关于黑产绕过邮件网关 SPF 发送钓鱼邮件的疑惑

173 天前
 bootyshinehf

最近发现攻击者 IP 180.103.12.117 通过 SMTP 端口向同事发送钓鱼邮件成功,没有经过任何认证,且发件 IP 不在 cpibj.com.cn 的 SPF 允许范围内。

C:\>nslookup
默认服务器:  public1.114dns.com
Address:  114.114.114.114

> set qt=txt
> cpibj.com.cn
服务器:  public1.114dns.com
Address:  114.114.114.114

非权威应答:
cpibj.com.cn    text =
        "qqmail-site-verification=b72f361daa3048ca5b64be6b1670252f65ced90d851"
cpibj.com.cn    text =
        "MS=D2EBDFFED7F601051E24E409E3F0F36697658F03"
cpibj.com.cn    text =
        "v=spf1 ip4:123.117.136.189 ip4:114.255.252.30 ip4:114.255.252.17 -all"

发送的钓鱼邮件如下:

相关邮件源码如下:

感觉碰到玄学了,攻击者能直接利用,我却复现不了。。。提示没通过 SPF 校验。。。

黑产是怎么实现这种方式的批量钓鱼邮件投递啊。。。求大佬解惑

===================== 更新

下面是捕获到的伪造的发件人清单:

MAIL FROM:<maildaemon@evtfwavaiq.com>
MAIL FROM:<mail@ucemtiut.com>
MAIL FROM: <ri@hgsteels.com.cn>
MAIL FROM: <csl@cybernaut.com.cn>
MAIL FROM: <vzef@sanan-ic.com>
MAIL FROM: <oheproxbo@dongfanghuaxing.com>
MAIL FROM:<weicen252390@163.com>
MAIL FROM:<duna@nojz.com>
MAIL FROM:<poster@tbnliu.com>
MAIL FROM: <trlkvlqjb@jorsun.com.cn>
MAIL FROM: <vizvpnvkl@svihk.com>
MAIL FROM: <qsbp@tjtuoke.com>
MAIL FROM:<null@cfelklp.com>
MAIL FROM: <jl@amh-group.com>
MAIL FROM: <ul@swifts.com.cn>
MAIL FROM: <zdzlnok@mtrhz.com.cn>
MAIL FROM: <rwwmlp@xreb.com>
MAIL FROM:<list@wtqedcscw.com>
MAIL FROM:<fengyaxin1989@163.com>
MAIL FROM: <gnfgujpw@tsingke.com.cn>
MAIL FROM: <ycm@boschhuayu-steering.com>
MAIL FROM: <wk@sprandi.com>
MAIL FROM:<customersupport@actybu.com>
MAIL FROM: <fm@trinasolar.com>
MAIL FROM: <aigweje@buick-xtbl.com>
MAIL FROM: <tehm@aeonbj.com>
MAIL FROM:<master@njtlntb.com>
MAIL FROM:<arru@ukee.com>
MAIL FROM: <ugc@guardian-hygiene.com>
MAIL FROM: <kkueeflm@wuhanrt.com>
MAIL FROM: <mm@wineversun.com>
MAIL FROM: <cdlcmrku@cieol.cn>
MAIL FROM:<notification@exihmm.com>
MAIL FROM:<spam@gwcwqimgu.com>
MAIL FROM: <hlegudhno@dffhs.com.cn>
MAIL FROM: <uzr@cggc.cn>
MAIL FROM: <zmcmcq@darcyad.com>
MAIL FROM: <lnwxw@bzwiremesh.com>
MAIL FROM: <agscqub@kyland.com>
MAIL FROM:<poster@jgndrd.com>
MAIL FROM:<list-request@njnaa.com>
MAIL FROM: <dx@xiuke.com>
MAIL FROM: <sn@dkjraa2ke.com>
MAIL FROM:<ispfeedback@mpjextlfoi.com>
MAIL FROM:<notification@bhbihnov.com>
MAIL FROM: <fzn@cnoocshell.com>
MAIL FROM:<security@psikpa.com>
MAIL FROM: <ash@cnpccei.cn>
MAIL FROM: <nv@pluke.com>
MAIL FROM: <hnwzkyhe@wh.hascovision.com>
MAIL FROM: <cxqij@vanchiptech.com>
MAIL FROM:<wnxvaj@bnrn.com>
MAIL FROM:<noreply@oitxnad.com>
MAIL FROM: <qmqclmpu@minimob.com>
MAIL FROM: <kcvhouh@szsjke.com>
MAIL FROM: <qtiblyob@ycjingxin.com>
MAIL FROM: <zrcql@way-on.com>
MAIL FROM:<billing@jjewwpsvz.com>
MAIL FROM:<security@hxhqbbq.com>
MAIL FROM:<www-data@vidsuv.com>
MAIL FROM:<www-data@czpttbjyvu.com>
MAIL FROM:<hr@bdpiqjaseu.com>
MAIL FROM:<omrlzu@xict.com>
MAIL FROM:<mails@hnsetrtpxt.com>
MAIL FROM:<cscec2bthxmu@163.com>
MAIL FROM: <lgyebm@xiankexin.com>
MAIL FROM: <bdkqco@starlake.com.cn>
MAIL FROM:<master@yjjma.com>
MAIL FROM: <bmahnsb@huntersun.com.cn>
MAIL FROM: <xmpnjssdj@totalcare.com>
MAIL FROM:<ispfeedback@wgrthlt.com>
MAIL FROM:<uucp@syjxr.com>
MAIL FROM:<jutzp@pprpv.com>
MAIL FROM: <reeybxf@test-tech.com.cn>
MAIL FROM: <dbg@crystalcg.com>
MAIL FROM: <ct@bjhuixin.com>
MAIL FROM: <newfaus@fnholding.cn>
MAIL FROM: <jermpkcvg@bayair.com>
MAIL FROM: <epmka@siasun.com>
MAIL FROM: <pxowoczka@ramadaplazafuxianlake.com>
MAIL FROM: <bswdebc@cnlongxin.com>
MAIL FROM: <tillqnr@xiake.com>
MAIL FROM:<compliance@wbmmxl.com>
MAIL FROM: <jueshjk@feds.com.cn>
MAIL FROM:<15737915238@163.com>
MAIL FROM: <glq@arcplus.com.cn>
MAIL FROM: <qw@swifts.com.cn>
MAIL FROM: <ohdtpk@gct-cloud.com>
MAIL FROM:<root@glcsaona.com>
MAIL FROM:<inoc@ukvmutxrc.com>
MAIL FROM:<webmaster@sknvbdlzh.com>
MAIL FROM: <mwf@icss.com.cn>
MAIL FROM: <hrafv@ljpuke.com>
MAIL FROM: <penodrm@sinvo.cn>
MAIL FROM: <sxwjjj@lcfuturecenter.com>
MAIL FROM: <zwmrhgnyr@nanmengke.com>
MAIL FROM: <bdfzxee@huntersun.com.cn>
MAIL FROM:<xqccjiachao@163.com>
MAIL FROM: <ijbjsyckt@cuboke.com>
MAIL FROM:<web@uvqcohu.com>
MAIL FROM:<hr@jqraeqkbc.com>
MAIL FROM:<root@iqhxbs.com>
MAIL FROM:<ioica@cmww.com>
MAIL FROM:<18930179576@163.com>
MAIL FROM: <pipwsgfii@hopefulrubber.com>
3327 次点击
所在节点    信息安全
34 条回复
leonshaw
172 天前
既然有流量回溯,就看看当时邮件服务器发起的 DNS 解析
follow
172 天前
@bootyshinehf 你这内网和外网解析结果不一致,
retanoj
172 天前
@bootyshinehf #18 #22
同 22L ,找一台外网机器查吧

你本地(可能是公司里?)的 DNS 估计有一些劫持或者什么问题
bootyshinehf
172 天前
@retanoj @follow

不对啊。。。

我用在线工具 Dig https://toolbox.googleapps.com/apps/dig/?lang=zh-CN

还有在线 nslookup http://www.jsons.cn/nslookup/

查询的结果也是不一致的。。。
lemonda
172 天前
@bootyshinehf
看下万网里是否设置了分线路解析不同的 SPF 记录
retanoj
172 天前
@bootyshinehf #24
# 25 +1

查域名解析配置
winterx
172 天前
@bootyshinehf #13 不用查流量回溯这么复杂,smtp 都是先经过邮件网关再投递到服务器,你只需要查为什么网关会放行这封邮件

首先你要知道没有网关能 100%拦截垃圾邮件

1 、策略问题
2 、识别问题
broeeee
172 天前
27 是明白人,先看策略
C0nvN3t
172 天前
确实有点奇怪 按理 spf 应该直接就 deny 掉才对。。 插眼学习
bootyshinehf
172 天前
@winterx

感谢,已查了策略,网关上配置了 @cpibj.com.cn 域为白名单,命中就投递。

那么问题又来了:为啥黑产投递的钓鱼邮件会命中「白名单规则」,而我使用 telnet 或 Python 尝试复现时却没命中这条白名单规则。。。

提示「 556 remote ip check error.(SPF online: 发信 ip 与 Mail From 地址不一致)」。
bootyshinehf
172 天前
@wan4da

感谢,我又仔细看了一遍,没有 sender 字段,可以看上面的「邮件源码」。
retanoj
172 天前
em. 我还好奇他的访问入口
litblue
172 天前
你的 mx 记录指向 mail.cpibj.com.cn 123.117.136.189
telnet 123.117.136.189 25 后

220 Welcome to chinapower
ehlo cpibj.com.cn
250-mailadmin.chinapower.hk Hello cpibj.com.cn [*], pleased to meet you
250-SIZE 40000000
250-AUTH PLAIN LOGIN
250-AUTH=PLAIN LOGIN
250-STARTTLS
250-PIPELINING
250-8BITMIME
250 HELP
MAIL FROM: <mqnds@cpibj.com.cn>
250 Sender <mqnds@cpibj.com.cn> OK
quit

没有拒绝,还是查查网关的策略吧。
retanoj
172 天前
@litblue OP 事件的 SMTP 入口不是 cpibj 这个域名

尽管大部分都打吗了,但还是有漏点:)

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1035759

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX