8、会钓鱼的邮件 8、会钓鱼的邮件 首先需要了解现在主流的邮件的安全措施。 ## 邮件安全的三大协议： #### **1、SPF** SPF是 Sender Policy Framework 的缩写，一种以IP地址认证电子邮件发件人身份的技术。 接收邮件方会首先检查域名的SPF记录，来确定发件人的IP地址是否被包含在SPF记录里面，如果在，就认为是一封正确的邮件，否则会认为是一封伪造的邮件进行退回。 例如：当邮件服务器收到自称发件人是spam@gmail.com的邮件，那么到底它是不是真的gmail.com的邮件服务器发过来的呢，我们可以查询gmail.com的SPF记录，以此防止别人伪造你来发邮件。 #### **2、DKIM** DKIM让企业可以把加密签名插入到发送的电子邮件中，然后把该签名与域名关联起来。签名随电子邮件一起传送，而不管是沿着网络上的哪条路径传送， \[1\] 电子邮件收件人则可以使用签名来证实邮件确实来自该企业。可确保邮件内容不被偷窥或篡改。 #### **3、DMARC** DMARC（Domain-based Message Authentication, Reporting & Conformance）是txt记录中的一种，是一种基于现有的SPF和DKIM协议的可扩展电子邮件认证协议，其核心思想是邮件的发送方通过特定方式（DNS）公开表明自己会用到的发件服务器（SPF）、并对发出的邮件内容进行签名(DKIM)，而邮件的接收方则检查收到的邮件是否来自发送方授权过的服务器并核对签名是否有效。对于未通过前述检查的邮件，接收方则按照发送方指定的策略进行处理，如直接投入垃圾箱或拒收。从而有效识别并拦截欺诈邮件和钓鱼邮件，保障用户个人信息安全。 ## **查看SPF配置方法：** 第2第3中协议现实用不多，做了安全的公司，更多是做的spf协议，要想查看一个域名是否配置了SPF，可以用nslookup或者dig查看： ```sh nslookup -type=txt 163.com dig -t txt 163.com #如果返回结果中含有SPF，那么就是启用了该安全协议 ``` ## 伪造邮件的发送 ### 没有spf的情况下 1. swaks的邮件伪造工具,kali中自带 ``` swaks --to xxxx@qq.com --from info@XXX.com --ehlo XXX.com --body hello --header "Subject: hello" # 参数含义 --to <收件人邮箱> --from <要显示的发件人邮箱> --ehlo <伪造的邮件ehlo头> --body <邮件正文> --header <邮件头信息，subject为邮件标题> ``` 2. fastmail工具 3. 可以自己在vps上搭建邮件服务器 4. 使用第三方的在线邮件伪造服务器 邮件伪造服务：http://tool.chacuo.net/mailanonymous ### 配置了SPF的情况 1. 用一些权威的邮件服务商去发送邮件了 如sendgrid，mailgun，这些权威邮件服务商，会被大部分邮件服务商加到白名单中，这样他们的邮件就不会进到垃圾箱（但是一般都需要钱） 2. 修改昵称伪造发件人 如果拿权威的邮件服务商发送依旧被拦截，可以尝试一种绝对不会被拦截发信的方式，但基本只对通过手机查看邮件的收件人有效。 修改发件人昵称为伪造对象的以及邮箱地址。如果受害者通过手机查看邮件那么有极大的几率会认为此邮件为正常邮件。 ### 提高送达成功率的小技巧 1. 适当控制发信的频率，如果短时间内向同一个邮箱地址发信，也会容易被标记为垃圾邮件。最好向同一邮箱发信间隔在2-5天 2. 将较大的收件人列表分割成若干个小的，分时间段发送 3. 使用变量 一般来说，邮件服务器多次收到来自同一个邮件IP地址的相同内容邮件，很容易就被判定为垃圾邮件。在进行邮件编辑时，多采用变量设置，像公司名、收件人，可以进行变量添加，避免邮件内容完全一致 ### 钓鱼邮件的内容 钓鱼邮件通常有两大类，一种是链接钓鱼邮件，通常是想各种办法让目标打开网站，输入密码。另一种是附件钓鱼邮件，但不管哪一类，都需要一个好的文案来让目标点击或者下载。 一封成功的钓鱼邮件，一个好的文案是必须的，一个让人看了后可能会去点的文案，需要具备以下几个要素： * 重要性 首先得让体现出来邮件的重要性，来驱使目标去查看邮件。 * 合理性 其次文案得基本合理，这个就需要结合目标的身份，日常习惯，所在公司的情况及业务进行综合考量，来编写出一个合理的文案。 * 紧迫性 最后文案最好有一些紧迫性，来促使目标尽快的去按照文案引导，进行点击、输入等操作。 * 链接钓鱼案例 账号被异常登录、账号密码过期、系统更新，迁移、领取礼品