关于黑产绕过邮件网关 SPF 发送钓鱼邮件的疑惑

173 天前
 bootyshinehf

最近发现攻击者 IP 180.103.12.117 通过 SMTP 端口向同事发送钓鱼邮件成功,没有经过任何认证,且发件 IP 不在 cpibj.com.cn 的 SPF 允许范围内。

C:\>nslookup
默认服务器:  public1.114dns.com
Address:  114.114.114.114

> set qt=txt
> cpibj.com.cn
服务器:  public1.114dns.com
Address:  114.114.114.114

非权威应答:
cpibj.com.cn    text =
        "qqmail-site-verification=b72f361daa3048ca5b64be6b1670252f65ced90d851"
cpibj.com.cn    text =
        "MS=D2EBDFFED7F601051E24E409E3F0F36697658F03"
cpibj.com.cn    text =
        "v=spf1 ip4:123.117.136.189 ip4:114.255.252.30 ip4:114.255.252.17 -all"

发送的钓鱼邮件如下:

相关邮件源码如下:

感觉碰到玄学了,攻击者能直接利用,我却复现不了。。。提示没通过 SPF 校验。。。

黑产是怎么实现这种方式的批量钓鱼邮件投递啊。。。求大佬解惑

===================== 更新

下面是捕获到的伪造的发件人清单:

