邮件钓鱼

邮件安全的三大协议

SPF

SPF是 Sender Policy Framework 的缩写，一种以IP地址认证电子邮件发件人身份的技术。 接收邮件方会首先检查域名的SPF记录，来确定发件人的IP地址是否被包含在SPF记录里面，如果在，就认为是一封正确的邮件，否则会认为是一封伪造的邮件进行退回。例如：当邮件服务器收到自称发件人是[email protected]的邮件，那么到底它是不是真的gmail.com的邮件服务器发过来的呢，我们可以查询gmail.com的SPF记录，以此防止别人伪造你来发邮件。

SPF详解

DKIM

DKIM让企业可以把加密签名插入到发送的电子邮件中，然后把该签名与域名关联起来。签名随电子邮件一起传送，而不管是沿着网络上的哪条路径传送， [1] 电子邮件收件人则可以使用签名来证实邮件确实来自该企业。可确保邮件内容不被偷窥或篡改。

DMARC

DMARC（Domain-based Message Authentication, Reporting & Conformance）是txt记录中的一种，是一种基于现有的SPF和DKIM协议的可扩展电子邮件认证协议，其核心思想是邮件的发送方通过特定方式（DNS）公开表明自己会用到的发件服务器（SPF）、并对发出的邮件内容进行签名(DKIM)，而邮件的接收方则检查收到的邮件是否来自发送方授权过的服务器并核对签名是否有效。对于未通过前述检查的邮件，接收方则按照发送方指定的策略进行处理，如直接投入垃圾箱或拒收。从而有效识别并拦截欺诈邮件和钓鱼邮件，保障用户个人信息安全。

查看****SPF****配置情况

要想查看一个域名是否配置了SPF，可以用nslookup或者dig查看：

nslookup -type=txt ***.com.cn

dig -t txt 163.com

未配置的是这样：

image.png

SPF可以配置为ip，也可以配置为域名 配置了的是这样

image.png

---

伪造邮件的发送

邮件为什么可以被伪造呢，最根本的原因就是SMTP协议不会验证发送者的身份，当邮件在两个不同的SMTP邮件服务器中被传输时，我们可以通过伪造来源欺骗接收者的SMTP服务器。 没有配置SPF，邮件服务器就不会去验证发件人，就可以直接进行伪造了。

• 修改昵称伪造发件人
  如果拿权威的邮件服务商发送依旧被拦截，可以尝试一种绝对不会被拦截发信的方式，但基本只对通过手机查看邮件的收件人有效。

image.png

• 钓鱼邮件的内容

钓鱼邮件通常有两大类，一种是链接钓鱼邮件，通常是想各种办法让目标打开网站，输入密码。另一种是附件钓鱼邮件，但不管哪一类，都需要一个好的文案来让目标点击或者下载。
一封成功的钓鱼邮件，一个好的文案是必须的，一个让人看了后可能会去点的文案，需要具备以下几个要素：
• 重要性
首先得让体现出来邮件的重要性，来驱使目标去查看邮件。
• 合理性
其次文案得基本合理，这个就需要结合目标的身份，日常习惯，所在公司的情况及业务进行综合考量，来编写出一个合理的文案。
• 紧迫性
最后文案最好有一些紧迫性，来促使目标尽快的去按照文案引导，进行点击、输入等操作。

下边是一些链接钓鱼案例：

• 账号密码过期

  
  
  image.png

• 链接其他不明未知网站地址

最简单的就是用超链接,把元素内容改成想要仿冒的域名，在邮箱页面上，就会直接显示元素的内容，如下图所示：

image.png