假冒电子邮件网络钓鱼，你需要知道的秘密！

获取编程专家推荐的23本编程资料！

电子邮件网络钓鱼入门

随着大型企业的边界安全越来越好，无论是APT攻击还是红蓝对抗演练，钓鱼、水坑攻击的使用越来越多。

1. 电子邮件安全的三大协议 1.1 SPF

SPF是Sender Policy Framework的缩写，翻译成中文为发件人策略框架。

主要功能是防止伪造电子邮件地址。

由于发送电子邮件的传统标准——1982年制定的简单邮件传输协议（SMTP）根本不验证发件人的电子邮件地址，垃圾邮件发送者可以随意编造发件人地址来发送垃圾邮件。 收件人很无助，因为你无法分辨电子邮件是谁发送的。

在SPF系统中，每个需要发送邮件的企业在其公开发布的DNS域名记录中列出了自己域名下所有需要发送邮件的IP地址段； 接收电子邮件的服务器会列出电子邮件中的发件人。 其所属的域名，搜索该公司颁发的合法IP地址范围，然后检查发送电子邮件的机器是否属于这些地址范围，就可以判断该电子邮件是否是伪造的。

检查SPF是否开启

nslookup 类型=

记录中出现 spf1 表示使用了 spf。 所谓的伪造邮件是无法发送到QQ邮箱的。

但一般甲方不订立此协议。

1.2 DKIM

DKIM，电子邮件身份验证标准 - 域密钥识别邮件标准。 域名密钥识别邮件的缩写。

一般来说，发件人会在电子邮件的标头中插入 DKIM-Signature 和电子签名信息。 接收方通过DNS查询获取公钥，然后进行验证。

1.3 DMARC

dmarc由Paypal、Google、Microsoft、Yahoo等于2012年1月30日开发，相关内容包括DMARC协议。

【DMARC】协议基于现有的两种主流电子邮件安全协议【DKIM】和【SPF】。 邮件发送者（域所有者）在[DNS]中声明它采用此协议。 当邮件接收方（其MTA需要支持DMARC协议）收到从该域发送的电子邮件时，会执行DMARC验证。 如果验证失败，需要将报告发送到指定的[URI]（通常是电子邮件地址）。

2. 环境设置 2.1 Gophish 设置

我正在使用ubuntu

下载

获取

解压

mkdir -p/gophishunzip gophish-v0.11.0-linux-64bit.zip -d/gophish/cd/gophish/

将config.json中的127.0.0.1修改为0.0.0.0。

80端口代表钓鱼网站开放的端口； 后端管理页面开放的端口为3333，默认账号和密码为admin/gophish。

{“admin_server”：{“listen_url”：“0.0.0.0:3333”，“use_tls”：true，“cert_path”：“gophish_admin.crt”，“key_path”：“gophish_admin.key”}，“phish_server”：{ “listen_url”：“0.0.0.0:80”，“use_tls”：false，“cert_path”：“example.crt”，“key_path”：“example.key”}，“db_name”：“sqlite3”，“db_path” : "gophish.db","migrations_prefix": "db/db_","contact_address": "","logging": {"filename": "","level": ""}}

在后台运行，设置当前环境。

chmod+x gophish./gophish &

访问：3333/

可能会提示证书不正确，点击高级-继续页面，输入默认账号和密码登录：admin/gophish

它可能不是默认密码。 vps启动./gophish后，命令行中会给出一个临时密码。 使用临时密码登录，然后设置新密码。

进入钓鱼界面：

打开浏览器访问：80/ 由于我们没有配置钓鱼页面，所以出现404页面未找到的小提示说明运行正常。

Gophish 已构建。

2.2 电子邮件设置

官方文档：

ewomail需要centos，但是这时候不像重装系统，所以使用docker来搭建。

apt install docker.iodocker 搜索 ewomaildocker pull bestwu/ewomail

创建并启动容器：（将命令替换为自己的域名mail.*.格式）。

docker run --restart=always -p25:25 -p109:109 -p110:110 -p143:143 -p465:465 -p587:587 -p993:993 -p995:995 -p81 :80 -p8080:8080 -v`pwd`/mysql/:/ewomail/mysql/data/ -v`pwd`/vmail/:/ewomail/mail/ -v`pwd`/ssl/certs/ :/etc/ssl/certs/ -v`pwd`/ssl/private/:/etc/ssl/private/ -v`pwd`/rainloop:/ewomail/www/rainloop/data -v`pwd` /ssl/dkim/:/ewomail/dkim/ --nameewomail bestwu/ewomail

