验证域名是否存在邮件伪造漏洞

解决对邮件伪造的疑惑,这里有一个在线的测试网站:https://emkei.cz/ 。可以尝试使用这个网站测试发送一封邮件给自己。例如:检测说baidu.com存在邮件伪造漏洞。那么我们可以尝试使用admin@baidu.com作为发件人,给一个自己的邮箱,发送一封测试邮件。内容随意填写,不到一分钟你应该就能收到邮件了,也有可能会在垃圾邮件里。

修复方案

Sender PolicyFramework SPF

当你定义了你域名的SPF记录后,接收邮件方会根据你的SPF记录来判断连接过来的IP地址是否被包含在SPF记录里面,如果在,则认为是一封正确的邮件,否则则认为是一封伪造的邮件。现在绝大部份反垃圾邮件系统都支持SPF过滤,这种过滤一般不会有误判,除非是邮件系统管理员自己把SPF记录配置错误或遗漏.

1. SPF是什么?

现有的一套可以杜绝邮件伪造的机制,只要遵照他们设计的方法来配置自己域名的DNS解析,就可以杜绝邮件伪造。

SPF的原理是这样的:伪造这虽然能伪造你的域名,但是却不能控制你的域名的DNS解析记录。因为只有拥有域名账户权限,才能更改解析记录。你的域名解析到的ip是1.1.1.1,而伪造者的ip是2.2.2.2。如果能做一个声明,告诉邮件接收者,我的域名发的邮件IP都是1.1.1.1,其他的都是假的,可以抛弃掉,那么就可以杜绝邮件伪造了。SPF就是这样的一个协议,你可以按照SPF的格式发出声明,邮件服务器按照SPF解读你的声明。这样的一次沟通,就可以解决邮件伪造问题了。

可以去这个网站了解更多:http://www.openspf.org

2. 如何使用SPF?

方式A:邮件服务器单个IP的情况

首先,登录你的域名解析服务商的管理页面,这个页面就是通常是用来设置域名解析IP地址的地方。可以这样声明,在域名的解析记录里添加一条txt记录

二级域名:空或@ txt记录值为:v=spf1 ip4:1.1.1.1 -all

这样,就设置了你的邮件只能是从1.1.1.1这个IP发出的。

其中txt记录的意义:

v=spf1 #版本号声明;
ip4:x.x.x.x #指定ip地址;
-all #对其余的标记为无效(FAIL)

方式B:邮件服务器多个IP的情况

上面的设置有些问题,就是你的域名可能需要变化的IP地址,或扩增多个IP,这时候就可以用其他方式,更改中间的部分(前面ip4对应位置):

二级域名:空或@ txt记录值为:v=spf1 include:spf1.a.com include:spf2.a.com -all

再设置一个spf1.a.com的txt解析记录,内容为:

二级域名:spf1 txt记录值为:v=spf1 ip4:1.1.1.0/24 ip4:1.2.3.4 -all

其中include的意思是使用其后的地址的SPF记录。而ip4:1.1.1.0/24则是使用一个段。

设置spf2.a.com与此类似:

二级域名:spf2 txt记录值为:v=spf1 ip4:4.3.2.1 -all

这样就可以使用更多的地址作为合法地址。也可以include多层,但常见的一般最多三层已经够用,最后一层要指定到具体的IP或域名。

其他方式:将MX解析的记录和指定的IP作为合法地址

v=spf1 a mx ip4:x.x.x.x -all

#使用a记录,mx解析记录和指定的IP作为合法地址。

3.更多语法说明

关于剩余检查项all前面的“-”符号,参见下表:

+Pass通过
-Fail拒绝
~Soft Fai软拒绝
?Neutral中立

建议使用“-all”来拒绝陌生地址的邮件。当使用“~all”时,一般会将邮件标记为垃圾邮件。但是由于有时人们还是会翻查垃圾邮件,甚至有时官方都会建议去检查垃圾邮件,因此这样处理并不安全。所以如无特殊需求,建议使用“-all”来拒绝。

禁用所有邮件服务:v=spf1 -all

SPF详细语法说明:

http://www.openspf.org/SPF_Record_Syntax

http://www.openspf.org/RFC_4408

查看SPF记录的方法

https://blog.csdn.net/weixin_34345753/article/details/85739278

Windows下进入DOS模式后用以下命令

nslookup -type=txt 域名

Unix操作系统下用以下命令:

# dig -t txt 域名

参考链接:

SPF使用教程

http://www.renfei.org/blog/introduction-to-spf.html

http://www.bugscan.net/combbs/topics/433/template/

SPF邮件伪造测试脚本

https://www.cnblogs.com/AirCrk/articles/5751924.html

详解邮件伪造漏洞

https://blog.csdn.net/gscaiyucheng/article/details/22038099

邮件伪造技术说明

http://www.52bug.cn/hkjs/5494.html

Last modification:February 28th, 2021 at 03:35 pm
硬币投入口