邮件钓鱼分析

三大协议

SPF

Sender Policy Framework 的缩写，一种以IP地址认证电子邮件发件人身份的技术。

注：收信人怀疑币是假的，查看这个送信包裹里面记录的发出地是不是央行，如果是黑市有可能是黑钱

DKIM

加密签名和域名关联。

注：假设币是人行发出，收信怀疑币是假的，看圣币的防伪标记

DMARC

DMARC（Domain-based Message Authentication, Reporting & Conformance）是txt记录中的一种，是一种基于现有的SPF和DKIM协议的可扩展电子邮件认证协议，其核心思想是邮件的发送方通过特定方式（DNS）公开表明自己会用到的发件服务器（SPF）、并对发出的邮件内容进行签名(DKIM)，而邮件的接收方则检查收到的邮件是否来自发送方授权过的服务器并核对签名是否有效。对于未通过前述检查的邮件，接收方则按照发送方指定的策略进行处理，如直接投入垃圾箱或拒收。从而有效识别并拦截欺诈邮件和钓鱼邮件，保障用户个人信息安全。

注：上面两项的扩展，央行指定人民银行发货币，收信人只要检查币是不是从人行给出，币上面的防伪码是不是真实

伪造发送

查看有没有spf用命令

nslookup -type=txt  qq.com   或 dig -t txt 163.com

伪造邮件参考：14大假电子邮件生成器推荐合集：用于获取临时电子邮件地址

Email Delivery, API, Marketing Service | SendGrid

钓鱼邮件通常有两大类：

链接钓鱼邮件，通常是想各种办法让目标打开网站，输入密码。

附件钓鱼邮件，但不管哪一类，都需要一个好的文案来让目标点击或者下。

伪造网址

用编码障眼法

仿冒阿里云www.аlіyun.com   

0x456 і

0x430 а

经punycode转码：www.xn--lyun-43d3u.com

上面那个是a有问题，如果把网址复制后，原链接的a删除后用手重新输入一下，就不会解码成xn那个了。

中文域名编码在线转换,Punycode编码,Punycode转换解码查看

可以用一些字母形似的unicode，可利用此表来注册一些钓鱼域名。编码表详见：

https://www.cnblogs.com/csguo/p/7401874.html

​