自建可信钓鱼邮件服务器

01 邮件服务器简介

首先我们需要大致了解电子邮件的传递过程。如图,发件人创建的电子邮件会送到邮件服务器,然后通过smtp投递到收件人邮件服务器,最后收件人通过pop/imap 接受邮件,可以简单理解邮件服务器就是负责电子邮件收发管理的设备。


smtp/pop/imap协议:

  • smtp:

一种提供可靠且有效的电子邮件传输的协议

  • pop/imap:

电子邮件接受协议,区别是imap消息可以在多个设备上进行同步


02 邮件服务器对比

生活中最常见的是公共邮件服务提供商,如:qq、163等,使用这种方式发送的邮件可以享受高可信度的邮件待遇,但是使用者只有单个邮件地址的收发权限,并且邮件头、邮件内容、发信频率都受到严格限制。


除此之外,还可以使用第三方提供商,如:sendgrid、mailjet等,使用者只需要注册一个域名,然后证明此域名的归属,就可以使用该域名后缀的所有邮箱发邮件,但是由于邮件服务器由提供商提供,为了避免滥用导致ip进黑名单,使用者往往需要手机号、公司信息等核实,而且对邮件内容也会有审核机制。


对比之下,自建的邮件服务器由于可以伪装成和目标邮箱地址近似的后缀;可以使用域名下的所有邮件地址收发邮件;邮件内容和发件频率自主可控,所以备受邮件钓鱼攻击者的青睐。


03 复现钓鱼邮件服务器搭建

准备工作

1. 购买发件域名

2. 购买vps

新的 Ubuntu 18.04 VPS 、禁用ipv6、内存大于1G

3. 设置hostname 为发件域名

如 box.example.com

4. 设置 域名的dns记录

把smtp、imap、发件域名解析到vps的ip

5. 设置 域名nameserver、vps反向dns

ns1.box.example.com
ns2.box.example.com
vps的反向dns解析到发件域名


6. 用postfix+dovecot搭建太繁琐了,这里使用mailinabox搭建,本质是一套邮件服务工具的组合安装包(如:postfix、dovecot等),提供一键部署,提供web界面管理等,基本满足私有邮件服务器的所有需求,官方教程见https://mailinabox.email/,类似的工具还有maddy、iredmail等。

#下载安装mailinabox
sudo curl -s https://mailinabox.email/setup.sh | sudo bash


安装过程

1. 确认邮件服务器的 hostname


2. 确定时区、邮箱地址等后需要等待下载相关依赖


3. 安装完依赖后,设置邮箱地址密码


4. 安装完后会显示一个可访问的辅助搭建web地址


使用mailinabox web界面辅助搭建

主要功能介绍

system :检查、设置邮件服务器的证书、记录

mail&users :创建、管理邮件服务器的用户邮件地址

contacts/calendar :保存联系人、日历

web :设置域名web页面


点击检测system-status checks并按提示解决对应的问题

包含三个部分的状态检测

1. system 服务器的状态检测

2. network 检测服务器的网络情况

3. 发件域名检测 检测影响邮件服务器可信度的记录设置情况


检查的重点是:

第二部分25端口是否被禁用、ip是否为黑名单,如需要连接目标邮件服务器的25端口可以找vps提供商解封,ip为黑名单则需要申请换ip。


还有第三部分的Nameserver粘合记录设置、反向dns设置、tls/ssl证书设置。


进一步提高可信度

检查通过后,参考system-external dns页面,设置外部dns记录。


此处和主机域名相关的记录必须设置,否则会造成导致spf/dkim/dmarc检测不通过。


设置邮件地址

可以设置发件域名下的任意地址作为用户名,设置密码后,使用邮件客户端测试能否添加成功,服务器配置可以在Mail&Users - instructions里面查看。


使用mail-tester测试邮件信誉度

发送一封邮件到mail-tester的测试邮件地址。

主要检测以下几个点:

1. SpamAssassin检测

2. 邮件服务器可信度检测

3. 邮件正文检测

4. 发件IP黑名单检测

5. 无效链接检测


检测与防御

现有的恶意邮件检测依据主要包括:

1. 来源ip是否正常

2. 邮件可信度

  • 邮件服务器域名相关主机记录检测

  • 是否通过spf/dkim/dmarc检测

  1. spf:

    检查HELO、MAIL FROM的域名的spf ip记录,是否和发件服务器ip匹配

  2. dkim:

    请求dkim域名下的公钥,通过该公钥验证dkim签名

  3. dmarc:基于spf和dkim、不符合时怎么做,对应spf和dkim

    检查是否spf和dmarc是否通过

    检查from字段一致性,包括和spf域名一致性、和dkim域名一致性


3. 邮件内容是否正常

  • 垃圾邮件检测算法

  • 恶意链接等


我们看到原本耗时耗力,需要多种工具利用、dns记录设置才能搭建的可信邮件服务器,现在能通过自动化搭建工具快速搭建了,这无疑极大减小了攻击成本,对于日趋严峻的针对企业电子邮件用户的钓鱼攻击,建议防御方建立更完善的基于恶意邮件内容检测机制,和恶意邮件应急响应机制。


04 总结

在实战攻防中,无论是伪造发件人后缀、还是提高邮件送达率,稳定可靠的邮件服务器都是邮件钓鱼攻击中不可或缺的一环,由于自动化工具的使用,自建可信的钓鱼邮件服务器已经被越来越多的攻击者青睐。本文详细介绍了钓鱼邮件服务器的搭建流程,以及对应的检测防御建议。


绿盟科技天元实验室专注于新型实战化攻防对抗技术研究。

研究目标包括:漏洞利用技术、防御绕过技术、攻击隐匿技术、攻击持久化技术等蓝军技术,以及攻击技战术、攻击框架的研究。涵盖Web安全、终端安全、AD安全、云安全等多个技术领域的攻击技术研究,以及工业互联网、车联网等业务场景的攻击技术研究。通过研究攻击对抗技术,从攻击视角提供识别风险的方法和手段,为威胁对抗提供决策支撑。


M01N Team公众号

聚焦高级攻防对抗热点技术

绿盟科技蓝军技术研究战队

官方攻防交流群

网络安全一手资讯

攻防技术答疑解惑

扫码加好友即可拉群

免责声明:文章内容不代表本站立场,本站不对其内容的真实性、完整性、准确性给予任何担保、暗示和承诺,仅供读者参考,文章版权归原作者所有。如本文内容影响到您的合法权益(内容、图片等),请及时联系本站,我们会及时删除处理。查看原文

为您推荐