SMTP(SimpleMail Transfer Protocol) 即簡單郵件傳輸協(xié)議，正如名字所暗示的那樣，它其實(shí)是一個(gè)非常簡單的傳輸協(xié)議，無需身份認(rèn)證，而且發(fā)件人的郵箱地址是可以由發(fā)信方任意聲明的，利用這個(gè)特性可以偽造任意發(fā)件人。

SPF出現(xiàn)的目的，就是為了防止隨意偽造發(fā)件人。SPF，全稱為 Sender Policy Framework，是一種以IP地址認(rèn)證電子郵件發(fā)件人身份的技術(shù)。郵件接收方首先會(huì)去檢查域名的SPF記錄，來確定發(fā)件人的IP地址是否被包含在SPF記錄里面，如果在，就認(rèn)為是一封正確的郵件，否則會(huì)認(rèn)為是一封偽造的郵件并進(jìn)行退回。

眾所周知，如果沒有配置SPF，攻擊者可以任意偽造郵件，即使配置了SPF，在特定的情況下，依然可以完美偽造郵件發(fā)件人。當(dāng)我們開始查看一個(gè)目標(biāo)郵箱的SPF記錄時(shí)，一場關(guān)于郵件安全策略的對(duì)抗也就開始了。

nslookup -type=txt qq.com

本文結(jié)合SPF配置的過程，通過一些郵件測試驗(yàn)證，分享了5種SPF繞過的思路。從攻擊者的視角出發(fā)，來看看它會(huì)如何繞過SPF檢測，完美偽造郵件人地址，并成功投遞到目標(biāo)郵箱，歡迎指正和補(bǔ)充～

1、SPF解析不當(dāng)導(dǎo)致繞過

假設(shè)我的SPF記錄設(shè)置為：

v=spf1 ip4:220.xxx.10.0/24 ~all

這條SPF記錄的意思是說只允許220.xxx.10.1~220.xxx.10.255 范圍內(nèi)的IP，軟拒絕，發(fā)件 IP 非法，但是不采取強(qiáng)硬措施。

這就存在兩個(gè)嚴(yán)重的安全隱患：

一個(gè)是IP段過大，在C段里面，只要獲取任意一臺(tái)主機(jī)的權(quán)限，那么就可以使用合法的IP進(jìn)行郵件偽造。

一個(gè)是軟拒絕，也就是會(huì)接受來信，但可能被標(biāo)記為垃圾郵件。如果SPF記錄設(shè)置拒絕，就會(huì)有大量的郵件被丟棄或者隔離，影響辦公效率，有一些郵件系統(tǒng)管理員為了減少業(yè)務(wù)影響，而采用軟拒絕的策略。

當(dāng)SPF記錄設(shè)置成~all時(shí)，通過測試可以發(fā)現(xiàn)，outlook郵箱可以接收郵件，QQ郵箱不接收，163郵箱被標(biāo)記為垃圾郵件。

還有一種極為嚴(yán)重的錯(cuò)誤，就是SPF解析記錄配置錯(cuò)誤，早在之前鵝廠就出現(xiàn)過SPF解析錯(cuò)誤，比如：

v=spf1 ip4:113.110.223.0/24 183.110.226.0/24 183.110.255.0/24 59.110.132.0/24 -all

這里介紹一個(gè)工具，輸入域名和SPF記錄，可快速檢查SPF記錄是否正確

測試地址：

https://www.kitterman.com/spf/validate.html

SPF記錄報(bào)錯(cuò)，在這條SPF記錄中，存在多個(gè)IP段，但只有開頭的一段ip用了ipv4，這就導(dǎo)致了語法錯(cuò)誤。因?yàn)檫@個(gè)錯(cuò)誤，將導(dǎo)致整個(gè)SPF記錄完全失效，因?yàn)镾PF無效，郵件接收方的SPF檢測功能也就失效了。

綜上，當(dāng)我們?cè)诓榭匆粋€(gè)域名的SPF記錄時(shí)，它其實(shí)不只是一條解析記錄，更是一種郵件安全的策略，SPF記錄配置不嚴(yán)或SPF解析錯(cuò)誤，就容易導(dǎo)致大量本該被攔截的郵件直接被放進(jìn)來，而繞過的策略就隱藏在這條SPF記錄里面。

