欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

一封伪造邮件引发的研究

来源:本站整理 作者:佚名 时间:2017-07-04 TAG: 我要投稿

我用swaks 发送一封以我们公司CTO为显示发件人(腾讯企业邮箱)的伪造邮件给我的一个同事,邮件的内容就是让这位同事去CTO的办公司一趟,没想到这位同事真的去了,然后一脸懵逼的回来了
恶作剧算是完了,但是这让我开始研究伪造邮件是为什么产生的,腾讯企业邮为什么没有拦截
0x01.  关于伪造邮件的一些概念
1) 邮件服务商之间转发邮件是不需要认证的,也就是说MTA 到MTA之间转发邮件是不需要认证的,这是SMTP协议本身定义的。 所以协议钓鱼邮件就可以伪称来自某某MTA发送钓鱼邮件
 2) 互联网上有一些邮件域名没有配置SPF记录 或者SPF记录值设置不当,就会被用作伪造邮件的mail_from 后缀域名
比如freebuf.com
3) 我们平常必须登录才能发送邮件(一般用的发邮件工具称作MUA,比如foxmail等),这是因为邮件服务商人为要求的,这不是SMTP协议本身要求的,SMTP协议本身是不需要身份认证的
4) mail_from 和from 的区别
mail_from: 是信封上的发件人,由[前缀@域名]组成,是实际发件人
from: 信封内容里的发件人。 也就是我们平时
如果mail_from (实际发件人) 和 from (宣称的发件人) 不一致,则收到的邮件会显示 本邮件由代发,以提醒收件人两者的不同

有的ESP(邮件服务商)并不会要求mail_from 和from完全一致,而只是要求两者的域名相同(比如QQ 邮箱 和Gmail邮箱)
下面是Gmail邮箱收到的一封发送的邮件,mail_from 和from 不完全一致, 但没有提示代发

是调用sendCloud 的API 进行发件的,由于SendCloud 对mail_from 的前缀(@前面的)用的是随机字符串,所以遇到严苛的ESP(mail_from 和from 必须完全一致才不显示代发,比如网易邮箱), 那就爱莫能助了
5) 一个腾讯企业邮特殊的例子
这是一封腾讯企业邮的收到的伪造邮件(mail_from 和from不一致), mail_from 是xxx@xxx.com from是xxx@xxx.cn
mail_from 和from 的后缀中就cn 和com 不同,也就是说只有顶级域名不同,其他相同
这样腾讯企业有竟然没有代发提示、安全提示,正常的出现在了我的收件箱中, 不管mail_from 中后缀xxx.com 的SPF是不是OK,
也不管xxx.com是不是存在

腾讯企业邮支持将邮件原始内容导出成eml文件(可用文本编辑器编辑、查看)


而另一封我伪造的一封邮件实际发件人是 service@htouhui.com, 显示发件人是xxx@xxx.cn ,收件人是 xxxx@xxx.cn
显然mail_from 和from不一致,这里腾讯企业邮是会提示你代发

比对两个伪造邮件,我据此反馈给了腾讯企业邮开发组,我觉得是腾讯企业邮的BUG,截止到本篇文章发表时一周前,腾讯企业邮给我的回复是:邮件相关策略有问题,还在优化中
6)reply-to: 信件回复的收件人, 用户直接回复邮件时,reply-to就是默认收件人。 如果用户不指定它, from就是默认收件人
7) mail_to 和 to的区别
mail_to 是实际收件人(信封上的收件人), 而 to 是显示收件人(即信封内容中的收件人)
to 也是可以伪造的(to 支持别名显示,别名也是可以伪造的),类似于from
这是一封伪造邮件,to 也被伪造了

0x02. 关于防止垃圾邮件的两种技术
1、SPF
关于SPF的概念:
SPF维基百科
1) SPF的配置
SPF 其实就是一条DNS的TXT的记录,其记录值就是 SPF的内容 比如:v=spf1 include:spf.mail.qq.com -all"
SPF 需要在域名解析服务器上配置,比如说是国内常用的DNSPOD配置如下:

比如说service@freebuf.com 这封邮件的SPF 记录怎么设置,那么需要在二级域名freebuf.com下增加一个主机记录为@, 记录类型为TXT, 记录值为v=spf1 include:spf.mail.qq.com ~all (记录值格式是这样,具体值可能有所不同)
如果收到的邮件格式是这样的: service@mail.vpgame.net ,那么SPF 记录需要这样设置
在二级域名vpgame.net配置如下:
主机记录为mail ,记录类型为TXT,记录值为:v=spf1 include:spf.sendcloud.org -all
2)查询邮件域的SPF:
windows :

nslookup -qt=txt freebuf.com

[1] [2] [3] [4]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载