• 邮件欺诈与SPF防御

    一、邮件欺诈:

      众所周知,现在邮件的发件人是自己生成的,其实发件域名也是可以自己生成的。例如,A得知B组织的邮箱域(前提是B组织邮箱域没有配置SPF),那么A可以自己起一个邮箱服务器,配置相同的域名。配置一个账号,例如招聘或者高层管理人员的账户。从而可以进行钓鱼、欺诈等活动。测试可以使用winmail,配置快捷、使用方便。

    二、防御措施:

      发件原理:SMTP(鸣谢)http://blog.csdn.net/kerry0071/article/details/28604267

     1 """
 2 C: telent SMTP.xxx.com 25  //以telenet方式连接xxx邮件服务器  
 3 S: 220 xxx.com Anti-spam GT for Coremail System //220为响应数字,其后的为欢迎信息  
 4 C: HELO SMTP.xxx.com //除了HELO所具有的功能外,EHLO主要用来查询服务器支持的扩充功能   
 5 S: 250-mail  
 6 S: 250-AUTH LOGIN PLAIN  
 7 S: 250-AUTH=LOGIN PLAIN  
 8 S: 250 8BITMIME //最后一个响应数字应答码之后跟的是一个空格,而不是'-'   
 9 C: AUTH LOGIN   //请求认证  
10 S: 334 dxNlcm5hbWU6  //服务器的响应——经过base64编码了的“Username”=  
11 C: Y29zdGFAYW1heGl0Lm5ldA==  //发送经过BASE64编码了的用户名  
12 S: 334 UGFzc3dvcmQ6  //经过BASE64编码了的"Password:"=  
13 C: MTk4MjIxNA==  //客户端发送的经过BASE64编码了的密码  
14 S: 235 auth successfully  //认证成功   
15 C: MAIL FROM: bripengandre@163.com  //发送者邮箱  
16 S: 250 … .  //“…”代表省略了一些可读信息  
17 C: RCPT TO: bripengandre@smail.hust.edu.cn //接收者邮箱  
18 S: 250 … .    // “…”代表省略了一些可读信息  
19 C: DATA //请求发送数据  
20 S: 354 Enter mail, end with "." on a line by itself  
21 C: Enjoy Protocol Studing  
22 C: .  
23 S: 250 Message sent  
24 C: QUIT //退出连接   
25 S: 221 Bye  
26 """

    其实这个smtp服务器可以自己搭建,配置域名和账户,从而伪造email的from字段。于是诞生了一中的问题:

    防御方式来自于接受你邮件的服务器,根据的域名和IP要进行SPF查询,看是否是在DNS服务器中配置的合法的IP,是则放行,不是则认定为垃圾邮件会退信。

    三、SPF的配置:

    客户端查看dns上是否有关于该域名的SPF配置

    1 nslookup -type=txt xxx.xxx.xxx

    (注:除了公网出口IP要配置在公网DNS的SPF上之外,公司内网客户端需要在自己的内部DNS上同样配置SPF)

    #SPF 有点类似路由交换中的ACL
#一条 SPF 记录定义了一个或者多个 mechanism,而 mechanism 则定义了哪些 IP 是允许的,哪些 IP 是拒绝的。

举个例子:
"v=spf1 -all" #拒绝所有(表示这个域名不会发出邮件)
"v=spf1 +all"#接受所有(域名所有者认为 SPF 是没有用的,或者根本不在乎它)


+接受-拒绝~软拒绝(中立,有邮件服务器自己判断)
v=spf1 a mx ip4:173.194.72.103 -all  a和mx记录代表dns记录类型
ipv4(也可以是ipv6)最后 -all表示其他都拒绝

    四、SPF更多选择:

    include

    格式为include:<domain>,表示引入<domain>域名下的 SPF 记录。注意,如果该域名下不存在 SPF 记录,则会导致一个PermError结果。例如:

    "v=spf1 include:example.com -all" 即采用和 example.com 完全一样的 SPF 记录

    exists

    格式为exists:<domain>。将对<domain>执行一个 A 查询,如果有返回结果(无论结果是什么),都会看作命中。

    ptr

    格式为ptr或者ptr:<domain>。使用ptr机制会带来大量很大开销的 DNS 查询,所以连官方都不推荐使用它。

    关于v=spf1

    这是必须的,这个表示采用 SPF 1 版本,现在它的最新版本就是第 1 版。

    Modifiers

    SPF 记录中还可以包括两种可选的 modifier;一个 modifier 只能出现一次。

    redirect

    格式为redirect=<domain>

    将用给定域名的 SPF 记录替换当前记录。

    exp

    格式为exp=<domain>,目的是如果邮件被拒绝,可以给出一个消息。而消息的具体内容会首先对<domain>执行 TXT 查询,然后执行宏扩展得到。
  • 相关阅读:
    吃透空洞卷积(Dilated Convolutions)
    CondInst:性能和速度均超越Mask RCNN的实例分割模型
    图像处理基础:颜色空间及其OpenCV实现
    caffe模型转rknn模型的方法
    探索 YOLO v3 源码
    探索 YOLO v3 源码
    事件
    组合,模板,bolck块
    WXSS学习
    其他组件
  • 原文地址:https://www.cnblogs.com/KevinGeorge/p/8276029.html
Copyright © 2020-2023  润新知