2、SPF配置不當(dāng)導(dǎo)致繞過

郵件服務(wù)器管理員做SPF配置時(shí)，其實(shí)是需要兩個(gè)步驟的，首先在域名中增加SPF記錄，向支持SPF功能的郵件服務(wù)器提供驗(yàn)證信息，使別人能驗(yàn)證自己；另外，需要配置郵件服務(wù)器支持 SPF，這樣才可以驗(yàn)證別人。

那么，在SPF配置過程中，也常常因?yàn)榕渲貌划?dāng)導(dǎo)致繞過，比如：

種情況：

域名增加了SPF記錄，但是郵件服務(wù)器不支持SPF檢查或郵件網(wǎng)關(guān)未開啟SPF檢測，無法驗(yàn)證郵件來源。這種情況下，我們聲明了自己是誰，但卻無法驗(yàn)證對(duì)方是誰，SPF檢測無效，可偽造任意用戶發(fā)送到你的域名郵箱里。

第二種情況：

SPF解析在公網(wǎng)DNS，郵件服務(wù)器配置內(nèi)部DNS，內(nèi)部DNS無法進(jìn)行SPF解析，從而導(dǎo)致繞過，可從公網(wǎng)偽造任意用戶發(fā)送郵件。

第三種情況：

攻擊者在公司內(nèi)網(wǎng)，內(nèi)網(wǎng)SMTP服務(wù)器開啟匿名郵件發(fā)送或者在信任中繼服務(wù)器IP段，就可以使用任意用戶發(fā)送郵件。

比如，當(dāng) mynetworks = 192.168.0.0/16，在內(nèi)網(wǎng)，任意一臺(tái)終端就可以直連公司的SMTP服務(wù)器，偽造了一封來自admin@qq.com的郵件發(fā)給自己。

python SimpleEmailSpoofer.py -t [目標(biāo)郵箱]  -n QQ郵箱管理員 -f admin@qq.com -j "郵件主題"  -e 1.txt  -s [內(nèi)網(wǎng)郵件服務(wù)器IP]測試效果如下：

3、高權(quán)限用戶繞過

對(duì)于Exchange郵箱系統(tǒng)，擁有Domain admin權(quán)限的域用戶，可通過outlook直接指定發(fā)件人，偽造任意發(fā)件人發(fā)送郵件。偽造郵件的方式十分簡單，且郵件頭無法顯示真實(shí)IP。

測試過程：我給自己的賬號(hào)也添加了Domain admin權(quán)限。

使用Outlook2013客戶端指定發(fā)件人發(fā)送郵件，接收郵件直接顯示偽造人的名字，偽造成功。

使用Outlook2016客戶端測試，郵件接收方的發(fā)件人位置顯示”XXX代表XXX”。

存在一定的郵件偽造風(fēng)險(xiǎn)，但在實(shí)際中意義并不大，如果擁有了Domain admin權(quán)限，哪里還需要郵件偽造呢？

4、郵件客戶端內(nèi)容解析差異

很多時(shí)候，大部分的企業(yè)郵箱SPF配置都是正確的，理論上，它會(huì)對(duì)每一封郵件進(jìn)行檢測，那么它是怎么驗(yàn)證發(fā)件人的IP地址的呢？

我們使用一個(gè)SPF在線檢測的工具，來做一下小小的嘗試，利用我本地搭建的匿名SMTP服務(wù)器偽造admin@qq.com郵箱。

測試地址：

https://www.kitterman.com/spf/validate.html

1、在IP address: 里輸入將要發(fā)信的IP地址，即本地ip地址。
2、SPF Record v=spf1...://-->：輸入nslookup查出來的SPF記錄
3、Mail From address：輸入將要發(fā)信的發(fā)件人

點(diǎn)擊Test SPF Recod進(jìn)行驗(yàn)證：

結(jié)果毫無疑問，SPF驗(yàn)證失敗，偽造郵箱不成功，偽造的郵件將會(huì)被退回。

通過查看郵件頭信息，有兩個(gè)比較重要的字段，Sender和From。

Sender字段，代表的是郵件的實(shí)際發(fā)送者，郵件接收方會(huì)對(duì)它的郵件域名進(jìn)行SPF檢測，確認(rèn)是否包含了發(fā)信人的IP地址。From字段，代表的是郵件發(fā)送人，即郵件里所顯示的發(fā)件人，容易被偽造。

在SPF配置有效的情況下，Sender必須通過SPF檢驗(yàn)，所以我們可以設(shè)置為正常的郵件服務(wù)器地址，然后對(duì)From字段進(jìn)行偽造。

