邮件钓鱼入门到入土
字数 2204 2025-08-15 21:33:16

邮件钓鱼从入门到精通

一、邮件安全三大协议

1.1 SPF (Sender Policy Framework)

  • 作用:防止伪造邮件地址
  • 原理:企业在DNS记录中列出合法发送邮件的IP地址段,接收方验证发送IP是否在合法列表中
  • 查询方法
    nslookup -type=txt qq.com
dig -t txt qq.com
  • 特点:记录中有"spf1"表示启用SPF

1.2 DKIM (DomainKeys Identified Mail)

  • 作用:电子邮件验证标准
  • 原理:发送方在邮件头插入DKIM-Signature及电子签名,接收方通过DNS查询公钥验证

1.3 DMARC

  • 作用:基于DKIM和SPF的扩展协议
  • 原理:域名拥有者在DNS声明采用DMARC协议,接收方进行校验并发送报告

二、环境搭建

2.1 Gophish搭建

  1. 下载安装
    wget https://github.com/gophish/gophish/releases/download/v0.11.0/gophish-v0.11.0-linux-64bit.zip
unzip gophish-v0.11.0-linux-64bit.zip -d /gophish/
  2. 修改配置:修改config.json中127.0.0.1为0.0.0.0
  3. 运行
    chmod +x gophish
./gophish &
  4. 访问:https://IP:3333/ (默认账号admin,密码gophish或命令行给出的临时密码)

2.2 EwoMail搭建(Docker方式)

  1. 拉取镜像
    docker pull bestwu/ewomail
  2. 运行容器
    docker run -d -h mail.ewomail.com --restart=always \
-p 25:25 -p 109:109 -p 110:110 -p 143:143 \
-p 465:465 -p 587:587 -p 993:993 -p 995:995 \
-p 81:80 -p 8080:8080 \
-v `pwd`/mysql/:/ewomail/mysql/data/ \
-v `pwd`/vmail/:/ewomail/mail/ \
--name ewomail bestwu/ewomail
  3. 访问:http://域名:8080 (默认账号admin,密码ewomail123)

三、Gophish功能详解

3.1 Sending Profiles (发件策略)

  • 配置项
    • Name:策略名称
    • Interface Type:SMTP(默认)
    • From:发件人地址
    • Host:SMTP服务器地址(smtp.example.com:25)
    • Username/Password:SMTP认证信息
    • Email Headers:自定义邮件头

3.2 Landing Pages (钓鱼页面)

  • 创建方式
    1. Import Site:从URL导入网站
    2. 手动编辑HTML
  • 关键选项
    • Capture Submitted Data:捕获提交数据
    • Capture Passwords:捕获密码
    • Redirect to:提交后重定向URL

3.3 Email Templates (邮件模板)

  • 创建方式
    1. Import Email:导入eml文件或邮件原文
    2. 手动编辑
  • 关键选项
    • Change Links to Point to Landing Page:自动替换链接
    • Add Tracking Image:添加跟踪图像
    • Add Files:添加附件

3.4 Users & Groups (目标用户)

  • 导入方式
    1. Bulk Import Users:批量导入CSV
    2. 手动添加单个邮箱
  • CSV模板:Email(必填), First Name, Last Name, Position(选填)

3.5 Campaigns (钓鱼事件)

  • 配置项
    • Email Template:选择邮件模板
    • Landing Page:选择钓鱼页面
    • URL:替换邮件中超链接的目标URL
    • Sending Profile:选择发件策略
    • Launch Date/Send Emails By:发送时间设置

3.6 Dashboard (仪表板)

  • 统计数据
    • 邮件发送成功数量/比率
    • 邮件打开数量/比率
    • 链接点击数量/比率
    • 数据提交数量/比率
    • 时间轴记录

四、邮箱打点技术

4.1 寻找邮件服务入口

  1. 端口扫描:25、109、110、143、465、995、993
  2. 子域名发现
    • 工具:Sublist3r、TeeMO、LangSrcCurise
  3. 搜索引擎
    site:target.com intitle:"Outlook Web App"
site:target.com intitle:"mail"
site:target.com intitle:"webmail"
  4. Shodan/Fofa/Zoomeye搜索

4.2 批量收集邮箱

  • 工具/网站
    • hunter.io
    • skymem.info
    • email-format.com
    • teemo/theHarvester工具

4.3 邮箱验证

  • 工具
    • mailtester.com
    • verifyemail(批量验证)
    • MailTester.py(自动组合验证)

4.4 邮箱爆破

  • 工具:medusa、hydra、SNETCracker、APT34组织工具
  • 字典策略:公司简称+年份等社工密码

五、邮箱伪造技术

5.1 基本伪造(Swaks工具)

swaks --to test@test.com --from "text<text@text.com>" \
--body "http://www.baidu.com" --header "Subject:hello" \
--ehlo fakeheader --data ./email.txt

5.2 在线伪造

  • http://tool.chacuo.net/mailanonymous
  • http://tool.chacuo.net/mailsend

5.3 绕过SPF

swaks --to xxx@163.com --from admin@gov.com --ehlo xxx \
--body "hello,i'm 007" --server mail.smtp2go.com \
-p 2525 -au user -ap pass

