邮件钓鱼-邮件来源伪造-SPF绕过-setoolkit&&gohish&&swaks钓鱼

0x00 SPF简介

SPF即发送方策略框架，某种邮件服务器会有自己的SPF策略设定，可以设定SPF为只允许某些主机发送邮件等，当设定后第三方就无法伪造成邮件服务器的管理员对用户下发邮件。

是否存在SPF的验证：

linux下：dig -t txt qq.com
windows下：nslookup -type=txt qq.com
"v=spf1 -all" （拒绝所有，表示这个域名不会发出邮件）
"v=spf1 +all" （接受所有）
"v=spf1 ip4:192.168.0.1/16 -all"（只允许 192.168.0.1/16 范围内的IP发送邮件）
"v=spf1 mx -all"（允许当前域名的 mx 记录对应的IP地址发送邮件）
1
2
3
4
5
6

下图中上面服务器不存在SPF，下面的服务器主机存在SPF，则无法伪造来源发邮件

下面利用swaks工具对阿里云官方域名进行测试，模拟官方发送邮件看是否成功
qq邮箱测试：
官方阿里云域名为：system@notice.aliyun.com
我们直接使用swask使用该域名伪造发送不成功
将发送方改为system@notice.aliyun.com.cn测试后，被邮件安全策略拦截进了垃圾箱切不提醒

0x01 swaks测试存在SPF服策略的务器

swaks --body "helloword" --header "Subject:testT" -t 813995183@qq.com -f system@notice.aliyun.com.cn
body为内容
Subject为标题
-t为目标邮箱
-f为伪造的发送方，这里我们伪造加了cn字眼，这里伪造改不明显字眼等都会进垃圾箱
1
2
3
4
5

显示被拦截：

如果想不被拦截，内容需要尽量的真实完善，一般做测试写test之类会被直接拦截
swaks参考语法：

swaks --body “【2023年11月15日】 检测到您教务系统长时间未修改密码，请及时修改密码确保账户安全 xxxxxx
【该邮件自动监测请勿回复】” --header “Subject:密码过期提醒” -t xxx@qq.com -f xxx@xxx.edu.com

0x02 setoolkit&&gohish&&swaks钓鱼

这里也可以但是使用gohish制作一套的钓鱼流程，但是set更为便捷

使用setoolkit&&swaks钓鱼：

使用setoolkit伪造官方页面，再配合gohish或者swaks伪造邮件来源，如果对内容不需要很好修饰，并且对方对域名服务不是很了解，那就使用swaks直接发送简短的钓鱼，例如密码修改等，使对方访问到setookit伪造的登录页面，监控账户密码后跳转到正常的页面
1.setookit伪造教务系统页面，开启setookit，分别选择1232模式，后将自己服务器ip或者域名填入，再填入克隆站点

2.这里用某学校的教务系统站点模拟

克隆后的站点：这里跟原来站点几乎是一模一样。

3.克隆完成后，使用swaks制造模拟的邮件短信，将上诉伪造的连接填入

3.当受害者登录后，输入站点账户密码就会被记录，也可以同时发送给多人，监测多人的账户信息，卫衣不足的地方便是ip地址以及域名的信息容易暴露被察觉

思路2：

使用gophish制作密码过期的html页面，将html点击指向setoolkit的密码修改页面，修改后在跳转至官方的密码错误原始页面。达到以假乱真的效果

关于自建服务器来解决邮件中显示代发问题的：

当使用gophish平台可以看到邮件中有由xx代发字眼，这种不免的容易让人产生怀疑，为了解决这个问题，可以自建邮件服务器，并且申请与目标相类似的域名，起来转发有一定的迷糊的性质

代发字样：