引用wooyun上瞌睡龙对它的定义就是,邮箱伪造技术可被用来做钓鱼攻击。即伪造管理员或者IT运维部等邮箱发邮件,获取信任使对方打开附带的木马文件或者回复想要获取的敏感资料等。
在网民安全意识进一步提高的情况下,URL钓鱼成功率开始降低,而在背后,邮件伪造攻击钓鱼却越发的流行起来,这个主题计划分2次写完,这个当然是1了。
一,伪造邮件攻击原理分析
首先,我们来回顾一下SMTP的概要。SMTP(Simple Mail Transfer Protocol)协议,即简单邮件传输协议,是定义邮件传输的协议,它是基于TCP服务的应用层协议,SMTP协议是由一组用于由源地址到目的地址传送邮件的规则,由它来控制邮件的中转方式,它可以帮助计算机在发送或中转邮件时找到下一个目的地。通过SMTP协议所指定的服务器就可以把邮件发送到收件人的服务器上。
通过分析SMTP协议工作过程中的主要过程我们了解到,发件人的信息、邮件正文信息均是在发送过程中人为可控的数据,这正是伪造的源头。
二,防御措施
为了防止邮箱伪造,就出现了SPF。SPF(或是Sender ID)是Sender Policy Framework的缩写。
当你定义了你域名的SPF记录后,接收邮件方会根据你的SPF记录来判断连接过来的IP地址是否被包含在SPF记录里面,如果在,则认为是一封正确的邮件,否则则认为是一封伪造的邮件。现在绝大部份反垃圾邮件系统都支持SPF过滤,这种过滤一般不会有误判,除非是邮件系统管理员自己把SPF记录配置错误或遗漏。
三,初级伪造方法
在SMTP协议中,允许发件人伪造绝大多数的发件人特征信息。这就导致了可以伪造别人发送邮件。利用邮件服务器过滤不严可能导致伪造的邮件被正常接收,导致用户利益的损失。
初级手法就是利用现成的软件或web服务发送,有经验的用户可以轻易识破。
经测试发现该邮件在QQ邮箱会被识别为垃圾邮件并拦截,而在126邮箱却成功接收,所以126邮箱尽管做了SPF,可能由于某些原因产生了漏洞。
查看信头发现伪造的邮件所用服务器ip暴露。但是普通用户很难识别。
下面用软件发送伪造的邮件。
分析发现这个软件只是把邮件提交到web服务器做了转发,和前一种大同小异。
未完待续,高级伪造方法下回分晓~
本文出自 “0x33CCFF” 博客,请务必保留此出处http://zerosecurity.blog.51cto.com/9913090/1631207