六、钓鱼域名注册技巧

6.1 IDN(国际化域名)

  • 原理:使用特殊字符(如ą,ṇ)注册形似域名
  • Punycode转换工具
    • http://tools.jb51.net/punycode/index.php
  • Unicode编码表
    • https://www.cnblogs.com/csguo/p/7401874.html

6.2 常见替换策略

  • 0代替o
  • 1代替l
  • vv代替w
  • 使用特殊语言字母(如ą,ṇ)

七、钓鱼文件制作

7.1 常用技术

  1. 伪造扩展名(kilerrat工具)
  2. 文件捆绑
  3. 传统宏文件
  4. CHM钓鱼
  5. CVE-2018-2174利用
  6. Windows快捷方式构造
  7. DDE钓鱼文档
  8. OLE对象插入欺骗
  9. IQY特性钓鱼
  10. PPT动作按钮特性
  11. PPSX钓鱼
  12. RAR解压钓鱼

7.2 参考资源

https://blog.csdn.net/qq_42939527/article/details/107485116

邮件钓鱼从入门到精通 一、邮件安全三大协议 1.1 SPF (Sender Policy Framework) 作用 :防止伪造邮件地址 原理 :企业在DNS记录中列出合法发送邮件的IP地址段,接收方验证发送IP是否在合法列表中 查询方法 : 特点 :记录中有"spf1"表示启用SPF 1.2 DKIM (DomainKeys Identified Mail) 作用 :电子邮件验证标准 原理 :发送方在邮件头插入DKIM-Signature及电子签名,接收方通过DNS查询公钥验证 1.3 DMARC 作用 :基于DKIM和SPF的扩展协议 原理 :域名拥有者在DNS声明采用DMARC协议,接收方进行校验并发送报告 二、环境搭建 2.1 Gophish搭建 下载安装 : 修改配置 :修改config.json中127.0.0.1为0.0.0.0 运行 : 访问 :https://IP:3333/ (默认账号admin,密码gophish或命令行给出的临时密码) 2.2 EwoMail搭建(Docker方式) 拉取镜像 : 运行容器 : 访问 :http://域名:8080 (默认账号admin,密码ewomail123) 三、Gophish功能详解 3.1 Sending Profiles (发件策略) 配置项 : Name:策略名称 Interface Type:SMTP(默认) From:发件人地址 Host:SMTP服务器地址(smtp.example.com:25) Username/Password:SMTP认证信息 Email Headers:自定义邮件头 3.2 Landing Pages (钓鱼页面) 创建方式 : Import Site:从URL导入网站 手动编辑HTML 关键选项 : Capture Submitted Data:捕获提交数据 Capture Passwords:捕获密码 Redirect to:提交后重定向URL 3.3 Email Templates (邮件模板) 创建方式 : Import Email:导入eml文件或邮件原文 手动编辑 关键选项 : Change Links to Point to Landing Page:自动替换链接 Add Tracking Image:添加跟踪图像 Add Files:添加附件 3.4 Users & Groups (目标用户) 导入方式 : Bulk Import Users:批量导入CSV 手动添加单个邮箱 CSV模板 :Email(必填), First Name, Last Name, Position(选填) 3.5 Campaigns (钓鱼事件) 配置项 : Email Template:选择邮件模板 Landing Page:选择钓鱼页面 URL:替换邮件中超链接的目标URL Sending Profile:选择发件策略 Launch Date/Send Emails By:发送时间设置 3.6 Dashboard (仪表板) 统计数据 : 邮件发送成功数量/比率 邮件打开数量/比率 链接点击数量/比率 数据提交数量/比率 时间轴记录 四、邮箱打点技术 4.1 寻找邮件服务入口 端口扫描 :25、109、110、143、465、995、993 子域名发现 : 工具:Sublist3r、TeeMO、LangSrcCurise 搜索引擎 : Shodan/Fofa/Zoomeye 搜索 4.2 批量收集邮箱 工具/网站 : hunter.io skymem.info email-format.com teemo/theHarvester工具 4.3 邮箱验证 工具 : mailtester.com verifyemail(批量验证) MailTester.py(自动组合验证) 4.4 邮箱爆破 工具 :medusa、hydra、SNETCracker、APT34组织工具 字典策略 :公司简称+年份等社工密码 五、邮箱伪造技术 5.1 基本伪造(Swaks工具) 5.2 在线伪造 http://tool.chacuo.net/mailanonymous http://tool.chacuo.net/mailsend 5.3 绕过SPF 六、钓鱼域名注册技巧 6.1 IDN(国际化域名) 原理 :使用特殊字符(如ą,ṇ)注册形似域名 Punycode转换工具 : http://tools.jb51.net/punycode/index.php Unicode编码表 : https://www.cnblogs.com/csguo/p/7401874.html 6.2 常见替换策略 0代替o 1代替l vv代替w 使用特殊语言字母(如ą,ṇ) 七、钓鱼文件制作 7.1 常用技术 伪造扩展名(kilerrat工具) 文件捆绑 传统宏文件 CHM钓鱼 CVE-2018-2174利用 Windows快捷方式构造 DDE钓鱼文档 OLE对象插入欺骗 IQY特性钓鱼 PPT动作按钮特性 PPSX钓鱼 RAR解压钓鱼 7.2 参考资源 https://blog.csdn.net/qq_ 42939527/article/details/107485116