多教程,这里为了快速搭建,可以选择使用ewomail
建议自己搭一个或者找个偏点的没什么安全策略的smtp服务器 不然还是很大几率被扔进垃圾桶

swaks配合邮件服务器发送伪造的钓鱼邮件查看是否能通过SPF

swaks --to xxx@gmail.com --from admin@qq.com --ehlo gmail.com --body hello --server 邮件服务器地址 -p 25 -au  账号 -ap 密码

86320-vwq1palt8rh.png

打开gmail邮箱可以看到虽然能发送出去但是SPF验证是失败的,很大几率会被扔进垃圾邮箱里面

SPF验证原理

如果mail.kevin.com是我的邮件服务器,那么gmail服务器收到的源IP肯定也得是mail.kevin.com的IP
gmail会验证邮件发送者的IP是否存在于smtp.from的域名配置列表里。
而上面这条命令
smtp.from是admin@qq.com 和mail.kevin.com的IP不同,所以SPF会验证失败被仍进垃圾桶
默认情况下 如果没有设置mail.from 也就是邮件头的from 则会使用smtp.from作为Mail.from,就是如果没有设置邮件发件人的话就会默认设置邮件服务器来源是邮件发件人

绕过SPF

由于邮件显示的是Header中的From不是smtp.from,因此可以将smtp.from设置为正常的邮件服务器地址,伪造一个Mail.From(发件人)即可。

swaks --to xxx@gmail.com --from @kevin.com(你的邮件地址) --h-From: '管理员<admin@qq.com>' --ehlo gmail.com --body hello --server 邮件服务器地址 -p 25 -au 账号 -ap 密码

Gmail接收到这封邮件后,会校验--from xxx@kevin.com中的kevin.com是否等于mail.kevin.com的IP,由于伪造后是相等的,所以完成了SPF的校验。

72994-9qg1sshrcj7.png

如果我想去除Mailer特征,就可以这么做:

 swaks --header-X-Mailer gmail.com --to xxx@gmail.com --from xxx@kevin.com(你的邮件地址) --h-From: '管理员<admin@qq.com>' --ehlo gmail.com --body hello --server 邮件服务器地址 -p 25 -au 账号 -ap 密码

如何检测域名是否可被伪造
可以推荐个小脚本
spoofcheck
地址https://github.com/BishopFox/spoofcheck

35126-22y8w12d6a7.png

如何解决?
为了使得域名不会被伪造,需要为域名正确配置SPF、DKIM、DMARC。只配置SPF是不行的。

如有错误的地方,欢迎各位师傅指出,避免误导他人。

参考文献
https://payloads.online/archivers/2019-05-09/1?utm_source=tuicool&utm_medium=referral&nsukey=ODeCmZozNCCEnK6yNinv9KsXJvMMzszdqGlkMR5fwCTTHTKBqBYJc2xzO9E66PRnFGfMnEF1kbCQMcRnxLldZ18KGuU5NY1r2AXFDf1HI5IZhqXEDAVpS%2B6TQxhoVk6rCI%2BSGtJzjPSESHrWPHJ5Aw%3D%3D


本文由 wulaoban 创作,采用 知识共享署名 3.0,可自由转载、引用,但需署名作者且注明文章出处。

还不快抢沙发

添加新评论