引用wooyun上瞌睡龙对它的定义就是,邮箱伪造技术可被用来做钓鱼***。即伪造管理员或者IT运维部等邮箱发邮件,获取信任使对方打开附带的***文件或者回复想要获取的敏感资料等。

    在网民安全意识进一步提高的情况下,URL钓鱼成功率开始降低,而在背后,邮件伪造***钓鱼却越发的流行起来,这个主题计划分2次写完,这个当然是1了。

    

一,伪造邮件***原理分析    

    首先,我们来回顾一下SMTP的概要。SMTP(Simple Mail Transfer Protocol)协议,即简单邮件传输协议,是定义邮件传输的协议,它是基于TCP服务的应用层协议,SMTP协议是由一组用于由源地址到目的地址传送邮件的规则,由它来控制邮件的中转方式,它可以帮助计算机在发送或中转邮件时找到下一个目的地。通过SMTP协议所指定的服务器就可以把邮件发送到收件人的服务器上。

    通过分析SMTP协议工作过程中的主要过程我们了解到,发件人的信息、邮件正文信息均是在发送过程中人为可控的数据,这正是伪造的源头。

 

二,防御措施  

    为了防止邮箱伪造,就出现了SPF。SPF(或是Sender ID)是Sender Policy Framework的缩写。

当你定义了你域名的SPF记录后,接收邮件方会根据你的SPF记录来判断连接过来的IP地址是否被包含在SPF记录里面,如果在,则认为是一封正确的邮件,否则则认为是一封伪造的邮件。现在绝大部份反垃圾邮件系统都支持SPF过滤,这种过滤一般不会有误判,除非是邮件系统管理员自己把SPF记录配置错误或遗漏。

伪造邮件***,社工钓鱼,你中招了吗【一】_第1张图片

 

三,初级伪造方法

     在SMTP协议中,允许发件人伪造绝大多数的发件人特征信息。这就导致了可以伪造别人发送邮件。利用邮件服务器过滤不严可能导致伪造的邮件被正常接收,导致用户利益的损失。

     初级手法就是利用现成的软件或web服务发送,有经验的用户可以轻易识破。

伪造邮件***,社工钓鱼,你中招了吗【一】_第2张图片

 

    经测试发现该邮件在QQ邮箱会被识别为垃圾邮件并拦截,而在126邮箱却成功接收,所以126邮箱尽管做了SPF,可能由于某些原因产生了漏洞。

伪造邮件***,社工钓鱼,你中招了吗【一】_第3张图片

 

    查看信头发现伪造的邮件所用服务器ip暴露。但是普通用户很难识别。

伪造邮件***,社工钓鱼,你中招了吗【一】_第4张图片

    下面用软件发送伪造的邮件。

伪造邮件***,社工钓鱼,你中招了吗【一】_第5张图片

伪造邮件***,社工钓鱼,你中招了吗【一】_第6张图片

 

    分析发现这个软件只是把邮件提交到web服务器做了转发,和前一种大同小异。

伪造邮件***,社工钓鱼,你中招了吗【一】_第7张图片

        未完待续,高级伪造方法下回分晓~