?

0x00 安裝：

kali中自帶，或者從作者網頁下載

http://www.jetmore.org/john/code/swaks/

?

0x01 基本用法：

?

swaks –to <要測試的郵箱> 用來測試郵箱的連通性

?

前面都返回250ok，說明該郵箱存在，并且可以正常收信。最后可以看到qq郵箱返回550錯誤，qq官方給出的出錯原因：該郵件內容涉嫌大量群發，并且被多數用戶投訴為垃圾郵件。

我們可以繼續對郵件進行偽造，來繞過qq郵箱的判斷

?

比如：

swaks --body "test" --header "Subject:testT" -t rcfkve06917@chacuo.net -f admin@local.com

?

?

swaks --to rcfkve06917@chacuo.net --from info@freebuf.com --ehlo freebuf.com --body hello --header "Subject: hello"

?

其中：

--from <要顯示的發件人郵箱>

--ehlo <偽造的郵件ehlo頭>

--body <郵件正文>

--header <郵件頭信息，subject為郵件標題>

--data <源郵件>

?

0x02 高級用法：

?

使用swaks其實還可以進行更高級的郵件偽造，幾乎可以偽造郵件中的每一個參數。

?

首先，我們需要一份正常的郵件

點擊顯示郵件原文，把原文復制出來，保存為email.txt

其中的received可以都刪除，該項為接收信息，發信中不需要。to項也可以刪除，可以直接用swaks --to來代替。

注意不要忘了加--from 否則qq郵箱會報由kali代發……

swaks --data ./Desktop/email.txt --to xxxx@qq.com --from services@tophant.com

?

發送成功，qq郵箱沒報垃圾郵件，也沒報有害。

注意在發送的時候沒有加--from參數，因為在測試中我發現收到郵件時，郵件內容與文件內容顯示完全一樣，與參數無關

?

這里能看到，收件人和發件人都不是靠--to和—from，這里應該需要修改文本的內容，達到隱藏效果

?

這里略作修改，成功偽造了郵箱，

在測試中，我修改了時間，但事實證明時間是不能被指定的，

這里還有很多地方可以偽造，十分鐘郵箱不顯示，就沒有繼續測試。

?

?

郵件偽造結合釣魚網站，免殺程序，在加上一點社工技巧，是比較主動的APT攻擊方式，需要多加注意。

?

0x03 郵件頭格式 ：

?

Received: 由每個中繼服務站添加，用于幫助追蹤傳輸中出現的錯誤。字段內容包括，發送、接收的主機和接收時間。參數via 用于記錄信息發送后經過的物理站點，”with” 指示了使用的郵件、連接的協議。參數 id 用于標識郵件。參數for 用于記錄發送者的分發的目的地址。 Reply-To: 發件人地址是在發件人標題中實際找到的值。這應該是信息的來源。在大多數郵件客戶機中，這就是您所看到的“發件人”。如果一封電子郵件沒有回復頭，那么所有的人工（郵件客戶端）回復都應該返回到“發件人”地址。 Date: 表示建立信件的時間 From：發件人 To：收件人 cc：抄送人 Subject：郵件標題 Sender：發件人名稱 Message-ID：SMTP協議發郵件自動生成的 X-Priority：郵件優先級 X-mailer：代理發信的客戶端 MIME-Version: 所使用的網絡郵件格式標準版本 Content-Type: 郵件內容數據的類型，包括類型標識(type)和子類型標識(subtype)，前者類型標識(type)聲明了數據的類型，后者子類型標識(subtype)為這種數據類型指定了特定的格式。 Return-Path: 退信地址，該字段由信息的最后發送者添加，是關于信息原始來源的地址和回朔路徑。 X-MS-Exchange-Organization-AuthSource：該 X-header 指定代表組織對郵件的身份驗證進行評估的服務器計算機的 FQDN。

?

郵件頭示例

Received: from unic0rn.com.cn (IP) by 01.unic0rn.cn(IP) with Microsoft SMTP Server id 14.3.123.3; Fri, 23 Dec 5189 14:46:28 +0800 Reply-To: <Reply@qq.com> Date: Fri, 23 Dec 5189 14:46:28 +0800 From: IT_Sytem <From@unic0rn.cn> To: <To@unic0rn.cn> cc: <cc@unic0rn.cn> Sender: Sender Subject: Subject Message-ID: <51891223094431836868@unic0rn.cn> X-Priority: 1 (Highest) X-mailer: Foxmail 6, 13, 102, 15 [cn] MIME-Version: 1.0 Content-Type: multipart/related; type="multipart/alternative";boundary="=====003_Dragon301638870326_=====" Return-Path: Return@unic0rn.cn X-MS-Exchange-Organization-AuthSource: 01. unic0rn.cn X-MS-Exchange-Organization-AuthAs: Anonymous

?

?

?

0x04 解決辦法：

遇到可疑郵件要查看源郵件，判斷發信人ip是否為可信任的ip。

?

?

0x05 10分鐘郵箱:

?

http://24mail.chacuo.net/ 不可接收附件（txt）

https://10minutemail.net/ 可接收附件（eml后綴）

http://www.linshiyouxiang.net/

https://docs.microsoft.com/zh-cn/previous-versions/office/exchange-server-2010/bb232136(v=exchg.141)?redirectedfrom=MSDN

?

總結

以上是生活随笔為你收集整理的Swaks-smtp瑞士军刀(smtp邮件)的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。