邮件伪造

国内官方像腾讯,网易都配置有SPF ,国外google有DKIM。

尝试

使用Foxmail客户端修改发送邮件地址,用官方地址不能欺骗腾讯,网易163。用类域名可以,不过qq会显示代发,网易会直接垃圾箱。

用kali下的swaks,对qq使用时,用参数会拒绝接受,test会被放到垃圾箱,网易直接垃圾箱。

用在线的 https://emkei.cz/ 可以对qq,163伪造成功,gmail测试也可以,只不过头像是问号,鼠标在头像上显示无法验证确实来自…

其中qq邮件截图如下

qq_email.png

使用脚本(脚本用的公共邮件服务发件),或者自己搭建邮件服务(smtp relay),测试Gamil、163、QQ,都可以伪造但都有代发。手机端默认不展示代发。

除此之外,有很多方法让受害者认为是官方邮件,h1不收

判断SPF配置是否合理

查询SPF 记录 dig -t TXT 163.com @8.8.8.8 主要判断是否是软拒绝 v=spf1 include:spf.mail.qq.com -all

参考

https://github.com/tom0li/collection-document#%E9%82%AE%E4%BB%B6%E4%BC%AA%E9%80%A0

Written on February 7, 2018