我是IT安全专业人员(my profile),所以请理解我有正当理由提出我的问题。
我想让网络钓鱼教育程序发送真实的网络钓鱼电子邮件,这意味着我想欺骗发件人。例如,我想从欺骗性的Facebook帐户发送。为了使其通过任何潜在的垃圾邮件或网络钓鱼过滤器,我该怎么做呢?有没有办法配置SPF记录以允许它?
我拥有自己的域名,我愿意通过箍来完成这项工作。
我对电子邮件这一方面的理解很薄弱,因此您可能提供的任何指示都会有所帮助。
答案 0 :(得分:1)
如果很容易打败基于SPF的垃圾邮件过滤器并成功欺骗Facebook,那将是一个非常无用的系统。
简而言之,SPF的工作方式是域控制器将记录添加到其DNS区域,列出他们希望允许的服务器该域名的合法发件人。收到电子邮件后,任何目标服务器都可以查找此记录,并将邮件来自的IP地址与此记录中的规则进行比较。
如果无法控制Facebook的DNS区域,您就不能让自己从那里发送邮件。
唯一的解决方法是使用一些经典的网络钓鱼技术,比如注册一个与facebook.com足够相似的域名,诱骗用户认为邮件是合法的。由于您控制了网上诱骗域,因此您可以授权自己使用 域中的SPF,DKIM等发送邮件。
顺便提一下,facebook.com(在重定向之后)的SPF记录为"v=spf1 ip4:69.63.179.25 ip4:69.63.178.128/25 ip4:69.63.184.0/25 ip4:66.220.144.128/25 ip4:66.220.155.0/24 ip4:69.171.232.0/25 ip4:66.220.157.0/25 ip4:69.171.244.0/24 mx -all"。最后的-all表示“拒绝所有与先前规则不匹配的IP”(有时称为“hardfail”,而不是~all“softfail”,如果你是不确定您的规则是否完全具有包容性),如this handy checker/decoder tool所示。
答案 1 :(得分:0)
除非您向域中添加受保护的spf记录,否则它们已经为欺骗邮件做好了准备,无需做任何额外的事情。
如果您不想要欺骗性电子邮件 - https://workaround.org/ispmail/lenny/spf
如果您想要欺骗性电子邮件 - 什么都不做
您可以使用php mail()
轻松发送欺骗性电子邮件