web-dev-qa-db-ja.com

emkeiなどのなりすましメールサイトの仕組み

メールのなりすましのしくみを理解しようとしています。技術的なプロセスを研究した後、私は最終的にそれを理解しました:

  1. スプーファーはSMTPサーバーのすべてのポートをスキャンしてMXをキャッチしようとします

  2. TelnetでMXサーバーに接続する

  3. エンベロープのFROMとTOを変更するSMTPパケットを送信します

しかし、そのまま この投稿で説明 なので、それほど簡単ではありません。たとえば、SMTPサーバーを見つける方法がわからないことを考慮して、Telnet接続の試行を拒否しないSMTPサーバーを探す必要があります(おそらく、ポートスキャンから保護する必要があります)。そして、他の問題があります。

したがって、「emkei」などのWebサイトがメールのなりすましを簡単に提案できるのではないかと思います。

すべてのSMTPサーバーを本当に高速に試しますか?

または、パケットをリレーする独自のSMTPサーバーをホストしていますか?その場合、たとえば、[email protected]からメールを送信しようとすると、Gmail SMTPサーバーにルーティングする必要があり、これにより、別のGmail SMTPサーバーから送信されていないGmailアドレスが拒否される可能性があります。 。そして、もし彼らがOpen-Relayサーバーを使っていたら、そのサーバーはブラックリストに載っていたでしょう?どのように機能するのか本当にわかりません。

1
KB303

スプーファーはmxをキャッチするためにsmtpサーバーのすべてのポートをスキャンしようとします

MXはDNSルックアップを実行することによって検出され、MTAはこのDNSルックアップによって返されたサーバーのポート25を使用しています。ポートスキャンは行われません。

ただし、この投稿(Eメールのなりすましのアドレス)で説明されているように、それほど簡単ではありません。

この投稿はいくつかの方法を示しています。そして、最も簡単な方法は、受信者ドメインのMXを見つけて(DNSルックアップ)、このドメインにSMTPクライアント(またはtelnet)で接続することです-SMTP MTAが非このドメインへのなりすましメール。高い評価を受けている送信者ドメインがSPFまたはDKIMを使用していて、受信者のSMTPサーバーがこれをチェックする場合、問題が発生する可能性があります。

4
Steffen Ullrich

ドメインからのメールを偽装するためにドメインのメールサーバーに接続する必要はありません。それはまったく正しくありません。その特定の攻撃は「オープンリレー」と呼ばれます...公開されたメールサーバーに接続し、メールを送信するように指示します。これは、内部でメールを送信する(スパムフィルタリングシステムによって検出される可能性は低い)、外部メールを送信する(スパム)、または内部および外部システムが認識しない可能性が高いメールサーバーのドメインからのメールを偽装するために使用できます。なりすまし。これは一部の国では違法である可能性があり、emkeiのメーラーが行うことではありません。

私が所有しているドメインからのメッセージを偽装し、すべてのポートでの接続試行を監視するようにサイトに指示することで、これを確認しました。何も起こらなかった。

Emkeiのスクリプトが行うことは、sendmail/postfixのようなローカルバイナリを使用して、偽のFROM値でメールを送信することです。 emkeiには添付ファイルと外部SMTPサーバーをサポートするオプションがあるため、サイトが内部で PHPMailer のようなフレームワークを使用している可能性があります...電子メールを手動で作成することは、RFC地雷原のビットになる場合があるためです。

このバージョンの攻撃は、効果がなくなったため、間もなくリリースされます。ほとんどのスパムシステムは、電子メールがTLS経由で送信されない可能性が高く、DKIM検証に合格していないことを認識し、ヘッダーはおそらく奇妙です(たとえば、「X-Mailer」ヘッダーがあるだけです...)すべてがメッセージを受け取りますSpam-Assassinのようなシステムのスパム可能性ポイント。とはいえ、この方法が完全に機能しなくなるまでには数年かかります。メールはセキュリティを考慮して作成されておらず、改良は遅いものです。

1
hiburn8

Shodan( http://shodanhq.io )を使用して、たくさんのオープンMXを見つけることができます。その部門では何の問題もありません。単純な「なりすまし」(ヘッダーにX-Originating-IPが含まれています:

nc example.com 25

...

helo blabbabla

mail from: [email protected]

rcpt to: [email protected]

data

I LOVE YOU <3 ... NOT!

.

私が使用したことがない他のいくつかの巧妙なものがあります。 SMTPが大きく変わったとは思えませんが、久しぶりです。これをスクリプト化して多くの電子メールを送信することの唯一の利点は、バイナリデータでOutlookをクラッシュさせる可能性があることです。そして、それは再び開かれたときに再びクラッシュするでしょう。

1
user2497