域名系统：

最终搭建效果：

域名：8080

帐号 admin 密码 ewomail123

添加电子邮件：

2.3 Gophish功能介绍

进入后台后，左边的栏代表各种功能，包括仪表板、营销活动、用户和组、电子邮件模板、登陆页面和发送配置文件：

功能

简要描述;简介

仪表板

查看总体测试状态的仪表板

活动

每次攻击前都需要配置

用户和组

用户和用户组（添加钓鱼所需的邮箱地址及相关基本信息）

电子邮件模板

电子邮件模板

登陆页面

需要假钓鱼页面

发送配置文件

钓鱼邮件发送配置

发送配置文件 发送策略

发送配置文件的主要功能是配置用于向 gophish 发送钓鱼邮件的电子邮件地址。

单击新建配置文件以创建新策略并依次填写每个字段。 填写您刚刚创建的发送电子邮件地址和用户名。

名称：名称字段用于为新创建的发送策略命名，不会影响钓鱼的实施。

Interface Type：Interface Type是接口类型。 默认为 SMTP 类型，不可修改。 因此，需要在发送邮箱中启用SMTP服务。 然而，SMTP的25端口在大多数机器上被禁用，因此需要将其配置为465端口。

From:From 是发件人，如网络钓鱼电子邮件中所示。 （实际使用中，一般需要伪造近似域名）。

Host：Host是smtp服务器的地址，格式为：25

用户名：用户名是smtp服务认证的用户名。 密码：密码是smtp服务认证的密码。

（可选）电子邮件标头：电子邮件标头是自定义电子邮件标头字段，例如电子邮件标头的 X-Mailer 字段。 如果不修改该字段的值，则通过gophish发送的邮件的邮件头的X-Mailer值将默认为gophish。

设置完以上字段后，您可以单击“发送测试电子邮件”发送测试电子邮件，以检查 SMTP 服务器是否通过身份验证。

但是我收不到邮件啊……

我们先通过qq邮箱转发一下：

user 和 from 都填写电子邮件帐户。

输入密码的授权码：

成功页面。

1. Landing Pages 钓鱼页面

配置钓鱼邮件后，您可以通过LandingPages模块创建新的钓鱼网站页面。 这里支持手写html文件，也可以导入网站功能。

名称：名称用于为当前创建的钓鱼页面命名。

导入站点：gophish提供了两种设计钓鱼页面的方式，

第一个是导入站点。 点击“导入站点”后，填写伪造网站的URL，然后点击“导入”，即可通过互联网自动抓取伪造网站的前端代码。

在这里百度一下测试一下。

内容编辑框是编辑钓鱼页面的第二种方法，但大多数情况下，更多的是用来辅助第一种方法，即修改源代码和预览导入的页面。

（要点）捕获提交的数据：

通常，网络钓鱼的目的是捕获受害者的用户名和密码。 因此，在单击“保存页面”之前，请记住选中“捕获提交的数据”。 勾选Capture Submitted Data后，页面上会多出一个Capture Passwords。 选项，显然是为了捕获密码。 通常，可以选择选中该框来验证帐户可用性。 如果只是为了测试统计受害用户是否提交数据而不泄露账户隐私，则无需检查。 此外，当选中“捕获提交的数据”时，页面上还会有一个额外的“重定向到”。 它的功能是当受害用户点击时，点击提交。 表单之后，将页面重定向到指定的 URL。 可以填写伪造网站的URL，造成受害者第一次填写错误的账号和密码的感觉（一般来说，当登录页面提交的表单数据与数据库不一致时，URL登录页面的最后会添加一个error参数，用于提示用户用户账号或密码不正确，所以在Redirect to中，最好在URL中填写error参数）。

