邮件钓鱼-邮件来源伪造-SPF绕过-setoolkit&&gohish&&swaks钓鱼

type

status

date

slug

summary

SPF即发送方策略框架，某种邮件服务器会有自己的SPF策略设定，可以设定SPF为只允许某些主机发送邮件等，当设定后第三方就无法伪造成邮件服务器的管理员对用户下发邮件。

是否存在SPF的验证：

下图中上面服务器不存在SPF，下面的服务器主机存在SPF，则无法伪造来源发邮件

下面利用swaks工具对阿里云官方域名进行测试，模拟官方发送邮件看是否成功

qq邮箱测试：

官方阿里云域名为：system@notice.aliyun.com

我们直接使用swask使用该域名伪造发送不成功

将发送方改为system@notice.aliyun.com.cn测试后，被邮件安全策略拦截进了垃圾箱切不提醒

显示被拦截：

如果想不被拦截，内容需要尽量的真实完善，一般做测试写test之类会被直接拦截

swaks参考语法：

swaks --body "【2023年11月15日】检测到您教务系统长时间未修改密码，请及时修改密码确保账户安全 xxxxxx
【该邮件自动监测请勿回复】" --header "Subject:密码过期提醒" -t xxx@qq.com -f xxx@xxx.edu.com

这里也可以但是使用gohish制作一套的钓鱼流程，但是set更为便捷

使用setoolkit&&swaks钓鱼：

使用setoolkit伪造官方页面，再配合gohish或者swaks伪造邮件来源，如果对内容不需要很好修饰，并且对方对域名服务不是很了解，那就使用swaks直接发送简短的钓鱼，例如密码修改等，使对方访问到setookit伪造的登录页面，监控账户密码后跳转到正常的页面

1.setookit伪造教务系统页面，开启setookit，分别选择1232模式，后将自己服务器ip或者域名填入，再填入克隆站点

2.这里用某学校的教务系统站点模拟

克隆后的站点：这里跟原来站点几乎是一模一样。

3.克隆完成后，使用swaks制造模拟的邮件短信，将上诉伪造的连接填入

3.当受害者登录后，输入站点账户密码就会被记录，也可以同时发送给多人，监测多人的账户信息，卫衣不足的地方便是ip地址以及域名的信息容易暴露被察觉

思路2：

使用gophish制作密码过期的html页面，将html点击指向setoolkit的密码修改页面，修改后在跳转至官方的密码错误原始页面。达到以假乱真的效果

关于自建服务器来解决邮件中显示代发问题的：

当使用gophish平台可以看到邮件中有由xx代发字眼，这种不免的容易让人产生怀疑，为了解决这个问题，可以自建邮件服务器，并且申请与目标相类似的域名，起来转发有一定的迷糊的性质

代发字样：