我是IT安全专家(my profile),所以请理解我有我的问题的合法理由。如何创建SPF记录以允许我欺骗发件人?
我想有一个钓鱼的教育程序发送现实网络钓鱼电子邮件,这意味着我想欺骗发件人。例如,我想发送欺骗性的Facebook帐户。为了让它通过任何潜在的垃圾邮件或网络钓鱼过滤器,我该怎么做呢?有没有办法配置SPF记录来实现这一点?
我有我自己的域名,我愿意跳过篮球来完成这项工作。
我的电子邮件地址的这一面的理解较弱,所以你可能有任何指针将会很有帮助。
轻松发送欺骗电子邮件,如果它是那么容易打败基于SPF的垃圾邮件过滤器并成功欺骗Facebook,这将是一个相当无用的系统。
方式SPF的工作,简而言之,就是的域的控制器将记录添加到他们的DNS区域,其中罗列出了他们希望允许该域的合法发件人的服务器。在收到电子邮件时,任何目标服务器都可以查找此记录,并比较邮件来自的IP地址与此记录中的规则。
不能够控制Facebook的DNS区域,你不能让自己从那里发送邮件。
围绕它的唯一方法就是使用一些传统的钓鱼技术,比如注册域名足够相似,facebook.com诱骗用户误以为该邮件是合法的。由于您控制了网络钓鱼域,因此您可以授权自己使用域名中的SPF,DKIM等发送邮件,该域名为。
顺便提及,对于facebook.com SPF记录(以下重定向之后)是"v=spf1 ip4:69.63.179.25 ip4:69.63.178.128/25 ip4:69.63.184.0/25 ip4:66.220.144.128/25 ip4:66.220.155.0/24 ip4:69.171.232.0/25 ip4:66.220.157.0/25 ip4:69.171.244.0/24 mx -all"。末尾的-all意味着“拒绝所有不符合任何先前规则的IP”(有时称为“hardfail”,而不是~all“softfail”,如果您不确定您的规则是否完全包含在内,则可以使用它)如this handy checker/decoder tool所示。
除非你添加一个受保护的SPF记录到您的域名,他们已经准备好伪造的邮件不需要做任何额外的东西。
如果你不想欺骗电子邮件 - https://workaround.org/ispmail/lenny/spf
如果你想伪造电子邮件 - 什么都不做
您可以使用PHP mail()
如果我理解正确的话,如果我有一个注册的域名与我的域名SPF记录,我仍然可以发送电子邮件与facebook.com为伪造发件人,但是接收邮件服务器查找服务器/域SPF记录,并将获得Facebook的允许服务器的列表,我不会。我可以注册备用域名,或者希望接收电子邮件服务器不执行SPF查找。我理解正确吗? – schroeder
@schroeder是的,这就是SPF的目的。 – IMSoP
谢谢,在我所有的阅读中,与第三方的相互关系并不清楚。 – schroeder