钓鱼邮件从入门到放弃.pdfVIP

  1. 1、本文档共14页,可阅读全部内容。
  2. 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
  5. 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
  6. 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们
  7. 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
  8. 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多

钓钓鱼鱼邮邮件件从从⼊⼊门门到到放放弃弃

⽬录

钓钓鱼鱼邮邮件件从从⼊⼊门门到到放放弃弃

钓鱼邮件,即⼀种伪造邮件,是指利⽤伪装的电邮,⼀般⽬的是⽤来欺骗收件⼈账号、⼝令或密码等信息回复给指定的接收者,或附有超链接引导收件⼈连接到特制的钓鱼⽹站或者

带毒⽹页,这些⽹页通常会伪装成和真实⽹站⼀样,如银⾏或理财的⽹页,令登录者信以为真,输⼊收集号码、账户名称及密码等⽽可能被盗取。

在⼤型企业边界安全做的越来越好的情况下,不管是APT攻击还是红蓝对抗演练,钓鱼和⽔坑攻击被越来越多的应⽤。

⼀⼀、、钓钓鱼鱼邮邮件件的的基基本本概概念念

1.1钓钓鱼鱼邮邮件件的的伪伪造造⽅⽅式式

1.1.1购购买买域域名名搭搭建建邮邮箱箱服服务务器器

在真实的钓鱼场景中,⼀般是⽤⼀些近似的邮箱或邮件服务商注册的邮箱,在给甲⽅做钓鱼邮件演练的时候,如果预算⾼,会注册⼀个和甲⽅域名相似的域名,可以使⽤⼯具⾃动寻

找:

#⼯具在kali⾥⾯是预安装的

urlcrazy-i

valid为false的就是没有⼈使⽤的,我们就可以挑⼀个便宜的注册⼀个。然后利⽤域名搭建⼀个邮箱服务器,这⾥推荐ewomail,下⽂有具体的搭建⽅式。

1.1.2伪伪造造发发件件⼈⼈

有时候我们找不到⽐较合适的域名,或者就是单纯的没有钱购买域名,这个时候我们就需要去伪造发件⼈。

我们先快速介绍⼀下邮件传递的过程,我们使⽤的邮箱客户端程序,⽹页版的qq邮箱、Foxmail、outlook统称为MUA(MailUserAgent),他们只跟⾃⼰代理邮箱的smtp服务器

(MTA)交互,⽽你使⽤qq邮箱向sina邮箱发送⼀封邮件,实际上最少经过4台机器,即:

发件MUA-QQMTA-SINAMTA-收件MUA。

然后我们可以仿造swaks直接伪装成⼀台邮件服务器(MTA),⾃⼰去进⾏⾝份的认证和邮件的发送

#elne到邮件服务器的25端⼝

elnesm25

#⽤ehlo申明,表⽰⾃⼰需要⾝份验证,MTA返回⼀些元信息

EHLO+域名

#进⾏⽤户⾝份认证

auhlogin

#然后服务器会返回base64加密过的user和pass字段,你也需要输⼊base64加密过的账号和密码

#发到本系统中域名下的账户可跳过⾝份认证。

#接下来进⼊邮件发送部分,使⽤mailfrom命令指定邮件由谁发出:

mailfrom:es1@

#递送给地址es2@

rcpo:es2@

#使⽤DATA命令指定邮件正⽂,以[.]结束

daa

#结束连接

qui

然后我们可以发现上⾯的发送邮件流程中,涉及到域名后缀的有三个地⽅:

与接收者MTA打招呼时的EHLO命令

指定发送⼈的MAILFROM命令

正⽂⾥的From头部

所以原理上,我们可以按照上⾯讲述原理的过程,直接与对端MTA交互,⾃定义以上三个部分,就可以模拟任何地址发送邮件了,因为MTA之间没有任何认证的过程。当然这个过程

我们可以利⽤⼯具去替代,swaks就是这样的⼀款⼯具(该⼯具下⽂会介绍)。

1.2三三个个邮邮件件安安全全协协议议

1.2.1SPF

SPF是SenderPolicyFramework的缩写,中⽂译为发送⽅策略框架。

主要作⽤是防⽌伪造邮件地址。

由于发送电⼦邮件的传统规范-1982年制定的《简单邮件传输协议(SMTP)》对发件⼈的邮件地址根本不进⾏认证,导致垃圾邮件制造者可以随意编造寄件⼈地址来发送垃圾信,

⽽接收者则毫⽆办法,因为你⽆法判断收到的邮件到底是谁寄来的。

在SPF体系中,每个需要发送电⼦邮件的企业在其对外发布的DNS域名记录中,列出⾃⼰域名下需要发送邮件的所有IP地址段;⽽接收到邮件的服务器则根据邮件中发件⼈所属的域

名,查找该企业发布的合法IP地址段,再对照发送邮件的机器是否属于这些地址段,就可以判别邮件是否伪造的。

查询是否开启SPF

#windows:

nslookup-ype=x

#linux:

dig-x

spf可以配置四种规则:

+Pa

文档评论(0)

livestudy + 关注
实名认证
文档贡献者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档