红队APT基础 | 钓鱼邮件制作与发件人伪造

前情提要

前面我们学习了如何快速的搭建一个钓鱼服务器，如何进行快速的钓鱼。但还不够，因为对于钓鱼来说，每个的细节都需要我们尽可能的把握，从而增加成功率。而之前的钓鱼邮件，虽然伪造了邮件部分，但却无法伪造发件人。

目标邮件

伪造结果

区别显而易见了，发件人是不同的，并未完成真正的伪造。

你能收获什么？

获得一封近乎无暇的钓鱼邮件~，因为这个方法也不是完美的，废话不多说，直接展示成果：

目标邮件

伪造邮件

网易

QQ

正式开始

我们今天涉及的服务器：香港服务器_香港云服务器_海外服务器租用托管商-恒创科技

我们今天涉及的工具是：EwoMail开源邮件服务器软件

为什么选用这两个呢？

关于服务器有三点讲究：

1.免费~嘿嘿，最重要的嘛，演示不选一个免费的那不是坑大家吗

2.服务器没有封闭25端口，阿里云、华为云、腾讯云这些都是会封闭25端口的，你说解封？你想吃紫蛋了我看，哈哈，开玩笑。

3.需求centos7/8 64位系统，CPU：1核，内存：2G，硬盘：40G，带宽：1-3M

4.香港服务器，或者海外的服务器，为什么？因为这两类服务器域名不用备案。什么？你说你要去备案，我看你是没被溯源过~

首先看看免费服务器怎么领取

然后自己申请吧，需要实名认证，手机号绑定。

申请好后，使用工具（MobaXterm_Personal）连接即可。

什么你说你不懂什么叫MobaXterm_Personal，那你可以去看看：

不会有人2025了还不会反弹shell吧？让你的反弹shell从0到1！ - FreeBuf网络安全行业门户

这篇文章的知识点一有提到（照顾小白师傅~）

那么准备好服务器我们就去申请域名

那么我们就以这个目标为例嘛，需要申请的一个域名肯定要和他相似

如何申请呢，简单复制粘贴

诶可以发现为什么没有info.sendcloud.me这样的域名。

因为info其实是子域名，是前缀，等等也会讲到如何复刻

那么为了实验环境，我肯定是买个便宜的

买完后审核要一段时间，可以顺便去搭建~

根据它的安装命令，我们一步一截图，这个步骤都是实测过的，2025实测可用~

建议打开手册，从手册上面复制命令（不整虚的，保证大家的复现成功率~）：

http://doc.ewomail.com/docs/ewomail/install

这里完成以后就可以下载命令了~

记得下面的下载要把ewomail.cn替换为你自己的域名！

实测用Gitee的访问不到，那么我们就用GitHub的。

一直到git clone https://github.com/gyxuehu/EwoMail.git这个命令输完就停手

就是有点慢，耐心等待吧，下载过程中查看你申请的域名

然后点击解析设置，可以查看到官网文档里有表格，当然不会的可以看我一步一步做

第一个

第二个

第三个

第四个

第五个

第六个

第七个

第七个是不是没配，因为需要你安装好后再进行配置。

继续做上面没做完的安装操作，复制域名，粘贴命令 sh ./start.sh 域名

注意：这里不一定每个人都会报错，我用的这个服务器会报错，所以如果全程跟我用一样的东西，涉及到的报错都能解决。

如果没有解决，请回头看看自己是不是那一步做错了或者没做。

不出意外会报错：那么你就输入sudo rm -f /etc/yum.repos.d/epel*.repo

然后再运行

就会出现新的报错，没关系

继续输入解决报错命令

yum install ca-certificates

update-ca-trust force-enable

update-ca-trust extract

wget -O /etc/yum.repos.d/epel.repo https://mirrors.aliyun.com/repo/epel-7.repo

然后再输入安装命令，这次就能成功了

看到这里的回显，恭喜你基本上就已经成功了~

最后这样就是成功啦！别急，还记得上面第七个还没配置

所以根据文档

amavisd -c /etc/amavisd/amavisd.conf showkeys使用这个命令

然后复制这一段

然后就需要去到刚刚阿里云配置的地方进行配置了

配置完成后，我们就可以使用

http://45.207.39.114:8000/邮件发射服务器，记得替换为你的服务器ip地址！

http://45.207.39.114:8010/邮件管理服务器！

首先登录邮件管理服务器

默认密码

进去后记得更改密码（因为在公网，小心被别人攻击了~），然后就可以创建了

创建完邮箱，然后去到8000端口

用刚刚创建的邮箱和密码

发送一封邮箱测试一下

可以看到发送域名[email protected]，稳啦。

那么我们前面有一个坑，目标的域名不是info.sendcloud.com吗。这个info怎么办？

简单呀，看文档

重复刚刚的操作，是不是就得到了一个一模一样的~

那么我们回到gophish中。

配置其实很简单啊，将自己创建的服务器填上去。

smtp.替换为自己的域名:25

密码就是自己刚刚创建的那个邮件服务器密码。

然后就可以测试一下发送~

往后就很简单啦，和第一篇文章是一模一样的。

导出这个，复制后粘贴

最终效果

咋样，牛逼不牛逼厉害不厉害~

当然还有坑点没有解释~

所有的域名都可以伪造吗？

理论上可以，但实际上呢？

看两个对照实验，比如我想伪造[email protected]这个域名

我发到QQ邮箱，你会发现

它会被退回，而如果我发送到网易邮箱中呢？

就成功伪造了。

再看一组，肯定因为有人好奇，我为什么不用info.sendcloud.asia域名做示例，因为我懒，这里补一个截图先。

你看QQ的第一封邮件会出现在垃圾箱里，而第二封就不会了。

而网易邮箱

一个垃圾邮件都没有。

综上所述，这表示什么？表示每个邮件系统的策略其实是不一样的，而我们在操作过程中，应该首先弄明白每个邮件各自的策略，从而更好的进行钓鱼邮件攻击。

好啦，今天就差不多到这了，最后祝大家天天开心、快快乐乐~

原文始发于微信公众号（德斯克安全小课堂）：红队APT基础 | 钓鱼邮件制作与发件人伪造