没有设置SPF记录伪造发件人

0x01.前言

SPF全称为Sender Policy Framework，即发件人策略框架。

当前Email通信，还是在使用简单邮件传输协议(Simple Mail Transfer Protocol)协议。SMTP是一个非常简单的传输协议，本身并没有很好的安全措施。根据SMTP的规则，发件人的邮箱地址是可以由发信方任意声明的。SPF就是为了防止随意伪造发件人。

0x02.SPF记录原理

SPF记录实际上是服务器的一个DNS记录

假设邮件服务器收到了一封邮件，来自主机的IP是173.194.72.103，并且声称发件人为[email protected]。为了确认发件人不是伪造的，邮件服务器会去查询example.com的SPF记录。如果该域的SPF记录设置允许IP为173.194.72.103的主机发送邮件，则服务器就认为这封邮件是合法的；如果不允许，则通常会退信，或将其标记为垃圾/仿冒邮件。攻击者虽然可以设置邮件来自example.com，但是却无权操作example.com的DNS记录；同时也无法伪造自己的IP地址。邮件服务提供商验证SPF记录就会标记为垃圾/仿冒邮件。

0x03.查看SPF记录

1	window: nslookup -type=txt domain（-qt=txt domain）

2

3	linux: dig -t=txt domain

0x04.伪造邮件网址

https://emkei.cz

http://www.deadfake.com/Send.aspx

0x05.更多参考

http://drops.wooyun.org/papers/534

http://blog.csdn.net/zzban/Article/details/8997713

http://www.renfei.org/blog/introduction-to-spf.html

http://www.wooyun.org/bugs/wooyun-2011-03257

http://www.wooyun.org/bugs/wooyun-2011-03116