MAIL FROM:<maildaemon@evtfwavaiq.com>
MAIL FROM:<mail@ucemtiut.com>
MAIL FROM: <ri@hgsteels.com.cn>
MAIL FROM: <csl@cybernaut.com.cn>
MAIL FROM: <vzef@sanan-ic.com>
MAIL FROM: <oheproxbo@dongfanghuaxing.com>
MAIL FROM:<weicen252390@163.com>
MAIL FROM:<duna@nojz.com>
MAIL FROM:<poster@tbnliu.com>
MAIL FROM: <trlkvlqjb@jorsun.com.cn>
MAIL FROM: <vizvpnvkl@svihk.com>
MAIL FROM: <qsbp@tjtuoke.com>
MAIL FROM:<null@cfelklp.com>
MAIL FROM: <jl@amh-group.com>
MAIL FROM: <ul@swifts.com.cn>
MAIL FROM: <zdzlnok@mtrhz.com.cn>
MAIL FROM: <rwwmlp@xreb.com>
MAIL FROM:<list@wtqedcscw.com>
MAIL FROM:<fengyaxin1989@163.com>
MAIL FROM: <gnfgujpw@tsingke.com.cn>
MAIL FROM: <ycm@boschhuayu-steering.com>
MAIL FROM: <wk@sprandi.com>
MAIL FROM:<customersupport@actybu.com>
MAIL FROM: <fm@trinasolar.com>
MAIL FROM: <aigweje@buick-xtbl.com>
MAIL FROM: <tehm@aeonbj.com>
MAIL FROM:<master@njtlntb.com>
MAIL FROM:<arru@ukee.com>
MAIL FROM: <ugc@guardian-hygiene.com>
MAIL FROM: <kkueeflm@wuhanrt.com>
MAIL FROM: <mm@wineversun.com>
MAIL FROM: <cdlcmrku@cieol.cn>
MAIL FROM:<notification@exihmm.com>
MAIL FROM:<spam@gwcwqimgu.com>
MAIL FROM: <hlegudhno@dffhs.com.cn>
MAIL FROM: <uzr@cggc.cn>
MAIL FROM: <zmcmcq@darcyad.com>
MAIL FROM: <lnwxw@bzwiremesh.com>
MAIL FROM: <agscqub@kyland.com>
MAIL FROM:<poster@jgndrd.com>
MAIL FROM:<list-request@njnaa.com>
MAIL FROM: <dx@xiuke.com>
MAIL FROM: <sn@dkjraa2ke.com>
MAIL FROM:<ispfeedback@mpjextlfoi.com>
MAIL FROM:<notification@bhbihnov.com>
MAIL FROM: <fzn@cnoocshell.com>
MAIL FROM:<security@psikpa.com>
MAIL FROM: <ash@cnpccei.cn>
MAIL FROM: <nv@pluke.com>
MAIL FROM: <hnwzkyhe@wh.hascovision.com>
MAIL FROM: <cxqij@vanchiptech.com>
MAIL FROM:<wnxvaj@bnrn.com>
MAIL FROM:<noreply@oitxnad.com>
MAIL FROM: <qmqclmpu@minimob.com>
MAIL FROM: <kcvhouh@szsjke.com>
MAIL FROM: <qtiblyob@ycjingxin.com>
MAIL FROM: <zrcql@way-on.com>
MAIL FROM:<billing@jjewwpsvz.com>
MAIL FROM:<security@hxhqbbq.com>
MAIL FROM:<www-data@vidsuv.com>
MAIL FROM:<www-data@czpttbjyvu.com>
MAIL FROM:<hr@bdpiqjaseu.com>
MAIL FROM:<omrlzu@xict.com>
MAIL FROM:<mails@hnsetrtpxt.com>
MAIL FROM:<cscec2bthxmu@163.com>
MAIL FROM: <lgyebm@xiankexin.com>
MAIL FROM: <bdkqco@starlake.com.cn>
MAIL FROM:<master@yjjma.com>
MAIL FROM: <bmahnsb@huntersun.com.cn>
MAIL FROM: <xmpnjssdj@totalcare.com>
MAIL FROM:<ispfeedback@wgrthlt.com>
MAIL FROM:<uucp@syjxr.com>
MAIL FROM:<jutzp@pprpv.com>
MAIL FROM: <reeybxf@test-tech.com.cn>
MAIL FROM: <dbg@crystalcg.com>
MAIL FROM: <ct@bjhuixin.com>
MAIL FROM: <newfaus@fnholding.cn>
MAIL FROM: <jermpkcvg@bayair.com>
MAIL FROM: <epmka@siasun.com>
MAIL FROM: <pxowoczka@ramadaplazafuxianlake.com>
MAIL FROM: <bswdebc@cnlongxin.com>
MAIL FROM: <tillqnr@xiake.com>
MAIL FROM:<compliance@wbmmxl.com>
MAIL FROM: <jueshjk@feds.com.cn>
MAIL FROM:<15737915238@163.com>
MAIL FROM: <glq@arcplus.com.cn>
MAIL FROM: <qw@swifts.com.cn>
MAIL FROM: <ohdtpk@gct-cloud.com>
MAIL FROM:<root@glcsaona.com>
MAIL FROM:<inoc@ukvmutxrc.com>
MAIL FROM:<webmaster@sknvbdlzh.com>
MAIL FROM: <mwf@icss.com.cn>
MAIL FROM: <hrafv@ljpuke.com>
MAIL FROM: <penodrm@sinvo.cn>
MAIL FROM: <sxwjjj@lcfuturecenter.com>
MAIL FROM: <zwmrhgnyr@nanmengke.com>
MAIL FROM: <bdfzxee@huntersun.com.cn>
MAIL FROM:<xqccjiachao@163.com>
MAIL FROM: <ijbjsyckt@cuboke.com>
MAIL FROM:<web@uvqcohu.com>
MAIL FROM:<hr@jqraeqkbc.com>
MAIL FROM:<root@iqhxbs.com>
MAIL FROM:<ioica@cmww.com>
MAIL FROM:<18930179576@163.com>
MAIL FROM: <pipwsgfii@hopefulrubber.com>
3327 次点击
所在节点    信息安全
34 条回复
1423
173 天前
是哪家的域名邮箱吗,还是公司自己管理的
winterx
173 天前
网关有多种判断识别方式,spf 只是其中一种,楼主要完全伪造相同邮件头才知道能不能过

