1. 极安网首页
  2. 网络安全教程

CobaltStrike视频学习笔记系列:(二十五)邮件防御

CobaltStrike视频学习笔记系列:(二十五)邮件防御-极安网

0x00 前言

Cobalt Strike 不是什么工作情况都能胜任的工具,因此就需要我们根据不同的情况去做一些辅助工作。

最后这几节将学习免杀部分的东西,这一节将主要介绍邮件防御方面的相关概念。

0x01 介绍

1、SPF、DKIM、DMARC

SPF、DKIM、DMARC 都是邮件用于帮助识别垃圾信息的附加组件,那么作为一个攻击者,在发送钓鱼邮件的时候,就需要使自己的邮件能够满足这些组件的标准,或者发送到未配置这些组件的域。

在理解这些防御标准前,需要先理解如何在因特网上通过 SMTP 发送邮件。

2、SMTP

发送一封邮件的过程大概是下面这个样子,这里以QQ邮箱为例。

  1. > telnet smtp.qq.com 25
  2. HELO teamssix
  3. auth login
  4. base64编码后的邮箱名
  5. base64编码后的授权码
  6. MAIL FROM: <evil_teamssix@qq.com>
  7. RCPT TO: <target_teamssix@qq.com>
  8. DATA
  9. 邮件内容
  10. .
  11. QUIT

0x02 防御策略

1、SPF

SPF Sender Policy Framework 发送人策略框架,SPF 主要用来防止随意伪造发件人。其做法就是设置一个 SPF 记录,SPF 记录实际上就是 DNS 的 TXT 记录。

如果邮件服务器收到一封来自 IP 不在 SPF 记录里的邮件则会退信或者标记为垃圾邮件。

我们可以使用以下命令查看目标的 SPF 记录。

  1. dig +short TXT target.com
  1. > dig +short TXT qq.com
  2. "v=spf1 include:spf.mail.qq.com -all"

上面的 include:spf.mail.qq.com 表示引入spf.mail.qq.com域名下的 SPF 记录。

  1. > dig +short TXT spf-a.mail.qq.com
  2. "v=spf1 ip4:203.205.251.0/24 ip4:103.7.29.0/24 ip4:59.36.129.0/24 ip4:113.108.23.0/24 ip4:113.108.11.0/24 ip4:119.147.193.0/24 ip4:119.147.194.0/24 ip4:59.78.209.0/24 ip4:113.96.223.0/24 ip4:183.3.226.0/24 ip4:183.3.255.0/24 ip4:59.36.132.0/24 -all"

上面的 ip4:203.205.251.0/24 ip4:103.7.29.0/24 表示只允许这个范围内的 IP 发送邮件。

2、DKIM

DKIM DomainKeys Identified Mail 域名密钥识别邮件,DKIM 是一种防范电子邮件欺诈的验证技术,通过消息加密认证的方式对邮件发送域名进行验证。

邮件接收方接收邮件时,会通过 DNS 查询获得公钥,验证邮件 DKIM 签名的有效性,从而判断邮件是否被篡改。

原创文章,作者: Admin ,转载请注明出处:https://secvery.com/2016.html