10 浅谈邮件伪造漏洞

请先 登录 后评论

最佳答案 2024-04-12 10:46

SPF解析不当

  • 语法错误将导致SPF记录完全失效,https://www.kitterman.com/spf/validate.html 网站输入域名和SPF记录,可以检查SPF记录是否正确(SPF记录本质上是一个DNS记录,所以并不是修改之后立即生效的,通常需要几个小时的时间)
  • 允许IP段过大,只要攻击者拿下一台网段内的机器即可绕过
  • ~all 软拒绝,会接受来信,但可能被标记为垃圾邮件(outlook 邮箱可以接收邮件,qq 邮箱不接收,163 邮箱标记为垃圾邮件)SPF记录设置硬拒绝,就会有大量的邮件被丢弃或者隔离,影响办公效率,为了减少业务影响,有些管理员采用软拒绝的策略,但也会在一定程度上造成安全风险

SPF配置不当

  • 域名增加了SPF记录,但是邮件服务器不支持SPF检查或邮件网关未开启SPF检测,无法验证邮件来源。这种情况下,我们声明了自己是谁,但却无法验证对方是谁,SPF检测无效,可伪造任意用户发送到你的域名邮箱里
  • SPF解析在公网DNS,邮件服务器配置内部DNS,内部DNS无法进行SPF解析,从而导致绕过,可从公网伪造任意用户发送邮件
  • 攻击者在公司内网,内网SMTP服务器开启匿名邮件发送或者在信任服务器IP段,就可以使用任意用户发送邮件

高权限用户绕过

  • Exchange 邮箱系统,拥有 Domain admin 权限的域用户,可以通过 outlook 直接指定发件人,伪造任意发件人发送邮件并且邮件头不会显示真实IP,但是这条没有什么实际意义,已经拥有 Domain admin 权限就没必要进行邮件伪造了

邮件客户端内容解析差异

From 字段特殊字符填充绕过

请先 登录 后评论

其它 5 个回答

c铃儿响叮当
自行解决:DNS解析设置不当,DNS解析绑定邮件的SPF域名,硬拒绝即可
请先 登录 后评论
Lull

前排师傅们说的都非常好,也十分的优秀,结合自己曾经遇到的换个角度。

确定是邮件伪造嘛?

有没有一种可能是攻击者直接调用了你的邮件服务器。有些邮件服务器SMTP的账号密码的校验是默认不开启的,这时候攻击者只需要有邮件名就可以直接替你发起攻击,进而实现了“伪造”

解决方案

  1. 检查 smtp 服务是否开启账号密码校验
  2. 修改密码,避免用户名密码泄露导致的“伪造”
  3. 如果邮件服务器是在内网:在外网环境下,只能收不能发,可以通过限制IP来源方式避免一部分攻击
  4. 参考以上师傅们的意见
请先 登录 后评论
Bains

SPF解析不当

  • 语法错误将导致SPF记录完全失效,https://www.kitterman.com/spf/validate.html 网站输入域名和SPF记录,可以检查SPF记录是否正确(SPF记录本质上是一个DNS记录,所以并不是修改之后立即生效的,通常需要几个小时的时间)
  • 允许IP段过大,只要攻击者拿下一台网段内的机器即可绕过
  • ~all 软拒绝,会接受来信,但可能被标记为垃圾邮件(outlook 邮箱可以接收邮件,qq 邮箱不接收,163 邮箱标记为垃圾邮件)SPF记录设置硬拒绝,就会有大量的邮件被丢弃或者隔离,影响办公效率,为了减少业务影响,有些管理员采用软拒绝的策略,但也会在一定程度上造成安全风险

SPF配置不当

  • 域名增加了SPF记录,但是邮件服务器不支持SPF检查或邮件网关未开启SPF检测,无法验证邮件来源。这种情况下,我们声明了自己是谁,但却无法验证对方是谁,SPF检测无效,可伪造任意用户发送到你的域名邮箱里
  • SPF解析在公网DNS,邮件服务器配置内部DNS,内部DNS无法进行SPF解析,从而导致绕过,可从公网伪造任意用户发送邮件
  • 攻击者在公司内网,内网SMTP服务器开启匿名邮件发送或者在信任服务器IP段,就可以使用任意用户发送邮件

高权限用户绕过

  • Exchange 邮箱系统,拥有 Domain admin 权限的域用户,可以通过 outlook 直接指定发件人,伪造任意发件人发送邮件并且邮件头不会显示真实IP,但是这条没有什么实际意义,已经拥有 Domain admin 权限就没必要进行邮件伪造了
请先 登录 后评论
三金

看看gpt的回答:

添加SPF记录可以防止域名伪造的攻击,但并不能完全避免。除了SPF记录外,还可以采取以下措施:

  1. DKIM签名:使用DKIM(DomainKeys Identified Mail)为邮件添加数字签名,验证邮件来源的真实性。

  2. DMARC验证:使用DMARC(Domain-based Message Authentication, Reporting & Conformance)验证邮件的来源是否合法,同时指定如何处理未通过验证的邮件。

  3. 双因素认证:启用双因素认证,增加用户账户的安全性,防止被攻击者盗取身份。

  4. 增加邮件过滤规则:在邮件服务器上增加过滤规则,对可疑邮件进行拦截,减少用户接收到垃圾邮件的风险。

综合使用以上措施可以提高邮件系统的安全性,防止邮件伪造攻击。

请先 登录 后评论
a1most _qax_butian

SPF(Sender Policy Framework)是一种DNS记录类型,它允许您指定哪些IP地址可以发送电子邮件以及哪些域名或IP地址可以被认为是该邮件的发件人。但是,SPF并不能完全防止伪造的电子邮件,因为存在多个其他的因素会影响电子邮件的信誉和可靠性。

以下是可能导致已添加SPF记录仍然无法完全防止伪造的原因:

  1. SPF不适用于未使用SPF检查的收件人

虽然越来越多的电子邮件服务提供商开始使用SPF来验证发件人身份,但并非所有的电子邮件服务提供商都支持SPF检查。如果收件人服务提供商没有对SPF进行验证,则即使您设置了SPF记录,攻击者仍然有可能从其IP地址发送伪装邮件。

  1. 发件人的域名可能被黑客攻击

攻击者可能会使用某些技术手段,例如钓鱼、恶意软件等方式来获取您的发件人账户信息,并以您的名义发送伪造的电子邮件。在这种情况下,即使您拥有正确的SPF记录,攻击者也可以绕过您的SPF记录,发送伪造的电子邮件。

  1. 采取其他安全措施

除了SPF之外,还有其他的安全措施可以使您的电子邮件更加安全可靠。例如,使用DKIM和DMARC来验证您发送的电子邮件,并启用反垃圾邮件策略以拦截伪造的电子邮件。

总之,虽然SPF是一种很好的防止电子邮件伪造的方法,但它并不能完全解决所有的问题。要确保您的电子邮件真实可靠,您需要采取多种安全措施来防范可能的攻击和欺诈。

请先 登录 后评论