如何使用Spoofy检测目标域名是否存在欺骗攻击风险

关于Spoofy

Spoofy是一款功能强大的域名安全检测工具，在该工具的帮助下，广大研究人员可以轻松检测单个目标域名或域名列表中的域名是否存在遭受欺诈攻击的风险。

该工具基于纯Python开发，可以根据SPF和DMARC记录来检测和判断目标域名是否可以被欺骗。

工具特性

1、支持对所有的查询执行权威查询（已知回退）（Cloudflare DNS）；

2、支持执行精确的批量查询；

3、支持实现自定义或手动测试欺骗逻辑，并生成真实场景中的结果；

4、提供SPF查询计数器；

工具运行机制

该工具基于一个域名欺骗可行性表实现其功能，表格中列出了每个相关的SPF和DMARC配置，将它们组合起来，然后再进行大量的域名数据采集：

测试SPF和DMARC组合是否可伪造是通过emailspooftest的电子邮件渗透测试安全套件完成的，但最初阶段的测试则是通过Protonmail和Gmail进行的。由于早期阶段的测试发现这些服务使用了影响结果的反向查询检查，尤其是子域欺骗测试。因此后面开始选用Microsoft 365，因为它可以对邮件处理提供了更大程度的控制。

在使用Microsoft 365进行初步测试后，由于对电子邮件Banner的处理存在差异，因此一些组合仍然选择使用Protonmail和Gmail进行了重新测试。Protonmail和Gmail可以在收件箱中放置带有Banner的伪造邮件，也可以在没有Banner的垃圾邮件中放置伪造邮件，导致在使用Spoofy时，一些SPF和DMARC组合被报告为“Mailbox Dependent”。

工具下载

由于该工具基于Python 3开发，因此广大研究人员首先需要在本地设备上安装并配置好Python 3环境。接下来，我们可以直接使用下列命令将该项目源码克隆至本地：

git clone https://github.com/MattKeeley/Spoofy.git

然后切换到项目目录中，使用pip3工具和项目提供的requirements.txt文件安装该工具所需的其他依赖组件：

cd Spoofy
pip3 install -r requirements.txt

工具使用

扫描单个域名

./spoofy.py -d [DOMAIN] -o [stdout or xls]

扫描域名列表

./spoofy.py -iL [DOMAIN_LIST] -o [stdout or xls]

许可证协议

本项目的开发与发布遵循CC0-1.0开源许可证协议。

项目地址

Spoofy：

GitHub - MattKeeley/Spoofy: Spoofy is a program that checks if a list of domains can be spoofed based on SPF and DMARC records.