ToB企服应用市场:ToB评测及商务社交产业平台

标题: 【邮件伪造】SPF与DKIM验证原理及实战剖析(上) [打印本页]
作者: 用多少眼泪才能让你相信    时间: 2024-12-6 22:40
标题: 【邮件伪造】SPF与DKIM验证原理及实战剖析(上)
0x01 前言

大家好,我是VoltCary
本篇文章是系列邮件安全专题的第一篇,主要帮助大家把握邮件安全的底子知识。
底子内容包括:
把握这些底子后,你将可以大概更好地理解邮件伪造的验证原理与绕过技巧,进而把握邮件伪造的排查方式。如果没有彻底弄懂原理,很容易陷入狐疑,只会照搬别人现成的方法。
0x02 SPF

SPF底子

SPF用于验证发件人的IP地址是否被授权发送该域名的邮件。
通过配置SPF记录,域名所有者可以指定哪些邮件服务器可以代表该域名发送邮件。当域名和IP一致,则SPF验证通过。
SPF是校验是由收件人邮件服务器,基于 MAIL FROM 字段(又叫 Envelope From)、Return-Path字段中的邮箱域名,并获取发件人的IP地址。
然后查询域名DNS的txt记录,判断此邮箱域名是授权哪些服务器IP发送邮件,如果发件人IP与DNS记录的授权服务器IP一致,那么SPF就会验证通过。
SPF 记录必须遵循一定的尺度,以便服务器理解其内容。如下是SPF记录内容示例:
  1. v=spf1 ip4:192.0.2.0 ip4:192.0.2.1 include:examplesender.email -all
复制代码
v=spf1:告诉服务器这里包含一条 SPF 记录。每一条 SPF 记录都必须以这个字符串开始。
ip4:授权 IP 地址。在本例中,SPF 记录告诉服务器,ip4:192.0.2.0 和 ip4:192.0.2.1 被授权代表该域发送电子邮件。
include:examplesender.net:该标记告诉服务器,有哪些第三方组织被授权代表该域发送电子邮件。这个标记表示,被包含域(examplesender.net)的 SPF 记录内容应被检查,此中包含的 IP 地址也应被视为已授权。一条 SPF 记录中可包含多个域,但这个标记仅适用于有效的域。
-all:严格的 SPF 失败处理计谋,表示SPF 记录中未列出的地址没有被授权发送电子邮件并应被拒绝。
~all:软失败,即宽松的SPF 配置,表示未列出的电子邮件将被标记为不安全邮件或垃圾邮件,但仍会被接受;
+all:表示任何服务器都可以代表该域发送电子邮件。
查询SPF方式

nslookup -qt=txt qq.com

0x03 SPF校验邮箱伪造流程

校验关键点

校验关键点:SPF 校验关注的是邮件传输路径,即通过 MAIL FROM 和 Return-Path 字段来验证发送邮件的服务器是否合法。From字段仅用于显示,不影响SPF校验。
注意:SPF校验是针对 MAIL FROM 字段的,而非 From 字段。
SPF校验流程

说明:这里以中继服务发送伪造邮件的 SPF 校验作为示例。
由于直接本机发送过于简单,无需讲解。
假设:中继服务邮箱为 aaa@aaa.com,攻击者通过SMTP登录中继服务,伪造 bbb@bbb.com,发送邮件给 ccc@ccc.com。
1、攻击者登录 SMTP 中继邮件服务器:使用aaa@aaa.com登录,并伪造邮件的 From 地址为 bbb@bbb.com,然后发送邮件到 ccc@ccc.com。
2、From 字段(显示发件人)在邮件头中会显示为:
  1. From: bbb@bbb.com
复制代码
3、但是,实际的邮件头中会包含中继服务器的 MAIL FROM 字段,通常为:
  1. MAIL FROM: aaa@aaa.com
复制代码
4、收件人邮件服务器处理
收件人邮件服务器 ccc@ccc.com 会根据 aaa@aaa.com 域名的 SPF 记录来验证邮件是否来自合法的邮件服务器。
如果中继服务器的 IP 地址没有被列在 aaa.com 的 SPF 记录中,SPF 校验会失败。
注意:
这里收件人邮件服务器并不是验证 bbb@bbb.com 的 SPF 记录,而是验证 发送邮件的服务器(中继服务) 是否有权通过 aaa@aaa.com 发送邮件。
结论:
SPF 校验是针对 MAIL FROM 字段的。收件人邮件服务器会根据 aaa@aaa.com 域名的 SPF 记录来检查邮件是否由中继服务器的 IP 地址发送。如果中继服务器的 IP 地址不在 aaa.com 的 SPF 记录中,SPF 校验会失败。
收件人不会验证 bbb@bbb.com 的 SPF 记录,由于 SPF 校验关注的是邮件的 传输路径,即发件人邮件服务器的 IP 地址,而不是邮件的显示发件人。
SMTP 下令示例

