002 邮件安全
认识邮件的信息
Received: 由每个中继服务站添加,用于帮助追踪传输中出现的错误。字段内容包括,发送、接收的主机和接收时间。参数via 用于记录信息发送后经过的物理站点,”with” 指示了使用的邮件、连接的协议。参数 id 用于标识邮件。参数for 用于记录发送者的分发的目的地址。
Reply-To: 发件人地址是在发件人标题中实际找到的值。这应该是信息的来源。在大多数邮件客户机中,这就是您所看到的“发件人”。如果一封电子邮件没有回复头,那么所有的人工(邮件客户端)回复都应该返回到“发件人”地址。
Date: 表示建立信件的时间
From:发件人
To:收件人
cc:抄送人
Subject:邮件标题
Sender:发件人名称
Message-ID:SMTP协议发邮件自动生成的
X-Priority:邮件优先级
X-mailer:代理发信的客户端
MIME-Version: 所使用的网络邮件格式标准版本
Content-Type: 邮件内容数据的类型,包括类型标识(type)和子类型标识(subtype),前者类型标识(type)声明了数据的类型,后者子类型标识(subtype)为这种数据类型指定了特定的格式。
Return-Path: 退信地址,该字段由信息的最后发送者添加,是关于信息原始来源的地址和回朔路径。
X-MS-Exchange-Organization-AuthSource:该 X-header 指定代表组织对邮件的身份验证进行评估的服务器计算机的 FQDN。
邮件信息 包括两层含义
1、给邮件服务器看的信息 ,告诉邮件服务器 这封信来自哪里,去往哪里
2、给收件人看的信息 显示标题 发件人地址 收件人地址 邮件内容 附件信息。
3、认识一个问题是 信封封皮的信息 和 信纸的内容 可以不一样
伪装发送
1、swaks 伪造就是用一个虚拟的发件人地址 发送,显示一个真实的发件人信息
–to <要测试的邮箱> 用来测试邮箱的连通性,也就是 收件人的信箱
--from <要显示的发件人邮箱>
--ehlo <伪造的邮件ehlo头> 伪造邮件服务器的地址
--header <邮件头信息,subject为邮件标题>
--header "Subject: hello"
--body <邮件正文>
--data <源邮件>
--header-X-Mailer 代理客户端也写上 伪造邮件服务器的地址
--attach 附件文件
检测
测试 ~ 是可以伪装的mail域名地址
TXT记录
nslookup -qt=txt 123.com
非权威应答:
服务器: public1.alidns.com
Address: 223.5.5.5
redorcasz.com text =
"v=spf1 ip4:123.1.185.42 ~all"
ns DNS 记录
cnmae 记录
a a记录
txt txt记录
https://www.kitterman.com/spf/validate.html?
https://mp.weixin.qq.com/s/dqntjRLgcOD3D2bi1oDFAw
代发绕过SPF
https://www.smtp2go.com/
对于邮件服务的攻击方向两种
1、发送钓鱼邮件到达内部
猜解 用户名,
猜解密码 一系列的服务 工具 比如 商业广告邮件信息提供商,就可以获取到用户邮件列表
pop3 接收电子邮件的协议, 默认端口是110 imap 加密: 143
smtp协议是邮箱服务器用来发送邮件协议,默认端口是25 smtp 加密: 587
nc 192.168.10.1 25
220 ESMTP MAIL Server
VRFY 123@xxx.com
252 2.0.0 123@xxx.com
说明用户名存在
telnet 等等
密码猜解 hydra 等等吧
2、dos 邮件服务
攻击者使用 代理池 对邮件的接收端口 发起大量请求链接,就能把邮件接收进程阻塞
邮件服务器 不能做CDN,
只能做负载均衡,反向代理承接流量,保证正常的业务。
而运维人员只能对大量代理IP 进行封禁,如果封禁过于严格,反而影响正常的邮件收发 ,治标不治本。
浙公网安备 33010602011771号