欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

一封伪造邮件引发的研究

来源:本站整理 作者:佚名 时间:2017-07-04 TAG: 我要投稿
bh=…,是body hash。也就是内容的hash。
b=…,是header的签名。也就是把h=那个里面所有的字段及其值都取出来,外加DKIM-signature这个头(除了b=这个值,因为还不存在),一起hash一下,然后用rsa加密。
   
0x03. 关于国内有名的sendCloud配置注意事项
1、发件域和显示发件人(from)的邮件域(@后面的部分) 不一致导致的代发提示
ESP(邮件服务商)在收到邮件的时候都会检查mail_from 和from 的邮件域(@后面的部分)是否一致,不一致则提示邮件代发
gmail也是这样处理
如果你在sendCloud上配置的发件域和邮件显示的发件人的邮件域不一致,则会在gmail邮箱中显示邮件代发

实际发件域是mail.vpgame.net,而显示的发件人的邮件域是mail.vpgame.cn ,两者不一致,Gmail提示代发
下图是一封码农周刊发送到我Gmail邮箱中的一封邮件, 没有提示代发,因为实际发件人的邮件域是和显示发件人的邮件域是一致的

2、使用非加密端口发送代发邮件
比如上面的mail.vpgame.net 代发的一封邮件就是被显示没有加密,可能是直接调用sendCloud的未加密端口发送的

这里显示sendCloud.org未加密这封邮件, 因为gmail是从sendCloud 收到这封邮件的
0x04. 关于使用foxmail代发邮件
1. foxmail 可以配置显示其他账户(由本邮件代发显示邮件账号)

2. 用上图的配置给自己(上图的实际账号)发封邮件

这里会显示代发
3. 如果是微信收到邮件呢(腾讯企业邮箱绑定微信后,微信可收信)

不注意看,还真以为是显示的发件人发的邮件呢
4. 给Gmail 也发一封

Gmail 也没提示代发
但是我们查看Gmail的原始邮件,可以看到此邮件不是显示发件人发的

5. 我们来看回复此邮件能不能看到猫腻
Gmail的回复, 回复给了显示发件人

fomail的回复,也是回复给了显示收件人

foxmail的快速回复, 回复给了实际发件人

注: 如果是回复全部,则包含实际发件人
0x05. 一些识别伪造邮件的小技巧
1、实际发件人与显示发件人不一致
这时候就需要小心了,确认邮件真的是由合法的第三方代发的,比如有名的邮件代发服务商sendCloud,如果不是,一般都是伪造邮件
如何知道邮件的实际发件人?
一般是查看邮件的原始内容,不过还有一个小技巧,就是在收到邮件的时候,邮箱提示信息中显示的就是实际发件人

当然也可以尝试回复一下邮件,这样真实发件人就知道了,对比一下和显示的发件人是否一致,不一致就要小心了
2、一般正常的发件服务器都会配置SPF,有的还会配置DKIM,如果收到的邮件的发件人的邮件域没有配置SPF,则有可能是伪造邮件
3、一般邮件服务商都会有相应的反垃圾邮件的机制,对于有安全提示的邮件要小心,不要轻易相信,不要轻易点击其中图片、链接、附件


如上图,都是伪造邮件,而且显示是收件人也是伪造的

上一页  [1] [2] [3] [4]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载