这是一个创建于 312 天前的主题,其中的信息可能已经有所发展或是发生改变。
最近发现攻击者 IP 180.103.12.117 通过 SMTP 端口向同事发送钓鱼邮件成功,没有经过任何认证,且发件 IP 不在 cpibj.com.cn 的 SPF 允许范围内。
C:\>nslookup
默认服务器: public1.114dns.com
Address: 114.114.114.114
> set qt=txt
> cpibj.com.cn
服务器: public1.114dns.com
Address: 114.114.114.114
非权威应答:
cpibj.com.cn text =
"qqmail-site-verification=b72f361daa3048ca5b64be6b1670252f65ced90d851"
cpibj.com.cn text =
"MS=D2EBDFFED7F601051E24E409E3F0F36697658F03"
cpibj.com.cn text =
"v=spf1 ip4:123.117.136.189 ip4:114.255.252.30 ip4:114.255.252.17 -all"
发送的钓鱼邮件如下:
相关邮件源码如下:
感觉碰到玄学了,攻击者能直接利用,我却复现不了。。。提示没通过 SPF 校验。。。
黑产是怎么实现这种方式的批量钓鱼邮件投递啊。。。求大佬解惑
===================== 更新
下面是捕获到的伪造的发件人清单:
MAIL FROM:<maildaemon@evtfwavaiq.com>
MAIL FROM:<mail@ucemtiut.com>
MAIL FROM: <ri@hgsteels.com.cn>
MAIL FROM: <csl@cybernaut.com.cn>
MAIL FROM: <vzef@sanan-ic.com>
MAIL FROM: <oheproxbo@dongfanghuaxing.com>
MAIL FROM:<weicen252390@163.com>
MAIL FROM:<duna@nojz.com>
MAIL FROM:<poster@tbnliu.com>
MAIL FROM: <trlkvlqjb@jorsun.com.cn>
MAIL FROM: <vizvpnvkl@svihk.com>
MAIL FROM: <qsbp@tjtuoke.com>
MAIL FROM:<null@cfelklp.com>
MAIL FROM: <jl@amh-group.com>
MAIL FROM: <ul@swifts.com.cn>
MAIL FROM: <zdzlnok@mtrhz.com.cn>
MAIL FROM: <rwwmlp@xreb.com>
MAIL FROM:<list@wtqedcscw.com>
MAIL FROM:<fengyaxin1989@163.com>
MAIL FROM: <gnfgujpw@tsingke.com.cn>
MAIL FROM: <ycm@boschhuayu-steering.com>
MAIL FROM: <wk@sprandi.com>
MAIL FROM:<customersupport@actybu.com>
MAIL FROM: <fm@trinasolar.com>
MAIL FROM: <aigweje@buick-xtbl.com>
MAIL FROM: <tehm@aeonbj.com>
MAIL FROM:<master@njtlntb.com>
MAIL FROM:<arru@ukee.com>
MAIL FROM: <ugc@guardian-hygiene.com>
MAIL FROM: <kkueeflm@wuhanrt.com>
MAIL FROM: <mm@wineversun.com>
MAIL FROM: <cdlcmrku@cieol.cn>
MAIL FROM:<notification@exihmm.com>
MAIL FROM:<spam@gwcwqimgu.com>
MAIL FROM: <hlegudhno@dffhs.com.cn>
MAIL FROM: <uzr@cggc.cn>
MAIL FROM: <zmcmcq@darcyad.com>
MAIL FROM: <lnwxw@bzwiremesh.com>
MAIL FROM: <agscqub@kyland.com>
MAIL FROM:<poster@jgndrd.com>
MAIL FROM:<list-request@njnaa.com>
MAIL FROM: <dx@xiuke.com>
MAIL FROM: <sn@dkjraa2ke.com>
MAIL FROM:<ispfeedback@mpjextlfoi.com>
MAIL FROM:<notification@bhbihnov.com>
MAIL FROM: <fzn@cnoocshell.com>
MAIL FROM:<security@psikpa.com>
MAIL FROM: <ash@cnpccei.cn>
MAIL FROM: <nv@pluke.com>
MAIL FROM: <hnwzkyhe@wh.hascovision.com>
MAIL FROM: <cxqij@vanchiptech.com>
MAIL FROM:<wnxvaj@bnrn.com>
MAIL FROM:<noreply@oitxnad.com>
MAIL FROM: <qmqclmpu@minimob.com>
MAIL FROM: <kcvhouh@szsjke.com>
MAIL FROM: <qtiblyob@ycjingxin.com>
MAIL FROM: <zrcql@way-on.com>
MAIL FROM:<billing@jjewwpsvz.com>
MAIL FROM:<security@hxhqbbq.com>
MAIL FROM:<www-data@vidsuv.com>
MAIL FROM:<www-data@czpttbjyvu.com>
MAIL FROM:<hr@bdpiqjaseu.com>
MAIL FROM:<omrlzu@xict.com>
MAIL FROM:<mails@hnsetrtpxt.com>
MAIL FROM:<cscec2bthxmu@163.com>
MAIL FROM: <lgyebm@xiankexin.com>
MAIL FROM: <bdkqco@starlake.com.cn>
MAIL FROM:<master@yjjma.com>
MAIL FROM: <bmahnsb@huntersun.com.cn>
MAIL FROM: <xmpnjssdj@totalcare.com>
MAIL FROM:<ispfeedback@wgrthlt.com>
MAIL FROM:<uucp@syjxr.com>
MAIL FROM:<jutzp@pprpv.com>
MAIL FROM: <reeybxf@test-tech.com.cn>
