钓鱼邮件挖掘

SPF是啥

SPF是 Sender Policy Framework 的缩写，一种以IP地址认证电子邮件发件人身份的技术。接收邮件方会首先检查域名的SPF记录，来确定发件人的IP地址是否被包含在SPF记录里面，如果在，就认为是一封正确的邮件，否则会认为是一封伪造的邮件进行退回。
SPF可以防止别人伪造你来发邮件，是一个反伪造性邮件的解决方案。当你定义了你域名的SPF记录之后，接收邮件方会根据你的SPF记录来确定连接过来的IP地址是否被包含在SPF记录里面，如果在，则认为是一封正确的邮件，否则则认为是一封伪造的邮件。

设置正确的 SPF 记录可以提高邮件系统发送外域邮件的成功率，也可以一定程度上防止别人假冒你的域名发邮件

SPF设置

SPF设置其实就是设置发件人的dns的TXT记录。
举个例子，你的邮箱是[email protected]。要对该邮箱启用SPF，就是设置qq.com的TXT记录。
假设你们长江公司搞了个Exchange服务器，给你配了一个邮箱
[email protected]，那就需要你们运维管理员在DNS服务器上增加一条changjiang.com的TXT记录。

这里我们看下qq.com的SPF记录设置。

C:\Users\Hello>nslookup
默认服务器:  UnKnown
Address:  192.168.1.1

> set type=txt
> qq.com
服务器:  UnKnown
Address:  192.168.1.1

DNS request timed out.
    timeout was 2 seconds.
非权威应答:
qq.com  text =

        "v=spf1 include:spf.mail.qq.com -all"
>
>
> spf.mail.qq.com
服务器:  UnKnown
Address:  192.168.1.1

DNS request timed out.
    timeout was 2 seconds.
非权威应答:
spf.mail.qq.com text =

        "v=spf1 include:spf-a.mail.qq.com include:spf-b.mail.qq.com include:spf-c.mail.qq.com include:spf-d.mail.qq.com include:spf-e.mail.qq.com include:spf-f.mail.qq.com -all"
>
> spf-a.mail.qq.com
服务器:  UnKnown
Address:  192.168.1.1

DNS request timed out.
    timeout was 2 seconds.
非权威应答:
spf-a.mail.qq.com       text =

        "v=spf1 ip4:203.205.251.0/24 ip4:103.7.29.0/24 ip4:59.36.129.0/24 ip4:113.108.23.0/24 ip4:113.108.11.0/24 ip4:119.147.193.0/24 ip4:119.147.194.0/24 ip4:59.78.209.0/24 ip4:113.96.223.0/24 ip4:183.3.226.0/24 ip4:183.3.255.0/24 ip4:59.36.132.0/24 -all"
>

通过迭代的查询，我们可以看到qq.com允许发件的IP段。
ip4:203.205.251.0/24 ip4:103.7.29.0/24 ip4:59.36.129.0/24 ip4:113.108.23.0/24 ip4:113.108.11.0/24 ip4:119.147.193.0/24 ip4:119.147.194.0/24 ip4:59.78.209.0/24 ip4:113.96.223.0/24 ip4:183.3.226.0/24 ip4:183.3.255.0/24 ip4:59.36.132.0/24

SPF分析

在下面，我们分别查看了aliyun.com，github.com以及coast.com三个域名的TXT记录。
这三个域名代表了三种不同的情况。
aliyun的spf记录里面， -all 表示严格按此执行，如果不在指定的IP范围内就拒信。
而github.com的spf记录里面， ~all 表示如果不在指定的范围内，不用直接拒掉，需要观察下。
coast.com则是直接没有SPF记录。

C:\Users\Hello>nslookup
默认服务器:  UnKnown
Address:  192.168.1.1

> set type=mx
> aliyun.com
服务器:  UnKnown
Address:  192.168.1.1

DNS request timed out.
    timeout was 2 seconds.
非权威应答:
aliyun.com      MX preference = 10, mail exchanger = mx2.mail.aliyun.com
> set type=txt
> aliyun.com
服务器:  UnKnown
Address:  192.168.1.1

DNS request timed out.
    timeout was 2 seconds.
非权威应答:
aliyun.com      text =

        "v=spf1 ip4:115.124.30.0/24  ip4:121.0.18.0/23 ip4:121.0.30.0/24  ip4:42.120.70.0/23 ip4:47.88.44.32/27 ip4:59.82.0.0/24  -all"
>
> github.com
服务器:  UnKnown
Address:  192.168.1.1

DNS request timed out.
    timeout was 2 seconds.
非权威应答:
github.com      text =

        "docusign=087098e3-3d46-47b7-9b4e-8a23028154cd"
github.com      text =

        "MS=ms58704441"
github.com      text =

        "MS=6BF03E6AF5CB689E315FB6199603BABF2C88D805"
github.com      text =

        "v=spf1 ip4:192.30.252.0/22 ip4:208.74.204.0/22 ip4:46.19.168.0/23 include:_spf.google.com include:esp.github.com include:_spf.createsend.com include:servers.mcsv.net ~all"
github.com      text =

        "MS=ms44452932"
>
>
>
> coast.com
服务器:  UnKnown
Address:  192.168.1.1

DNS request timed out.
    timeout was 2 seconds.
*** 没有 coast.com 可以使用的 text (TXT)记录
>