电子邮件伪造
电子邮件伪造
电子邮件伪造是指发送者故意篡改邮件头部信息,以使邮件看起来似乎是来自另一个人或组织的行为。这种行为可能用于欺骗、诈骗、垃圾邮件发送等目的。以下是一些常见的电子邮件伪造技术。
常见的伪造技术
攻击者可以通过更改邮件头部中的“发件人”地址来伪造邮件地址,使其看起来像是来自其他合法的域名或邮箱地址。这种技术常被用于欺骗、诈骗、网络钓鱼等攻击中。以下是一些常见的伪造方法:
SMTP的服务器认证用户名与Mail From字段不同,从而进行伪造 SMTP协议允许发送方在与SMTP服务器进行身份验证时使用一个用户名,而在发送邮件时使用不同的邮件地址(包含在邮件的"Mail From"字段中)。这意味着,SMTP服务器不会对"Mail From"字段中的邮件地址进行验证,而是仅对与SMTP连接相关的用户名进行验证。这样攻击者可以假装这个邮件域名下的所有其他用户,伪造该域下用户可以直接无视所有验证协议。而收件人根本无法辨别这是伪造的邮件。(这种方式,首先你必须有一个合法的身份,然后才有可能冒用他人的身份)
Mail From头和From头不一致 Mail From头用于SMTP传输过程中的标识,而From头用于最终的电子邮件的显示。(通常当邮件被转发或代理发送时,这两个字段是不相符的)。但是目前大部分邮箱如果Mail From头和From不一样会显示转发的。如下图所示。
空Mail From头 一般来说,空Mail From头的这类邮件都会被收件者服务器的反垃圾邮件系统过滤掉,但也有部分自建的邮件服务器可能不会过滤掉,而一些警惕性较低的人就会被伪造的邮件给骗到。
利用未设置SPF或者SPF配置错误
SPF(Sender Policy Framework)是一种用于验证电子邮件发送者身份的协议,旨在防止电子邮件地址伪造和垃圾邮件。SPF 记录是域名系统(DNS)中的一种记录类型,用于指定哪些邮件服务器有权发送特定域名(或子域名)的电子邮件。
SPF 的工作原理如下:
发送邮件: 当某人发送一封电子邮件时,邮件会从发送方的邮件服务器发出。
接收邮件: 接收方邮件服务器收到邮件后,会检查邮件的 SPF 记录。
SPF 认证: 接收方邮件服务器查询发送邮件的域名的 SPF 记录,查看该邮件是否来自被授权的邮件服务器。如果邮件的来源与 SPF 记录中列出的授权发送邮件的邮件服务器匹配,则认为邮件合法;否则,认为邮件可能是伪造的。
处理结果: 接收方邮件服务器根据 SPF 记录的认证结果,决定是否接受、拒收或标记邮件。
SPF 记录通常包含了授权发送邮件的邮件服务器的 IP 地址、IP 地址范围、域名或其他的邮件服务器标识符。例如,一个典型的 SPF 记录可能如下所示:
v=spf1 ip4:192.0.2.0/24 include:_spf.example.com -all
在这个示例中,SPF 记录指定了一个 IP 地址范围(ip4:192.0.2.0/24)和一个引用了其他域名的 SPF 记录(include:_spf.example.com)。邮件服务器收到邮件后,会查询发送邮件的域名的 SPF 记录,并根据这些规则来认证邮件的合法性。
通过SPF的原理,我们需要注意,必须是发送方邮件服务器正确配置了SPF,且接收方邮件服务器会进行SPF记录查询,才能完全避免SPF伪造。
如果我们通过SPF进行伪造的时候,首先可以查看DNS记录。通过nslookup命令来查询即可。
nslookup -type=txt example.comServer: 172.20.48.1 Address: 172.20.48.1#53
Non-authoritative answer: example.com text = “v=spf1 -all” example.com text = “wgyf8z8cgvm2qmxpnbnldrcltvk4xqfn”
Authoritative answers can be found from:
可以看的记录中显示了v=spf1 -all,表示直接拒绝来自未经授权主机的邮件。 当然了即使是配置了,也可能配置错误或者收件人服务器不验证。可以通过swaks(Ubuntu下可以用apt直接进行安装)命令来简单的测试。
swaks --body "测试内容" --header "Subject:测试标题" -t 你的邮箱 -f test@域名例如:
关于SPF配置的语法,可以问chatgpt。
