1、检查记录都为黄灯?
今天分析一个客户案例,邮件标题是“【重要】关于年终绩效发放的通知”,这种吸引眼球的标题钓鱼佬特别钟爱!程序现在还不具备语义识别的功能,邮件内容过于敏感就不展现了。
此外,该样本被工具检测后表现为SPF DKIM DMARC全部为空,黄灯警告。什么意思?
首先DeepPhish EML分析工具对这几块的检测使用了较严格的策略,如果不能明确判断是好或者坏,通通打黄灯,发件人IP也未能提取,说明收件服务器可能没有对发件人IP做检查,工具当前这块的机制是依赖于收件方本身的安全策略。这种场景下的价值类似做个稽查。
2、验证猜测
我们进一步看,确认一下猜测是否靠谱。如下图,在发件人路由中只有一跳,from后边打码的这块是发件人主机名(他伪造的hostname高度模拟收件人域名),而后面紧跟着的IP中只有一个93开头的一个地址,攻击者大概率是直接投递,连SMTP发件服务都懒得用。
IP属地如下,韩国,但收件人是个中国的企业,服务器也只在中国:
3、经验和教训
我们再继续看一下高级分析,搜索SPF或者Authentication 相关关键字,为空,说明收件方应该是没做相关安全检查。什么也搜不到,也没法上图了。
进一步查下这个域名的SPF情况,显然,确实做了SPF设置,也就意味着SPF的设置做了一半,只声明了合法发件地址,但收件的时候没有检查SPF。相当于颁布了规定说:请看XXX法律,结果负责检查的保安还没有上岗。🥲
记得很多年前,笔者曾经在一个国内头部的金融机构总部见过这样的情况,当时一比一伪造甲方域名的钓鱼邮件直接就投了进去,内部员工直接就100分信任了,想不到如今还有这样的情况。
该邮件样本中有一个压缩包,VT结果是有问题的,不再赘述。
4、钓鱼邮件绕过SPF的几种策略
下面列举一些即便是配置了SPF,但仍有可能绕过的套路
1. SPF配置策略不当
软拒绝策略(~all):若SPF记录末尾采用软拒绝(如v=spf1 ip4:xxx.xxx.xx.0/24 ~all),接收方可能仅标记为垃圾邮件而非直接拦截,攻击者可通过大量发送或诱导用户忽略垃圾邮件分类实现投递。
IP段范围过大:若SPF允许的IP段过宽(如整个C段),攻击者只需控制该段内任意主机即可发送“合法”邮件。
SPF记录语法错误:例如多个IP段未正确分隔(如v=spf1 ip4:xxx.xxx.xx.0/24 192.168.1.0/24 -all),导致整个SPF记录失效,邮件接收方无法验证发件人IP。
2. 邮件服务器配置缺陷
未启用SPF验证:部分邮件服务器虽配置了SPF记录,但未实际开启SPF检查功能,导致所有邮件均被放行。
DNS解析不一致:若内部DNS无法解析公网SPF记录(如邮件网关使用内网DNS),攻击者可通过公网伪造邮件绕过内部检测。
邮件中继滥用:内网信任的邮件中继服务器若允许匿名发送(如配置mynetworks为内网IP段),攻击者可利用其转发伪造邮件。
3. 邮件客户端解析差异
Sender与From字段分离:SPF仅验证Sender字段(实际发件人),而邮件显示的是From字段(发件人名称)。攻击者可构造合法Sender(如[email protected])并伪造From为高可信域名(如[email protected])。部分客户端(如Foxmail)可能不显示代发标识,用户误以为发件人真实。
编码混淆:利用邮件头编码(如GB2312)或特殊字符(如[email protected])伪装显示名称,欺骗用户视觉。
4. 第三方服务利用
合法邮件转发平台:注册使用支持SPF的第三方服务(如smtp2go、SendCloud),其IP已被目标域名SPF记录包含(如include机制),通过此类平台发送伪造邮件可绕过SPF检测。
高权限账户滥用:在Exchange等系统中,拥有Domain Admin权限的用户可直接指定发件人,绕过SPF验证机制。
5. SPF记录包含(include)漏洞
宽松的包含策略:若SPF记录包含其他域的SPF策略(如v=spf1 include:example.com -all),而example.com的SPF配置宽松(如允许所有IP),攻击者可利用该域的合法IP发送伪造邮件。
6. 邮件内容与客户端兼容性攻击
客户端渲染差异:不同邮件客户端对SPF验证结果的处理方式不同。例如,部分客户端可能忽略SPF软拒绝标记,或在移动端简化显示发件人信息。
防御建议
1、严格配置SPF策略,使用-all硬拒绝未授权IP,避免语法错误,定期验证SPF有效性。
2、启用DMARC与DKIM,DMARC定义邮件处理规则(如p=reject),DKIM签名防止内容篡改,与SPF形成互补。
3、邮件网关防护,检测From与Return-Path不一致的邮件,拦截相似域名或特殊字符填充的邮件。
4、员工教育,培训员工用户识别钓鱼特征,对抗遗忘曲线,建立肌肉记忆。
5、请使用DeepPhish EML分析工具,检查入站可疑邮件。
另外,网友们也提了不少建议,我们后面会做一些更加人性化的功能,让大家使用这个工具更简单。
原文始发于微信公众号(无限手套Infinity Gauntlet):【重要】邮件检测全黄灯?SPF DKIM DMARC 空白之谜
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论