填写以上参数后点击保存页面即可保存编辑好的钓鱼页面。

1. 电子邮件模板 网络钓鱼电子邮件模板

创建相应的钓鱼邮件模板。 这里的钓鱼模板可以直接编辑，也可以导入其他邮箱的模板。

名称：同样，该字段用于命名当前创建的钓鱼邮件模板。

导入电子邮件：gophish 提供了两种编辑电子邮件内容的方式。

第一个是导入电子邮件。 用户可以先在自己的邮箱系统中设计一封钓鱼邮件，然后发送给自己或其他合作伙伴。 他们收到设计的电子邮件后，可以打开它并选择导出为eml文件或显示电子邮件的原始文本，然后将内容复制到gophish的导入电子邮件中以导入设计的钓鱼电子邮件。

在这里您可以直接打开邮箱中的一封信，点击显示原文，然后就可以复制、导入、粘贴进去。

影响：

需要注意的是，在单击“导入”之前，您需要选中“更改链接以指向登陆页面”。 当钓鱼事件发生时，该功能会自动将电子邮件中的超链接转换为钓鱼网站的URL。

主题：主题是电子邮件的主题。 通常为了提高电子邮件的真实性，你需要自己编一个有吸引力的主题。

内容编辑框：内容编辑框是编写电子邮件内容的第二种模式。 内容编辑框提供了文本和HTML两种模式来编写电子邮件内容。 使用方法与普通编辑器相同。 其中，HTML模式下的预览功能较为常用。 编辑完内容后，点击“预览”即可清楚地看到邮件的具体内容和格式。

添加跟踪图像：添加跟踪图像是在钓鱼邮件末尾添加跟踪图像，以跟踪受害者是否打开了收到的钓鱼邮件。 默认情况下会选中它。 如果不勾选，将无法追踪受害用户是否打开钓鱼邮件（注：追踪受害用户是否点击钓鱼链接以及捕获提交的数据不会受其影响）添加文件：正在发送添加文件 可以将附件添加到电子邮件中。 首先，可以添加相关文件以提高电子邮件的真实性。 其次，可以与反杀木马配合使用，诱导受害用户下载并打开。

填写完上述字段后，单击“保存模板”保存当前编辑的钓鱼邮件模板。

1. 用户和组 用户和组

Users & Groups的作用是将钓鱼目标邮箱地址导入gophish并准备发送。 单击新建组创建新的钓鱼目标用户组。

名称：名称是当前创建的用户组的名称。

批量导入用户：批量导入用户是批量导入用户邮箱。 通过上传符合特定模板的CSV文件，批量导入目标用户邮箱。 单击旁边灰色字体的“下载 CSV 模板”可下载特定的 CSV 模板文件。 其中，模板文件的Email为必填项，其余Frist Name、Last Name、Position为选填项。

补充：除了批量导入目标用户邮箱外，gophish还提供了导入单个邮箱的方法，非常方便在开始钓鱼之前对钓鱼组织进行内部测试。 无需上传繁琐的文件，直接填写电子邮件即可，其余的名字、姓氏和职位都是可选的。

编辑目标用户的电子邮件地址后，单击保存更改，将编辑后的目标电子邮件地址保存在 gophish 中。

1. 活动网络钓鱼事件

Campaigns的作用是连接以上四个功能Sending Profiles、Email Templates、Landing Pages、Users & Groups，并创建网络钓鱼事件。

