8、會釣魚的郵件 8、會釣魚的郵件 首先需要了解現在主流的郵件的安全措施。 ## 郵件安全的三大協議： #### **1、SPF** SPF是 Sender Policy Framework 的縮寫，一種以IP地址認證電子郵件發件人身份的技術。 接收郵件方會首先檢查域名的SPF記錄，來確定發件人的IP地址是否被包含在SPF記錄里面，如果在，就認為是一封正確的郵件，否則會認為是一封偽造的郵件進行退回。 例如：當郵件服務器收到自稱發件人是spam@gmail.com的郵件，那么到底它是不是真的gmail.com的郵件服務器發過來的呢，我們可以查詢gmail.com的SPF記錄，以此防止別人偽造你來發郵件。 #### **2、DKIM** DKIM讓企業可以把加密簽名插入到發送的電子郵件中，然后把該簽名與域名關聯起來。簽名隨電子郵件一起傳送，而不管是沿著網絡上的哪條路徑傳送， \[1\] 電子郵件收件人則可以使用簽名來證實郵件確實來自該企業。可確保郵件內容不被偷窺或篡改。 #### **3、DMARC** DMARC（Domain-based Message Authentication, Reporting & Conformance）是txt記錄中的一種，是一種基于現有的SPF和DKIM協議的可擴展電子郵件認證協議，其核心思想是郵件的發送方通過特定方式（DNS）公開表明自己會用到的發件服務器（SPF）、并對發出的郵件內容進行簽名(DKIM)，而郵件的接收方則檢查收到的郵件是否來自發送方授權過的服務器并核對簽名是否有效。對于未通過前述檢查的郵件，接收方則按照發送方指定的策略進行處理，如直接投入垃圾箱或拒收。從而有效識別并攔截欺詐郵件和釣魚郵件，保障用戶個人信息安全。 ## **查看SPF配置方法：** 第2第3中協議現實用不多，做了安全的公司，更多是做的spf協議，要想查看一個域名是否配置了SPF，可以用nslookup或者dig查看： ```sh nslookup -type=txt 163.com dig -t txt 163.com #如果返回結果中含有SPF，那么就是啟用了該安全協議 ``` ## 偽造郵件的發送 ### 沒有spf的情況下 1. swaks的郵件偽造工具,kali中自帶 ``` swaks --to xxxx@qq.com --from info@XXX.com --ehlo XXX.com --body hello --header "Subject: hello" # 參數含義 --to <收件人郵箱> --from <要顯示的發件人郵箱> --ehlo <偽造的郵件ehlo頭> --body <郵件正文> --header <郵件頭信息，subject為郵件標題> ``` 2. fastmail工具 3. 可以自己在vps上搭建郵件服務器 4. 使用第三方的在線郵件偽造服務器 郵件偽造服務：http://tool.chacuo.net/mailanonymous ### 配置了SPF的情況 1. 用一些權威的郵件服務商去發送郵件了 如sendgrid，mailgun，這些權威郵件服務商，會被大部分郵件服務商加到白名單中，這樣他們的郵件就不會進到垃圾箱（但是一般都需要錢） 2. 修改昵稱偽造發件人 如果拿權威的郵件服務商發送依舊被攔截，可以嘗試一種絕對不會被攔截發信的方式，但基本只對通過手機查看郵件的收件人有效。 修改發件人昵稱為偽造對象的以及郵箱地址。如果受害者通過手機查看郵件那么有極大的幾率會認為此郵件為正常郵件。 ### 提高送達成功率的小技巧 1. 適當控制發信的頻率，如果短時間內向同一個郵箱地址發信，也會容易被標記為垃圾郵件。最好向同一郵箱發信間隔在2-5天 2. 將較大的收件人列表分割成若干個小的，分時間段發送 3. 使用變量 一般來說，郵件服務器多次收到來自同一個郵件IP地址的相同內容郵件，很容易就被判定為垃圾郵件。在進行郵件編輯時，多采用變量設置，像公司名、收件人，可以進行變量添加，避免郵件內容完全一致 ### 釣魚郵件的內容 釣魚郵件通常有兩大類，一種是鏈接釣魚郵件，通常是想各種辦法讓目標打開網站，輸入密碼。另一種是附件釣魚郵件，但不管哪一類，都需要一個好的文案來讓目標點擊或者下載。 一封成功的釣魚郵件，一個好的文案是必須的，一個讓人看了后可能會去點的文案，需要具備以下幾個要素： * 重要性 首先得讓體現出來郵件的重要性，來驅使目標去查看郵件。 * 合理性 其次文案得基本合理，這個就需要結合目標的身份，日常習慣，所在公司的情況及業務進行綜合考量，來編寫出一個合理的文案。 * 緊迫性 最后文案最好有一些緊迫性，來促使目標盡快的去按照文案引導，進行點擊、輸入等操作。 * 鏈接釣魚案例 賬號被異常登錄、賬號密碼過期、系統更新，遷移、領取禮品