01 邮件服务器简介
首先我们需要大致了解电子邮件的传递过程。如图,发件人创建的电子邮件会送到邮件服务器,然后通过smtp投递到收件人邮件服务器,最后收件人通过pop/imap 接受邮件,可以简单理解邮件服务器就是负责电子邮件收发管理的设备。
smtp/pop/imap协议:
-
smtp:
一种提供可靠且有效的电子邮件传输的协议
-
pop/imap:
电子邮件接受协议,区别是imap消息可以在多个设备上进行同步
02 邮件服务器对比
生活中最常见的是公共邮件服务提供商,如:qq、163等,使用这种方式发送的邮件可以享受高可信度的邮件待遇,但是使用者只有单个邮件地址的收发权限,并且邮件头、邮件内容、发信频率都受到严格限制。
除此之外,还可以使用第三方提供商,如:sendgrid、mailjet等,使用者只需要注册一个域名,然后证明此域名的归属,就可以使用该域名后缀的所有邮箱发邮件,但是由于邮件服务器由提供商提供,为了避免滥用导致ip进黑名单,使用者往往需要手机号、公司信息等核实,而且对邮件内容也会有审核机制。
对比之下,自建的邮件服务器由于可以伪装成和目标邮箱地址近似的后缀;可以使用域名下的所有邮件地址收发邮件;邮件内容和发件频率自主可控,所以备受邮件钓鱼攻击者的青睐。
03 复现钓鱼邮件服务器搭建
准备工作
1. 购买发件域名
2. 购买vps
新的 Ubuntu 18.04 VPS 、禁用ipv6、内存大于1G
3. 设置hostname 为发件域名
如 box.example.com
4. 设置 域名的dns记录
把smtp、imap、发件域名解析到vps的ip
5. 设置 域名nameserver、vps反向dns
ns1.box.example.com
ns2.box.example.com
vps的反向dns解析到发件域名
6. 用postfix+dovecot搭建太繁琐了,这里使用mailinabox搭建,本质是一套邮件服务工具的组合安装包(如:postfix、dovecot等),提供一键部署,提供web界面管理等,基本满足私有邮件服务器的所有需求,官方教程见https://mailinabox.email/,类似的工具还有maddy、iredmail等。
#下载安装mailinabox
sudo curl -s https://mailinabox.email/setup.sh | sudo bash
安装过程
1. 确认邮件服务器的 hostname
2. 确定时区、邮箱地址等后需要等待下载相关依赖
3. 安装完依赖后,设置邮箱地址密码
4. 安装完后会显示一个可访问的辅助搭建web地址
使用mailinabox web界面辅助搭建
主要功能介绍
system :检查、设置邮件服务器的证书、记录
mail&users :创建、管理邮件服务器的用户邮件地址
contacts/calendar :保存联系人、日历
web :设置域名web页面
点击检测system-status checks并按提示解决对应的问题
包含三个部分的状态检测
1. system 服务器的状态检测
2. network 检测服务器的网络情况
3. 发件域名检测 检测影响邮件服务器可信度的记录设置情况
检查的重点是:
第二部分25端口是否被禁用、ip是否为黑名单,如需要连接目标邮件服务器的25端口可以找vps提供商解封,ip为黑名单则需要申请换ip。
还有第三部分的Nameserver粘合记录设置、反向dns设置、tls/ssl证书设置。
进一步提高可信度
检查通过后,参考system-external dns页面,设置外部dns记录。
此处和主机域名相关的记录必须设置,否则会造成导致spf/dkim/dmarc检测不通过。
设置邮件地址
可以设置发件域名下的任意地址作为用户名,设置密码后,使用邮件客户端测试能否添加成功,服务器配置可以在Mail&Users – instructions里面查看。
使用mail-tester测试邮件信誉度
发送一封邮件到mail-tester的测试邮件地址。
主要检测以下几个点:
1. SpamAssassin检测
2. 邮件服务器可信度检测
3. 邮件正文检测
4. 发件IP黑名单检测
5. 无效链接检测
检测与防御
现有的恶意邮件检测依据主要包括:
1. 来源ip是否正常
2. 邮件可信度
-
邮件服务器域名相关主机记录检测
-
是否通过spf/dkim/dmarc检测
-
spf:
检查HELO、MAIL FROM的域名的spf ip记录,是否和发件服务器ip匹配
-
dkim:
请求dkim域名下的公钥,通过该公钥验证dkim签名
-
dmarc:基于spf和dkim、不符合时怎么做,对应spf和dkim
检查是否spf和dmarc是否通过
检查from字段一致性,包括和spf域名一致性、和dkim域名一致性
3. 邮件内容是否正常
-
垃圾邮件检测算法
-
恶意链接等
我们看到原本耗时耗力,需要多种工具利用、dns记录设置才能搭建的可信邮件服务器,现在能通过自动化搭建工具快速搭建了,这无疑极大减小了攻击成本,对于日趋严峻的针对企业电子邮件用户的钓鱼攻击,建议防御方建立更完善的基于恶意邮件内容检测机制,和恶意邮件应急响应机制。
04 总结
在实战攻防中,无论是伪造发件人后缀、还是提高邮件送达率,稳定可靠的邮件服务器都是邮件钓鱼攻击中不可或缺的一环,由于自动化工具的使用,自建可信的钓鱼邮件服务器已经被越来越多的攻击者青睐。本文详细介绍了钓鱼邮件服务器的搭建流程,以及对应的检测防御建议。
绿盟科技天元实验室专注于新型实战化攻防对抗技术研究。
研究目标包括:漏洞利用技术、防御绕过技术、攻击隐匿技术、攻击持久化技术等蓝军技术,以及攻击技战术、攻击框架的研究。涵盖Web安全、终端安全、AD安全、云安全等多个技术领域的攻击技术研究,以及工业互联网、车联网等业务场景的攻击技术研究。通过研究攻击对抗技术,从攻击视角提供识别风险的方法和手段,为威胁对抗提供决策支撑。
M01N Team公众号
聚焦高级攻防对抗热点技术
绿盟科技蓝军技术研究战队
官方攻防交流群
网络安全一手资讯
攻防技术答疑解惑
扫码加好友即可拉群
原文始发于微信公众号(M01N Team):自建可信钓鱼邮件服务器
