Come funziona un sito di email spoofing come emkei

The spoofer will try to scan every ports of a smtp server to catch the mx

Il MX viene rilevato effettuando una ricerca DNS e il MTA utilizza quindi la porta 25 sui server restituiti da questa ricerca DNS. Nessuna scansione delle porte è coinvolta.

However, as it is explained in this post (Spoofing email From address), it is not that easy.

Questo post mostra diversi modi, alcuni più facili e alcuni più difficili. E mostra che il modo più semplice è quello di scoprire il MX per il dominio del destinatario (ricerca DNS) e connettersi con il client SMTP (o telnet) a questo dominio - allo stesso modo di un MTA SMTP che farebbe quando si consegna un non- posta falsificata a questo dominio. Potrebbero esserci problemi se l'acclamato dominio del mittente utilizza SPF o DKIM e il server SMTP dei destinatari verifica ciò, ma la maggior parte dei domini continua a non utilizzare tale protezione e molti server non controllano per questo.

Puoi trovare molti MX aperti con shodan ( link ). Non avrai problemi in quel dipartimento. Una semplice "parodia" (avrà ancora X-Originating-IP nell'intestazione:

nc example.com 25

...

helo blabbabla

mail da: [email protected]

rcpt to: [email protected]

Dati

TI AMO < 3 ... NON!

.

Ci sono altre cose di finezza che non ho mai usato. È passato un po 'di tempo, anche se dubito che l'SMTP sia cambiato molto. L'unica cosa positiva dello scripting di questo per inviare molte e-mail è che si potrebbe andare in crash outlook con i dati binari. E si arresterebbe di nuovo in caso di riapertura.

Non è necessario connettersi al server di posta di un dominio per falsificare la posta da quel dominio. Questo non è affatto giusto. Questo particolare attacco è chiamato 'open-relaying' ... che è il punto in cui ci si connette a un server di posta esposto e gli si dice di inviare posta. Può essere usato per inviare posta internamente (che è improbabile che venga individuato dai sistemi di filtro antispam), per inviare posta esterna (spam) o per falsificare la posta dal dominio di quel server di posta con una buona possibilità che i sistemi interni ed esterni non riconoscano la parodia. Questo è probabilmente illegale in alcuni paesi, e non quello che fa il mailer di emkei.

Ho verificato ciò dicendo al sito di falsificare un messaggio da un dominio di mia proprietà e di monitorare i tentativi di connessione su tutte le porte. Non è successo niente.

Quello che fa lo script di emkei è semplicemente inviare la posta usando un binario locale come sendmail / postfix con un valore FROM falsificato. Poiché emkei ha la possibilità di supportare allegati e server SMTP esterni, è probabile che il sito utilizzi un framework come PHPMailer sotto il cofano .. come costruire manualmente le e-mail può essere un po 'un campo minato RFC.

Questa versione dell'attacco sta per uscire, poiché sta diventando inefficace. La maggior parte dei sistemi di spam vedrà che probabilmente l'e-mail non viene trasmessa tramite TLS, non ha superato la convalida DKIM e le intestazioni sono probabilmente strane (ad esempio, semplicemente con l'intestazione 'X-Mailer') ... che assegnerà un messaggio punti di spam-liklihood in sistemi come Spam-Assassin. Detto questo ci vorranno diversi anni prima che questo metodo sia del tutto morto, l'e-mail non è stata creata con la sicurezza in mente e il retrofit è LENTO.