如果攻击者通过中继服务发送伪造邮件,以下是一个基本的 SMTP 会话示例。攻击者通过登录到中继服务器,并在发送邮件时伪造 From 字段。
SMTP 下令过程:
1、攻击者连接到中继服务器
  1. telnet relay.server.com 25
复制代码
2、SMTP 会话开始
  1. HELO attacker.com
复制代码
3、发送 MAIL FROM 下令,伪造发件人地址为 bbb@bbb.com,使用中继服务的邮箱 aaa@aaa.com 作为发送源
  1. MAIL FROM:<aaa@aaa.com>
复制代码
4、发送 RCPT TO 下令,指定收件人地址
  1. RCPT TO:<ccc@ccc.com>
复制代码
5、发送 DATA 下令,开始编写邮件内容:
  1. DATA
复制代码
6、邮件内容:
  1. From: bbb@bbb.com
  2. To: ccc@ccc.com
  4. Subject: Fake Email
  6. This is a fake email.
复制代码
7、结束邮件并发送:
  1. .
复制代码
8、SMTP 会话结束:
  1. QUIT
复制代码
SPF 中继校验总结:
SPF 校验 是基于 MAIL FROM 或 Return-Path 字段举行的,而中继服务一般 MAIL FROM 中的邮箱域名与授权IP是一致的、或没有 SPF 记录或者被滥用。
收件人的邮件服务器无法检测到问题,只是校验SPF失败,但是也可能会继续接收。
由于收件人的邮件服务器如果没有严格配置 SPF 检查计谋,或者它没有明确设置拒绝 SPF 检查失败的邮件。
重点:
在这个过程中,邮件头中的 From: bbb@bbb.com 是伪造的,MAIL FROM: aaa@aaa.com 是实际用于 SPF 校验的字段。
收件人邮件服务器 验证 aaa@aaa.com 的 SPF 记录,而不是 bbb@bbb.com 的 SPF。
0x04 DKIM署名验证过程

DKIM一般用来验证传输过程中是否被篡改,例如中间人攻击,包括开放中继,滥用邮件服务器,基于署名的有效性,来验证邮件头部和正文是否被篡改。
DKIM也可以达到拦截伪造邮箱的结果,由于伪造邮箱根本没有带上署名,就算带上假的署名,收件人邮件服务器去域名DNS查询公钥时,解密出来的结果也会不一致,除非攻击者知道私钥。
因此,虽然DKIM与SPF的验证原理不一致,但是单从拦截邮箱伪造来讲,当验证不通过,结果也会可能一致拒绝、或标记为垃圾邮件,也可以办理邮箱伪造的攻击。
DKIM 的验证基于 公钥加密机制。具体过程如下:
1、发件人邮件服务器生成 DKIM 署名
2、收件人邮件服务器提取 DKIM 署名
3、收件人邮件服务器验证署名
0x05 总结

本文具体介绍了邮件安全的验证方式,以及验证过程。下一期将会实践邮箱伪造,并介绍邮件头,基于邮件头来辨认邮箱伪造攻击,敬请等候!

免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。



欢迎光临 ToB企服应用市场:ToB评测及商务社交产业平台 (https://dis.qidao123.com/) Powered by Discuz! X3.4