在营销活动中，您可以创建新的钓鱼事件，选择编辑好的钓鱼邮件模板和钓鱼页面，通过配置的发送地址将钓鱼邮件发送给目标用户组中的所有用户。

单击“新建活动”以创建新的网络钓鱼事件。

名称：名称是为新的网络钓鱼事件命名。

电子邮件模板：电子邮件模板是网络钓鱼电子邮件模板。 这里选择上面刚刚编辑的钓鱼邮件模板。

Landing Page：Landing Page就是钓鱼页面，这里选择上面编辑的那个。

（要点）URL：URL是用于替换所选钓鱼邮件模板中的超链接的值，该值指向所选钓鱼页面部署的URL。

简单来说，这里的URL需要填写当前运行gophish脚本的主机的IP地址。 因为启动gophish后，gophish默认监听3333和80端口。 3333端口为后台管理系统，80端口用于部署钓鱼页面。 当URL填写主机IP/，或[]()时，当前钓鱼事件创建成功。 gophish 将在主机的 80 端口上部署当前钓鱼事件选择的钓鱼页面，并将发送的钓鱼邮件中的所有超链接替换为部署在 80 端口上的钓鱼页面的 URL。

启动日期：启动日期是网络钓鱼事件的实施日期。 通常，如果只发送少量电子邮件，则此项不需要修改。 如果您需要发送大量电子邮件，最好使用旁边的发送电子邮件方式。

（可选）Send Emails By：与Launch Date结合使用，Send Emails By可以理解为当前钓鱼事件下所有钓鱼邮件发送的时间。 Launch Date 用作开始发送时间，Send Emails By 用作完成发送时间，两者之间的时间将除以所有电子邮件（以分钟为单位）。

发送配置文件：发送配置文件是发送策略。 在这里选择您刚刚编辑的：

填写完上述字段并点击启​​动活动后，就会创建该钓鱼事件（注意：如果不修改启动日期，默认情况下，钓鱼事件创建后会立即发送钓鱼邮件）。

1、仪表盘仪表抓取

当网络钓鱼事件发生时，仪表板将自动开始统计数据。 统计数据项包括邮件发送成功数及率、邮件打开数及率、钓鱼链接被点击数及率、账号及密码数据提交数及率、提交次数及率等。收到的电子邮件报告的数量。 。 此外，还有一个时间线，记录每个行为发生的时间。

需要说明的是，Dashboard统计的是所有钓鱼事件的数据，而不是单个钓鱼事件的数据。 如果您只需要查看单个钓鱼事件的统计信息，您可以在营销活动中找到该钓鱼事件，然后单击“查看结果”按钮进行查看。

3. 邮箱管理

邮件钓鱼信息收集：

3.1 找到目标开放的邮件服务端口和Web邮箱入口

通过扫描c段找到入口

首先，你需要从MX记录域名中找到他的真实IP地址。

然后扫描该IP地址的C段（端口25、109、110、143、465、995、993）。 一般情况下，很容易找到目标邮件服务器入口。

通过子域名找到邮箱入口

Sublist3r、TeeMO、LangSrcCurise、Digger 等

通过搜索引擎抓取

谷歌黑客搜索；

百度、搜狗、360、Bing。

站点：标题：“Outlook Web App”

站点：标题：“邮件”

网站：标题：“网络邮件”

Shodan、fofa、zoomeye 搜索等

3.2 批量收集目标邮箱地址 3.3 验证邮箱地址

收集完邮箱后，我们需要对邮箱进行验证，因为部分目标公司员工已经放弃或不再使用（辞职、调岗等）。

您可以通过以下方式检查该电子邮件地址是否存在

verifyemail是一个可以批量验证邮件的工具

邮件测试器.py

该工具可以自动组合电子邮件地址，并根据组合结果一一验证。

该脚本的优点是它会根据名字中的名字随机组合组合，然后一一验证。

我们在枚举邮箱用户的时候，尽量查找尽可能多的词典，比如汉语拼音、缩写词前100、1000、10000。这里我们需要更多的鱼叉。 多一个邮箱就意味着多一份成功。 速度。

当然，我们可以提取出可疑的网络管理员、运维人员、安全部门人员。 这些人单独写邮件或者不发送，因为这些人的安全意识比较高，很容易惊动别人。 我们需要确保一些非技术员工的安全。 意识薄弱的人开始采摘弱柿子。