使用swaks做一個(gè)郵件測試：

sudo ./swaks --to 67*****28@qq.com  --from admin@evil.com  --h-From: '=?GB2312?B?UVHTys/kudzA7dSx?= <admin@qq.com>' --ehlo evil.com --body hello --header "Subject: test"
其中參數(shù)：--from   <實(shí)際發(fā)件人，對(duì)應(yīng)Sender字段>--h-From <郵件顯示的發(fā)件人，對(duì)應(yīng)From字段>

QQ郵箱網(wǎng)頁版查看郵件，Sender和From字段不一樣時(shí)，發(fā)件人的位置顯示由admin@evil.com代發(fā)。

使用Foxmail客戶端查看同一封郵件，Sender和From字段不一樣時(shí)，不顯示代發(fā)，偽造成功。

我們分別使用網(wǎng)頁版郵箱和客戶端郵箱打開同一封郵件，通過對(duì)比可以發(fā)現(xiàn)，不同的郵件客戶端對(duì)發(fā)件人位置的內(nèi)容解析是不一樣的。

平時(shí)工作中，不少使用騰訊企業(yè)郵箱的童鞋，都喜歡使用Foxmail客戶端查收郵件，這就給了我們成功偽造郵件的可乘之機(jī)。

通過測試可以發(fā)現(xiàn)：qq郵箱、163郵箱網(wǎng)頁版均會(huì)顯示代發(fā)，Outlook郵箱不顯示代發(fā)，具體郵件客戶端軟件可具體再行測試。

5、From字段名截?cái)嗬@過

當(dāng)我們偽造郵件發(fā)送成功的時(shí)候，由于Sender和From字段不一樣，部分郵件客戶端接收郵件后，會(huì)提示郵件代發(fā)。

那么有沒有辦法只顯示偽造的發(fā)件人，不顯示郵件代發(fā)呢？

在網(wǎng)絡(luò)上看到一種思路，來源于網(wǎng)貼《關(guān)于郵件偽造的一些新思路》，挺有意思的。

在用SMTP發(fā)送電子郵件時(shí)，發(fā)件人別名，格式為：From：發(fā)件人別名<郵件地址>。通過對(duì)發(fā)件人別名字段填充大量的特殊字符，使郵箱客戶端截取真實(shí)的郵件地址失敗，從而只展示我們偽造的發(fā)件人別名和偽造郵箱。

郵件偽造測試過程：

1、在QQ郵箱中導(dǎo)出mail.eml文件，刪除前面不必要的字段信息。

2、填充發(fā)件人別名，偽造郵件頭Fron字段：

From:=?gb2312?B?udzA7dSxIDxhZG1pbkBxcS5jb20+0aGhoaGhoaGhoaGhoaGhoaGhoaGhoQ==?==?gb2312?B?oaGhoaGhoaGhoaGhoaGhoaGhoaGhoaGhoaGhoaGhoaGhoaGhoaGhoaGh?==?gb2312?B?oaGhoaGhoaGhoaGhoaGhoaGhoaGhoaGhoaGhoaGhoaGhoaGhoaGhoaGh?==?gb2312?B?oaGhoaGhoaGhoaGhoaGhoaGhoaGhoaGhoaGhoaGhoaGhoaGhoaGhoaGh?==?gb2312?B?oaGhoaGhoaGhoaGhoaGhoaGhoaGhoaGhoaGhoaGhoaGhoaGhoaGhoaGh?==?gb2312?B?oaGhoaGhoaGhoaGhoaGhoaGhoaGhoSAgICAgICAgICAgICAgICAgIKGkoaQ=?==?gb2312?B?oaQgICAgICAgICAgICAgICAgIKGhICAgICAgIKGkoaShpA==?=  <admin@test.com>

3、使用 —data參數(shù)發(fā)送郵件。

sudo ./swaks --data mail.eml --to 67*****28@qq.com --from admin@test.com

4、成功發(fā)送給目標(biāo)郵箱，QQ郵箱接收郵件后的呈現(xiàn)效果：

備注：從測試情況看，我偽造的郵件進(jìn)了QQ垃圾箱，但這種思路還是挺不錯(cuò)的，重新Fuzz，或許可以構(gòu)造特殊的數(shù)據(jù)包觸發(fā)這個(gè)問題。