利用未作验证的邮件转发服务 利用未经验证的邮件转发服务是一种可能导致滥用和安全风险的行为。这种服务通常允许用户通过邮件服务器中转邮件,而无需提供身份验证或任何形式的授权。
域名伪造 攻击者可以伪造邮件的域名,使得邮件看起来是来自另一个合法的域名。这种技术可能会误导接收者,使其相信邮件是来自某个知名组织或企业。例如可以伪造一个看起来和知名企业非常相像的域名,然后发送诈骗邮件,钓鱼邮件之类的。
欺骗性邮件头部信息 攻击者可以伪造邮件头部中的其他信息,如发件人姓名、回复地址等,以使邮件看起来更具信任度。这种技术可能会欺骗接收者,使其相信邮件是来自合法的发件人。
伪造电子邮件内容 攻击者可以伪造邮件的内容,包括正文和附件,以欺骗接收者执行恶意操作,如点击链接、下载恶意软件等。这种技术常用于钓鱼攻击和网络钓鱼。
反邮件伪造技术
上面我们提到了8点常见的电子邮件伪造技术。有些是比较容易实施的,那么如何防范呢?下面是一些相关的技术。
SPF
前文我们提到了,SPF 通过验证发件人邮件服务器的 IP 地址是否被允许发送特定域名的邮件,来检查电子邮件的来源是否合法。具体来说,邮件接收服务器会检查发送方邮件服务器的 IP 地址是否包含在发送域名的 SPF 记录中,以确定该邮件是否合法。
DKIM
DKIM (DomainKeys Identified Mail) 是一种用于防止电子邮件伪造的技术。它通过在电子邮件的标头中包含数字签名来验证邮件的发送方是否经过授权。DKIM 使用公钥加密技术,通过将发送方的私钥生成的签名与邮件的内容进行关联,接收方可以使用发送方的公钥验证签名的有效性。这样可以确保电子邮件在传输过程中没有被篡改,并且确保邮件的发送方身份的真实性。
要在电子邮件中实施 DKIM,邮件服务器需要配置 DKIM 来生成和验证签名。发送方的邮件服务器会使用私钥来生成签名,并将签名添加到邮件的标头中。接收方的邮件服务器会使用发送方的公钥来验证签名的有效性。如果签名有效,则表明邮件未被篡改,并且确实由指定的发送方发送。
需要注意的是,和SPF一样,DKIM也是需要发送方邮件服务器和接收方邮件服务器同时支持才可以的,不然接收方不验证,但是可以正常看到邮件内容的。它只是对邮件标头做了签名。
DMARC
DMARC (Domain-based Message Authentication, Reporting, and Conformance) 是一种用于增强电子邮件安全性和防范钓鱼邮件、垃圾邮件等电子邮件欺诈行为的技术标准。它建立在 SPF 和 DKIM 的基础上,并提供了一种机制,使域所有者能够指定如何处理未通过 SPF 或 DKIM 验证的邮件,以及如何处理通过验证但可能是伪造的邮件。 验证机制: 通过与 SPF 和 DKIM 结合使用,DMARC 允许域所有者验证发件人域名的身份。它要求邮件服务器在处理邮件时检查发送方的域名,并验证其是否符合 SPF 和 DKIM 的要求。 策略定义: DMARC 允许域所有者指定如何处理未通过 SPF 或 DKIM 验证的邮件。域所有者可以选择将这些邮件标记为垃圾邮件、拒绝接收,或者发送到特定的处理管道。 报告机制: DMARC 还提供了一种报告机制,使域所有者能够收到关于他们域名的邮件验证结果的报告。这些报告包括有关通过和未通过验证的邮件数量、发送者 IP 地址等信息,有助于域所有者监控电子邮件流量,并及时采取措施应对潜在的欺诈行为。
因此,尽管 SPF 可以检查邮件发送者的身份,但 DKIM 提供了更多的安全性,可以确保邮件的完整性,并提供更高级别的验证。通常,使用 SPF 和 DKIM 的组合(DMARC)可以提供更全面的电子邮件安全保护。
垃圾邮件识别技术
内容过滤: 这是最常见的垃圾邮件识别技术之一。内容过滤器会分析电子邮件的内容,检查是否包含垃圾邮件的常见特征,例如广告内容、垃圾邮件关键词、拼写错误、不良链接等。
黑名单: 黑名单技术基于已知的垃圾邮件发送者或恶意域名列表,将来自这些源的邮件标记为垃圾邮件或直接拒绝接收。这些黑名单可以由个人、组织或安全供应商维护。
白名单: 白名单技术允许用户指定可信任的发件人或域名列表。来自这些白名单中的发件人的邮件将被允许通过过滤器,而不会被视为垃圾邮件。
机器学习: 机器学习技术可以训练算法来自动识别垃圾邮件。通过使用大量已标记的垃圾邮件和非垃圾邮件样本进行训练,机器学习模型可以学习识别垃圾邮件的模式和特征,并在未知邮件上进行分类。