저는 IT 보안 전문가 (my profile)입니다. 제 질문에 대한 합법적 인 이유가 있음을 이해하십시오.보낸 사람을 스푸핑 할 수 있도록 SPF 레코드를 만드는 방법은 무엇입니까?
저는 피싱 교육 프로그램에서 피싱 이메일을 보내고 싶습니다. 이는 내가 보낸 사람을 스푸핑하고 싶다는 뜻입니다. 예를 들어 스푸핑 된 Facebook 계정에서 보내고 싶습니다. 잠재적 인 스팸 또는 피싱 필터를 통과하려면 어떻게해야합니까? 거기에 허용하도록 SPF 레코드를 구성하는 방법이 있습니까?
나는 내 자신의 도메인을 가지고 있으며, 나는이 일을하기 위해 농구를 뛰어 넘을 용의가있다.
이메일의이 부분에 대한 나의 이해가 약하므로 갖고있는 모든 포인터가 유용 할 것입니다.
를 사용하여 스푸핑 이메일을 보낼 수 있습니다 SPF 기반 스팸 필터를 사용하고 Facebook을 성공적으로 스푸핑하면 꽤 쓸모없는 시스템이됩니다.
SPF가 작동하는 방법은, 간단히 말해서, 도메인의 컨트롤러가 해당 도메인에 대한 합법적 인 보낸 사람을 허용 할서버 목록, 자신의 DNS 영역에 레코드를 추가하는 것입니다. 전자 메일을 받으면 모든 대상 서버가이 레코드를 조회하고 해당 전자 메일의 IP 주소와이 레코드의 규칙을 비교할 수 있습니다.
Facebook의 DNS 영역을 제어 할 수 없으면 사용자가 거기에서 메일을 보낼 수 없습니다.
메일을 합법적으로 생각하도록 사용자를 속이기 위해 facebook.com과 충분히 유사한 도메인을 등록하는 것과 같은 고전적인 피싱 기술을 사용하는 것이 유일한 방법입니다. 피싱 도메인을 제어하기 때문에 에서 도메인의 SPF, DKIM 등을 사용하여 메일을 보낼 수있는 권한을 부여 할 수 있습니다.
덧붙여 facebook.com (리디렉션 후)의 SPF 레코드는 "v=spf1 ip4:69.63.179.25 ip4:69.63.178.128/25 ip4:69.63.184.0/25 ip4:66.220.144.128/25 ip4:66.220.155.0/24 ip4:69.171.232.0/25 ip4:66.220.157.0/25 ip4:69.171.244.0/24 mx -all"입니다. 마지막으로 -all은 "이전 규칙과 일치하지 않는 모든 IP 거부"를 의미합니다 (규칙이 완전하게 포함되어 있는지 확실하지 않은 경우 사용할 수있는 ~all "softfail"이 아니라 "hardfail"이라고도 함) 로 표시됩니다 (예 : this handy checker/decoder tool).
보호 된 spf 레코드를 도메인에 추가하지 않는 한, 이미 스푸핑 된 메일을 준비하고 있으므로 추가 작업을 수행 할 필요가 없습니다. 당신이 스푸핑 이메일을하려면 https://workaround.org/ispmail/lenny/spf
- - 당신이 스푸핑 이메일을 원하지 않는 경우
아무것도
을하지 않는다가 쉽게 이길 수 있다고한다면 당신은 쉽게 PHP mail()
내 도메인의 SPF 레코드가있는 등록 된 도메인이있는 경우 facebook.com을 스푸핑 보낸 사람으로 보낼 수는 있지만받는 전자 메일 서버는 서버/도메인 SPF 레코드를 조회하지만, 허용되지 않는 서버에 대한 페이스 북의 목록을 얻을 것이다. 대체 도메인을 등록하거나 수신 전자 메일 서버가 SPF 조회를 수행하지 않기를 바랍니다. 나는 정확하게 이해합니까? – schroeder
@schroeder 네, 그게 바로 SPF의 목적입니다. – IMSoP
제 독서에서 제 3 자와의 상호 관계가 명확하지 않았습니다. – schroeder