这里您可以与本网站合作，根据收集到的目标信息，开发对应名称的词典进行组合。

3.4 邮箱爆破

这种弱口令爆破的方法只适用于目标公司自有的邮件服务器如OWA等，百度、腾讯、阿里巴巴、网易等邮箱不优先考虑。

使用的工具有medusa、Hydra、SNETCracker、APT34组织owa爆破工具等。

此外，电子邮件用户名和密码经常使用公司缩写+2019、2020等社会工程密码。 额外的字典将提高成功率。

4. 电子邮件伪造

一般情况下，如果没有SPF，可以直接用swaks伪造。

-t –to 目标地址 -t -f –from 源地址（发件人） -f "text"--protocol 设置协议（未测试）--body "" //引号内内容为邮件正文； - -header "Subject:hello" //电子邮件头信息，主题为电子邮件标题 -ehlo 伪造电子邮件 ehlo header --data ./Desktop/email.txt //将正常源电子邮件的内容保存到TXT文件中，然后将其用作普通电子邮件发送；

网上打假：

匿名邮箱：

5.绕过SPF

绕过sendgird、mailgun

对于 SPF，您需要绕过 SPF。 您可以使用swaks+smtp2go。 您需要使用电子邮件托管平台来绕过 SPF 监控。

swaks --to --from --ehlo xxxdan--body“你好，我是007”--server -p 2525 -au user -ap pass

6. 钓鱼域名注册

通过文案写作，如何让你的电子邮件看起来更真实？ 最简单的就是利用超链接将元素内容改为你想要仿冒的域名。 在电子邮件页面上，将直接显示该元素的内容。 我们可以使用一些与目标相似的域名。 比如用0代替o，用1代替l，vv代替w等。你需要发挥你的想象力来寻找相似的域名：如果你找不到这样相似的域名或者这个域名比较价格昂贵，你可以尝试一些更粗俗的东西。 。 例如，如何使用国际域名注册域名？ 在了解如何注册此类域名之前，您需要首先了解什么是国际域名IDN。

6.1什么是国际化域名（IDN）？

是指域名中至少包含一个特殊语言字母的域名。 特殊语言包括中文、法语、拉丁语等。在DNS系统工作中，这个域名会被编码成ASCII字符串，并通过Punycode进行翻译。 Punycode是基于RFC 3492标准开发的编码系统。 主要用于将域名从本地语言使用的Unicode编码转换为可以在DNS系统中使用的编码。

目前，由于操作系统的核心是由英文组成，而DNS服务器的解析也是通过英文代码进行交换，因此DNS服务器不支持直接的中文域名解析。 所有中文域名解析都需要转换成punycode代码，然后被DNS Parse punycode代码使用。 事实上，目前所有主流浏览器都完美支持IDN域名。 浏览器会自动对IDN域名进行Punycode，地址栏仍显示原来输入的IDN域名。

看看这两个域名，

纳纳

乍一看，它们看起来一样。 但是当第一个域名复制到浏览器时，就变成了其他字符。仔细一看，第一个域名n下面有一个点，哈哈哈，这就是区别，其实是转码后的域名庞尼码

试

A

您可以在这里找到类似的并对其进行编码，

punycode在线转换工具：

Unicode编码表：

之前的假冒看起来类似，但如果浏览器上直接出现不安全警告或者红色斜线，很容易引起目标的警惕。 所以在条件允许的情况下，尽量去做全套剧。

7. 钓鱼文件制作 7.1 APT提示

假冒扩展 kilerrat 工具

文件捆绑

传统宏文件

CHM钓鱼

CVE-2018-2174

Windows 快捷键

构建DDE钓鱼文档

将外部对象（OLE）插入到单词作弊中

IQY 功能钓鱼

PPT动作按钮功能结构PPSX钓鱼

RAR减压钓鱼

NiFengQiPi是一个专注于程序员圈的技术平台。 您可以获取最新的技术动态、最新的内测资质、BAT等大公司的经验、自我成长、学习资料、职业路线、赚钱思路、微信搜索反向关注！

Tags：钓鱼 邮件 邮箱 域名 发送