没有用过亿邮不太了解他家产品 ,如果能进网关后台就看具体过滤日志跟原因,如果不行就问客服吧
chuckzhou
173 天前
可能是有人密码泄露了,有的邮件系统在 auth 通过之后,就可以冒充任何人。具体的还是要看日志。
LaoDahVong
173 天前
邮件相关的不大懂. 会不会是 relay 或者 forward 出去的? 马一个给楼主送小红心. 蹲个后续学习学习.
lemonda
172 天前
https://xxb.ecust.edu.cn/2010/0304/c7630a52237/page.htm
是否是队列中的邮件同事点了投递
serafin
172 天前
因为是从内网 IP 发的。10 开口的 IP 为什么要打马?
miscnote
172 天前
spf 只是一个标记,通不通过是你的策略服务器的事。
leonshaw
172 天前
客户端地址跟 SPF 没关系,邮件提交和转发是两个过程。如果是提交到对方邮件服务器并转发的,从技术上看就是正常邮件。
xcodeghost
172 天前
是你们域名使用的邮件系统对垃圾邮件过滤不严导致的,不是攻击者有多厉害。
gtese
172 天前
spf 是检查 发件域名是否域名所有者申请。
域名本身没有做 sfp 申请,spf 就是无效的反垃圾策略。
180.103.12.117 本身没有上过黑名单,投递到你们这里也算正常的。

“10 开口的 IP 为什么要打马?” 10 是对方当时用的内网 ip ,打码确实没必要。
lixingcong
172 天前
据说某迪的内网邮箱收到过诈骗邮件:标题《 2024 年综合补贴申领通知》,还真的有人点进去填信息,老骗局。
bootyshinehf
172 天前
@1423 是公司本地部署自建的邮件系统,用的是亿邮的产品,不是那种 SaaS 化的企业邮箱。
bootyshinehf
172 天前
@winterx

# 1 、关于伪造相同邮件头的问题:
我这边回溯我们的全流量产品,有抓到的原始流量信息,源 IP ( 180.103.12.117 )直接连的我们这边的邮件网关( 10.**.**.131:25 )。

TCP 日志还原后的部分交互内容,如下:

```
220 smtp ready
HELO cpibj.com.cn
250 spic.com.cn HELO, pleased to meet cpibj.com.cn
MAIL FROM: <mqnds@cpibj.com.cn>
250 OK
RCPT TO: <chenhuan01@****.com.cn>
250 OK
DATA
354 go ahead
Date: T
```

我按照以上格式,通过 telnet 命令还有 python 脚本去发件,都是提示「 556 remote ip check error.(SPF online:发信 ip 与 Mail From 地址不一致)」,所以接下来不知道怎么办了。

# 2 、关于邮件网关中的拦截问题

目前这封邮件是没有被拦截的,是「投递成功」状态,也没有被标记为垃圾邮件。
bootyshinehf
172 天前
@chuckzhou

我查了这封邮件的流量交互情况,是不涉及 auth 认证环节的,详见 13
bootyshinehf
172 天前
@lemonda

我查了邮件网关的「拦截再投递日志」,发现没有记录,意味着这封钓鱼邮件是没有被邮件网关拦截、直接被放行了的。
bootyshinehf
172 天前
@serafin

根据邮件头信息「 Received: from 180.103.12.117 by 10.**.**.131 with SMTP; Thu, 25 Apr 2024 10:14:31 +0800 」来看,发件地址是 180.103.12.117 ,应该是很明确的。

10.**.**.131 ,这个是我们的邮件安全网关。
retanoj
172 天前
是变更过 SPF 记录了吗?
我这边获得的结果跟 OP 贴的内容不一致

dig @114.114.114.114 cpibj.com.cn txt

;; QUESTION SECTION:
;cpibj.com.cn. IN TXT

;; ANSWER SECTION:
cpibj.com.cn. 600 IN TXT "v=spf1 ip4:123.117.136.189 ip4:114.255.252.30 ip4:114.255.252.17 mx a include:spf.protection.outlook.com ~all"


~all 是个软拒绝策略
bootyshinehf
172 天前
@retanoj

没有做变更,我这边刚刚用 nslookup 查了一遍,显示的是 -all

换用 dig 工具,就是 ~all

这是什么操作。。。
sleepm
172 天前
https://www.uriports.com/blog/introduction-to-spf-dkim-and-dmarc/
spf dkim dmarc 都要配置
不是太懂,反正我都加了
wan4da
172 天前
from 是可以伪造的,看看 sender 是啥。https://www.cnblogs.com/xiaozi/p/12906040.html 可以看看这篇文章

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1035759

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX