关于黑产绕过邮件网关 SPF 发送钓鱼邮件的疑惑

2024-04-25 23:35:57 +08:00
 bootyshinehf

最近发现攻击者 IP 180.103.12.117 通过 SMTP 端口向同事发送钓鱼邮件成功,没有经过任何认证,且发件 IP 不在 cpibj.com.cn 的 SPF 允许范围内。

C:\>nslookup
默认服务器:  public1.114dns.com
Address:  114.114.114.114

> set qt=txt
> cpibj.com.cn
服务器:  public1.114dns.com
Address:  114.114.114.114

非权威应答:
cpibj.com.cn    text =
        "qqmail-site-verification=b72f361daa3048ca5b64be6b1670252f65ced90d851"
cpibj.com.cn    text =
        "MS=D2EBDFFED7F601051E24E409E3F0F36697658F03"
cpibj.com.cn    text =
        "v=spf1 ip4:123.117.136.189 ip4:114.255.252.30 ip4:114.255.252.17 -all"

发送的钓鱼邮件如下:

相关邮件源码如下:

感觉碰到玄学了,攻击者能直接利用,我却复现不了。。。提示没通过 SPF 校验。。。

黑产是怎么实现这种方式的批量钓鱼邮件投递啊。。。求大佬解惑

===================== 更新

下面是捕获到的伪造的发件人清单:

MAIL FROM:<maildaemon@evtfwavaiq.com>
MAIL FROM:<mail@ucemtiut.com>
MAIL FROM: <ri@hgsteels.com.cn>
MAIL FROM: <csl@cybernaut.com.cn>
MAIL FROM: <vzef@sanan-ic.com>
MAIL FROM: <oheproxbo@dongfanghuaxing.com>
MAIL FROM:<weicen252390@163.com>
MAIL FROM:<duna@nojz.com>
MAIL FROM:<poster@tbnliu.com>
MAIL FROM: <trlkvlqjb@jorsun.com.cn>
MAIL FROM: <vizvpnvkl@svihk.com>
MAIL FROM: <qsbp@tjtuoke.com>
MAIL FROM:<null@cfelklp.com>
MAIL FROM: <jl@amh-group.com>
MAIL FROM: <ul@swifts.com.cn>
MAIL FROM: <zdzlnok@mtrhz.com.cn>
MAIL FROM: <rwwmlp@xreb.com>
MAIL FROM:<list@wtqedcscw.com>
MAIL FROM:<fengyaxin1989@163.com>
MAIL FROM: <gnfgujpw@tsingke.com.cn>
MAIL FROM: <ycm@boschhuayu-steering.com>
MAIL FROM: <wk@sprandi.com>
MAIL FROM:<customersupport@actybu.com>
MAIL FROM: <fm@trinasolar.com>
MAIL FROM: <aigweje@buick-xtbl.com>
MAIL FROM: <tehm@aeonbj.com>
MAIL FROM:<master@njtlntb.com>
MAIL FROM:<arru@ukee.com>
MAIL FROM: <ugc@guardian-hygiene.com>
MAIL FROM: <kkueeflm@wuhanrt.com>
MAIL FROM: <mm@wineversun.com>
MAIL FROM: <cdlcmrku@cieol.cn>
MAIL FROM:<notification@exihmm.com>
MAIL FROM:<spam@gwcwqimgu.com>
MAIL FROM: <hlegudhno@dffhs.com.cn>
MAIL FROM: <uzr@cggc.cn>
MAIL FROM: <zmcmcq@darcyad.com>
MAIL FROM: <lnwxw@bzwiremesh.com>
MAIL FROM: <agscqub@kyland.com>
MAIL FROM:<poster@jgndrd.com>
MAIL FROM:<list-request@njnaa.com>
MAIL FROM: <dx@xiuke.com>
MAIL FROM: <sn@dkjraa2ke.com>
MAIL FROM:<ispfeedback@mpjextlfoi.com>
MAIL FROM:<notification@bhbihnov.com>
MAIL FROM: <fzn@cnoocshell.com>
MAIL FROM:<security@psikpa.com>
MAIL FROM: <ash@cnpccei.cn>
MAIL FROM: <nv@pluke.com>
MAIL FROM: <hnwzkyhe@wh.hascovision.com>
MAIL FROM: <cxqij@vanchiptech.com>
MAIL FROM:<wnxvaj@bnrn.com>
MAIL FROM:<noreply@oitxnad.com>
MAIL FROM: <qmqclmpu@minimob.com>
MAIL FROM: <kcvhouh@szsjke.com>
MAIL FROM: <qtiblyob@ycjingxin.com>
MAIL FROM: <zrcql@way-on.com>
MAIL FROM:<billing@jjewwpsvz.com>
MAIL FROM:<security@hxhqbbq.com>
MAIL FROM:<www-data@vidsuv.com>
MAIL FROM:<www-data@czpttbjyvu.com>
MAIL FROM:<hr@bdpiqjaseu.com>
MAIL FROM:<omrlzu@xict.com>
MAIL FROM:<mails@hnsetrtpxt.com>
MAIL FROM:<cscec2bthxmu@163.com>
MAIL FROM: <lgyebm@xiankexin.com>
MAIL FROM: <bdkqco@starlake.com.cn>
MAIL FROM:<master@yjjma.com>
MAIL FROM: <bmahnsb@huntersun.com.cn>
MAIL FROM: <xmpnjssdj@totalcare.com>
MAIL FROM:<ispfeedback@wgrthlt.com>
MAIL FROM:<uucp@syjxr.com>
MAIL FROM:<jutzp@pprpv.com>
MAIL FROM: <reeybxf@test-tech.com.cn>
MAIL FROM: <dbg@crystalcg.com>
MAIL FROM: <ct@bjhuixin.com>
MAIL FROM: <newfaus@fnholding.cn>
MAIL FROM: <jermpkcvg@bayair.com>
MAIL FROM: <epmka@siasun.com>
MAIL FROM: <pxowoczka@ramadaplazafuxianlake.com>
MAIL FROM: <bswdebc@cnlongxin.com>
MAIL FROM: <tillqnr@xiake.com>
MAIL FROM:<compliance@wbmmxl.com>
MAIL FROM: <jueshjk@feds.com.cn>
MAIL FROM:<15737915238@163.com>
MAIL FROM: <glq@arcplus.com.cn>
MAIL FROM: <qw@swifts.com.cn>
MAIL FROM: <ohdtpk@gct-cloud.com>
MAIL FROM:<root@glcsaona.com>
MAIL FROM:<inoc@ukvmutxrc.com>
MAIL FROM:<webmaster@sknvbdlzh.com>
MAIL FROM: <mwf@icss.com.cn>
MAIL FROM: <hrafv@ljpuke.com>
MAIL FROM: <penodrm@sinvo.cn>
MAIL FROM: <sxwjjj@lcfuturecenter.com>
MAIL FROM: <zwmrhgnyr@nanmengke.com>
MAIL FROM: <bdfzxee@huntersun.com.cn>
MAIL FROM:<xqccjiachao@163.com>
MAIL FROM: <ijbjsyckt@cuboke.com>
MAIL FROM:<web@uvqcohu.com>
MAIL FROM:<hr@jqraeqkbc.com>
MAIL FROM:<root@iqhxbs.com>
MAIL FROM:<ioica@cmww.com>
MAIL FROM:<18930179576@163.com>
MAIL FROM: <pipwsgfii@hopefulrubber.com>
3989 次点击
所在节点    信息安全
35 条回复
1423
2024-04-26 00:00:16 +08:00
是哪家的域名邮箱吗,还是公司自己管理的
winterx
2024-04-26 00:22:39 +08:00
网关有多种判断识别方式,spf 只是其中一种,楼主要完全伪造相同邮件头才知道能不能过

没有用过亿邮不太了解他家产品 ,如果能进网关后台就看具体过滤日志跟原因,如果不行就问客服吧
chuckzhou
2024-04-26 00:57:46 +08:00
可能是有人密码泄露了,有的邮件系统在 auth 通过之后,就可以冒充任何人。具体的还是要看日志。
LaoDahVong
2024-04-26 01:44:07 +08:00
邮件相关的不大懂. 会不会是 relay 或者 forward 出去的? 马一个给楼主送小红心. 蹲个后续学习学习.
lemonda
2024-04-26 03:27:39 +08:00
https://xxb.ecust.edu.cn/2010/0304/c7630a52237/page.htm
是否是队列中的邮件同事点了投递
serafin
2024-04-26 04:03:32 +08:00
因为是从内网 IP 发的。10 开口的 IP 为什么要打马?
miscnote
2024-04-26 06:58:51 +08:00
spf 只是一个标记,通不通过是你的策略服务器的事。
leonshaw
2024-04-26 08:31:49 +08:00
客户端地址跟 SPF 没关系,邮件提交和转发是两个过程。如果是提交到对方邮件服务器并转发的,从技术上看就是正常邮件。
xcodeghost
2024-04-26 08:34:28 +08:00
是你们域名使用的邮件系统对垃圾邮件过滤不严导致的,不是攻击者有多厉害。
gtese
2024-04-26 08:35:14 +08:00
spf 是检查 发件域名是否域名所有者申请。
域名本身没有做 sfp 申请,spf 就是无效的反垃圾策略。
180.103.12.117 本身没有上过黑名单,投递到你们这里也算正常的。

“10 开口的 IP 为什么要打马?” 10 是对方当时用的内网 ip ,打码确实没必要。
lixingcong
2024-04-26 08:46:09 +08:00
据说某迪的内网邮箱收到过诈骗邮件:标题《 2024 年综合补贴申领通知》,还真的有人点进去填信息,老骗局。
bootyshinehf
2024-04-26 10:21:43 +08:00
@1423 是公司本地部署自建的邮件系统,用的是亿邮的产品,不是那种 SaaS 化的企业邮箱。
bootyshinehf
2024-04-26 10:38:50 +08:00
@winterx

# 1 、关于伪造相同邮件头的问题:
我这边回溯我们的全流量产品,有抓到的原始流量信息,源 IP ( 180.103.12.117 )直接连的我们这边的邮件网关( 10.**.**.131:25 )。

TCP 日志还原后的部分交互内容,如下:

```
220 smtp ready
HELO cpibj.com.cn
250 spic.com.cn HELO, pleased to meet cpibj.com.cn
MAIL FROM: <mqnds@cpibj.com.cn>
250 OK
RCPT TO: <chenhuan01@****.com.cn>
250 OK
DATA
354 go ahead
Date: T
```

我按照以上格式,通过 telnet 命令还有 python 脚本去发件,都是提示「 556 remote ip check error.(SPF online:发信 ip 与 Mail From 地址不一致)」,所以接下来不知道怎么办了。

# 2 、关于邮件网关中的拦截问题

目前这封邮件是没有被拦截的,是「投递成功」状态,也没有被标记为垃圾邮件。
bootyshinehf
2024-04-26 10:40:02 +08:00
@chuckzhou

我查了这封邮件的流量交互情况,是不涉及 auth 认证环节的,详见 13
bootyshinehf
2024-04-26 10:42:55 +08:00
@lemonda

我查了邮件网关的「拦截再投递日志」,发现没有记录,意味着这封钓鱼邮件是没有被邮件网关拦截、直接被放行了的。
bootyshinehf
2024-04-26 10:44:26 +08:00
@serafin

根据邮件头信息「 Received: from 180.103.12.117 by 10.**.**.131 with SMTP; Thu, 25 Apr 2024 10:14:31 +0800 」来看,发件地址是 180.103.12.117 ,应该是很明确的。

10.**.**.131 ,这个是我们的邮件安全网关。
retanoj
2024-04-26 11:23:55 +08:00
是变更过 SPF 记录了吗?
我这边获得的结果跟 OP 贴的内容不一致

dig @114.114.114.114 cpibj.com.cn txt

;; QUESTION SECTION:
;cpibj.com.cn. IN TXT

;; ANSWER SECTION:
cpibj.com.cn. 600 IN TXT "v=spf1 ip4:123.117.136.189 ip4:114.255.252.30 ip4:114.255.252.17 mx a include:spf.protection.outlook.com ~all"


~all 是个软拒绝策略
bootyshinehf
2024-04-26 11:45:26 +08:00
@retanoj

没有做变更,我这边刚刚用 nslookup 查了一遍,显示的是 -all

换用 dig 工具,就是 ~all

这是什么操作。。。
sleepm
2024-04-26 11:58:54 +08:00
https://www.uriports.com/blog/introduction-to-spf-dkim-and-dmarc/
spf dkim dmarc 都要配置
不是太懂,反正我都加了
wan4da
2024-04-26 12:10:24 +08:00
from 是可以伪造的,看看 sender 是啥。https://www.cnblogs.com/xiaozi/p/12906040.html 可以看看这篇文章

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1035759

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX