Cómo funciona un sitio de correo electrónico falso como Emkei

  

El spoofer intentará escanear todos los puertos de un servidor smtp para capturar el mx

El MX se detecta al realizar una búsqueda de DNS y el MTA está utilizando el puerto 25 en el servidor (es) devuelto por esta búsqueda de DNS. No se requiere escaneo de puertos.

  

Sin embargo, como se explica en esta publicación (Spoofing email From address), no es tan fácil.

Esta publicación muestra varias formas, algunas más fáciles y otras más difíciles. Y muestra que la forma más sencilla es encontrar el MX para el dominio del destinatario (búsqueda de DNS) y conectarse con su cliente SMTP (o telnet) a este dominio, de la misma manera que lo haría un MTA de SMTP al entregar una Spoofed mail a este dominio. Puede haber problemas si el dominio del remitente aclamado usa SPF o DKIM y el servidor SMTP de los destinatarios comprueba esto, pero la mayoría de los dominios todavía no usan dicha protección y muchos servidores no lo verifican.

Puede encontrar muchos MX abiertos con shodan ( enlace ). Usted no tendrá ningún problema en ese departamento. Una simple 'parodia' (aún tendrá una X-Originating-IP en el encabezado:

nc example.com 25

...

helo blabbabla

correo de: [email protected]

rcpt a: [email protected]

datos

TE AMO < 3 ... ¡NO!

.

Hay otras cosas delicadas que nunca usé. Ha sido un tiempo, aunque dudo que SMTP haya cambiado mucho. Lo único positivo de este script para enviar muchos correos electrónicos es que puede bloquear Outlook con datos binarios. Y se estrellaría de nuevo cuando se reabriera.

No es necesario que se conecte al servidor de correo de un dominio para falsificar el correo de ese dominio. Eso no es correcto en absoluto. Ese ataque en particular se llama 'retransmisión abierta' ... que es donde se conecta a un servidor de correo expuesto y le dice que envíe correo. Se puede usar para enviar correo internamente (lo cual es poco probable que sea detectado por los sistemas de filtrado de spam), para enviar correo externo (spam) o para falsificar correo desde el dominio de ese servidor de correo con una buena posibilidad de que los sistemas internos y externos no lo reconozcan. la parodia Esto es posiblemente ilegal en algunos países, y no lo que hace el correo de emkei.

Verifiqué esto al decirle al sitio que falsifique un mensaje de un dominio que poseo y que supervise los intentos de conexión en todos los puertos. No pasó nada.

Lo que hace el script de emkei, es que simplemente envía el correo usando un binario local como sendmail / postfix con un valor de DE falsificado. Dado que emkei tiene la opción de admitir archivos adjuntos y servidores SMTP externos, es probable que el sitio use un marco como PHPMailer debajo del capó. . La construcción manual de correos electrónicos puede ser un poco como un campo minado RFC.

Esta versión del ataque está en vías de desaparecer, ya que se está volviendo inefectiva. La mayoría de los sistemas de spam verán que es probable que el correo electrónico no se transmita a través de TLS, no se pase la validación DKIM y que los encabezados sean raros (por ejemplo, simplemente tengan un encabezado 'X-Mailer') ... todo lo cual otorgará un mensaje Puntos de probabilidad de spam en sistemas como Spam-Assassin. Dicho esto, pasarán varios años antes de que este método esté completamente muerto, el correo electrónico simplemente no se creó teniendo en cuenta la seguridad y la actualización es LENTA.