时隔一个月,我又来更新了,今天我就分享下手这个叼东西,真的是可以为所欲为的啊,是啥呢,接着往下看。

图源自网络

可能我们经常会使用到邮件,我们收邮件发邮件,但是我们是否有考虑到它的安全?没考虑没关系,我们先来了解下我们发送邮件采用的本质。

SMTP协议

SMTP是一个相对简单的基于文本协议。在其之上指定了一条消息的一个或多个接收者(在大多数情况下被确认是存在的),然后消息文本会被传输。可以很简单地通过telnet程序来测试一个SMTP服务器。SMTP使用TCP端口25。要为一个给定的域名决定一个SMTP服务器,需要使用DNSMX记录

维基百科

通信举例

在发送方(客户端)和接收方(服务器)间创建连接之后,会创建一个合法的SMTP会话,如下例。在下面的例子中,所有客户端发送的都以“C:”作为前缀,所有服务器发送的都以“S:”作为前缀。在多数计算机系统上,可以在发送的机器上使用telnet命令来创建连接

维基百科

这就是最基本的连接方式,它创建一个从发送的机器到主机smtp.qq.com的SMTP连接。基于这种方式,任何人都可以进行连接,就没有身份验证啥的,所有就不安全 ,

通常,我们要伪造邮件信息,可以直接进行设置,发送-接受,用户在辨识度上可能就会进入不法分子的钓鱼邮箱,由此,就有了后来的发展就出现了SPF

SPF

发件人策略框架(英语:Sender Policy Framework;简称SPF; RFC 4408)是一套电子邮件认证机制,可以确认电子邮件确实是由网域授权的邮件服务器寄出,防止有人伪冒身份网络钓鱼或寄出垃圾电邮。SPF允许管理员设定一个DNS TXT记录SPF记录设定发送邮件服务器的IP范围,如有任何邮件并非从上述指明授权的IP地址寄出,则很可能该邮件并非确实由真正的寄件者寄出(邮件上声称的“寄件者”为假冒)。

维基百科

从中可以知道,这是一种电子邮件验证,这是有什么用呢?当然是为了安全,当我们设置自己的域名邮箱时,托管商就会建议你设置SPF记录,如图:

在自己的域名下添加这样一条txt记录的SPF,这样作的目的就是为了邮件安全,不会接收到来历不明的邮件,也不是说不能接收,是直接拉入垃圾邮箱,严重的直接拒收。在域名解析处,大致是如下:

问题来了,这样设置了就安全了吗?当然不安全,你要永远记住,互联网没有绝对安全的地。下面介绍的这个工具就能绕过SPF严重,给你发送伪造邮箱,邮箱可为任意一种。是什么工具呢?那就是Swaks.

什么是Swaks?

Swaks是由John Jetmore编写和维护的功能强大,灵活,可编写脚本,面向事务的SMTP测试工具。它是免费使用的,并根据GNU GPLv2获得许可

https://www.jetmore.org/john/code/swaks/

从官方介绍上就看出来, 它就是SMTP的测试工具,上面我们有讲到什么是SMTP,所以,我们就来看看如何玩这个Swaks.

准备工作:

  • kali linux –内部集成Swaks
  • smtp2go –一个SMTP平台
  • 一个域名

如何使用Swaks?直接打开终端进行输入命令就行了,具体有哪些命令,可以输入帮助命令进行查看

$ swaks  --help

注册smtp2go

Swaks需要配合smtp2go进行使用,否则无法绕过SPF拦截验证。官网:smtp2go

注册该网站需要一个域名邮箱,不能是市面上大厂的公共邮箱,重点!重点!重点!一定不能使用临时邮箱,不然后面有你后悔的。

还有,网络问题,请自行解决,注册成功之后,按照要求,进行cname解析,大概如下:

等待验证成功即可,之后进行SMTP用户设置,这里就不累赘了,用户名和密码一定要记住,后面使用Swaks的时候会用到的。至此开始使用。

打开你的终端,输入以下命令,具体Swaks的命令你们自行百度或者谷歌,我这里就不提供了,文章篇幅太长了,不利于你们阅读。

命令如下:

swaks --to [email protected] --from [email protected] --header 'Subject: FBI Warning!' --ehlo 163.com --body '这里填写发送内容' --server mail.smtp2go.com -p 2525 -au 这是SMTP用户名 -ap 这是SMTP密码 --header-X-Mailer 163.com

把上面的代码自己稍作修改,粘贴到终端,回车即可,如下图:

在发送过程中,你好发现界面跟上面的使用Telnet 的内容大致都是相同的,因为都是基于SMTP协议。我这里接收测试结果如下:

以上就是通过Swaks + smtp2go绕过SPF拦截的伪造邮箱教程,具体不懂的可以私信我,毕竟这种被不法分子利用不太好,所以,无需要讲得太多详细,只给有缘人。


版权声明:

如未注明,均为原创,转载需注明出处!

本文链接:https://jkgblog.com/1183.html

最后修改日期: 2020年12月7日

作者

留言

作者,你好,有无联系方式

为什么无法留言?

kali linux?入门到入狱一条龙服务的啊~~ 咳,奇怪的知识点。

说真的,我都还从来没往这方面折腾过

奇怪的知识增加了/狗头

kali 大佬,nb

进行回复 取消回复

发布留言必须填写的电子邮件地址不会公开。