MAIL FROM: <dbg@crystalcg.com>
MAIL FROM: <ct@bjhuixin.com>
MAIL FROM: <newfaus@fnholding.cn>
MAIL FROM: <jermpkcvg@bayair.com>
MAIL FROM: <epmka@siasun.com>
MAIL FROM: <pxowoczka@ramadaplazafuxianlake.com>
MAIL FROM: <bswdebc@cnlongxin.com>
MAIL FROM: <tillqnr@xiake.com>
MAIL FROM:<compliance@wbmmxl.com>
MAIL FROM: <jueshjk@feds.com.cn>
MAIL FROM:<15737915238@163.com>
MAIL FROM: <glq@arcplus.com.cn>
MAIL FROM: <qw@swifts.com.cn>
MAIL FROM: <ohdtpk@gct-cloud.com>
MAIL FROM:<root@glcsaona.com>
MAIL FROM:<inoc@ukvmutxrc.com>
MAIL FROM:<webmaster@sknvbdlzh.com>
MAIL FROM: <mwf@icss.com.cn>
MAIL FROM: <hrafv@ljpuke.com>
MAIL FROM: <penodrm@sinvo.cn>
MAIL FROM: <sxwjjj@lcfuturecenter.com>
MAIL FROM: <zwmrhgnyr@nanmengke.com>
MAIL FROM: <bdfzxee@huntersun.com.cn>
MAIL FROM:<xqccjiachao@163.com>
MAIL FROM: <ijbjsyckt@cuboke.com>
MAIL FROM:<web@uvqcohu.com>
MAIL FROM:<hr@jqraeqkbc.com>
MAIL FROM:<root@iqhxbs.com>
MAIL FROM:<ioica@cmww.com>
MAIL FROM:<18930179576@163.com>
MAIL FROM: <pipwsgfii@hopefulrubber.com>
第 1 条附言 · 311 天前
1 、关于伪造钓鱼邮件相同邮件头进行复现:
我这边回溯我们的全流量产品,有抓到的原始流量信息,源 IP ( 180.103.12.117 )直接连的我们这边的邮件网关( 10...131:25 )。
TCP 日志还原后的部分交互内容,如下:
220 smtp ready
HELO cpibj.com.cn
250 spic.com.cn HELO, pleased to meet cpibj.com.cn
MAIL FROM: <mqnds@cpibj.com.cn>
250 OK
RCPT TO: <chenhuan01@****.com.cn>
250 OK
DATA
354 go ahead
Date: T
我按照以上格式,通过 telnet 命令还有 python 脚本去发件,都是提示「 556 remote ip check error.(SPF online: 发信 ip 与 Mail From 地址不一致)」,所以接下来不知道怎么办了。
2 、关于邮件网关中的拦截问题
目前这封邮件是没有被邮件安全网关拦截的,是「投递成功」状态,也没有被标记为垃圾邮件。
第 2 条附言 · 311 天前
联系上邮件系统专业人员了,导致这种情况的具体原因还在定位排查中,感觉不简单。。。
附:黑产投递成功部分原始日志
`Thu Apr 25 10:14:31 2024 92177 sendtype=0 liLogType=0, ip:180.103.12.117(0), mail from:mqnds@cpibj.com.cn, rcpt to:chenhuan01@****.com.cn subject=各位同事请及时查收 size=109432,info=系统白名单,action=1 `
附 2:本人复现投递失败原始日志
`Fri Apr 26 11:03:55 2024 67953 gw error IP:221.**.**.71(0) mail from:mqnds@cpibj.com.cn cause:556 remote ip check error. (SPF online:发信 ip 与 Mail From 地址不一致)`
附:黑产投递成功部分原始日志
`Thu Apr 25 10:14:31 2024 92177 sendtype=0 liLogType=0, ip:180.103.12.117(0), mail from:mqnds@cpibj.com.cn, rcpt to:chenhuan01@****.com.cn subject=各位同事请及时查收 size=109432,info=系统白名单,action=1 `
附 2:本人复现投递失败原始日志
`Fri Apr 26 11:03:55 2024 67953 gw error IP:221.**.**.71(0) mail from:mqnds@cpibj.com.cn cause:556 remote ip check error. (SPF online:发信 ip 与 Mail From 地址不一致)`
 |
1
1423 312 天前
是哪家的域名邮箱吗,还是公司自己管理的
|
 |
2
winterx 312 天前
网关有多种判断识别方式,spf 只是其中一种,楼主要完全伪造相同邮件头才知道能不能过
没有用过亿邮不太了解他家产品 ,如果能进网关后台就看具体过滤日志跟原因,如果不行就问客服吧 |
 |
3
chuckzhou 312 天前
可能是有人密码泄露了,有的邮件系统在 auth 通过之后,就可以冒充任何人。具体的还是要看日志。
|
 |
4
LaoDahVong 312 天前
邮件相关的不大懂. 会不会是 relay 或者 forward 出去的? 马一个给楼主送小红心. 蹲个后续学习学习.
|
 |
5
lemonda 311 天前
https://xxb.ecust.edu.cn/2010/0304/c7630a52237/page.htm
是否是队列中的邮件同事点了投递 |
 |
6
serafin 311 天前
因为是从内网 IP 发的。10 开口的 IP 为什么要打马?
|
 |
7
miscnote 311 天前
spf 只是一个标记,通不通过是你的策略服务器的事。
|
 |
8
leonshaw 311 天前 via Android
客户端地址跟 SPF 没关系,邮件提交和转发是两个过程。如果是提交到对方邮件服务器并转发的,从技术上看就是正常邮件。
|
 |
9
xcodeghost 311 天前
是你们域名使用的邮件系统对垃圾邮件过滤不严导致的,不是攻击者有多厉害。
|
 |
10
gtese 311 天前
spf 是检查 发件域名是否域名所有者申请。
域名本身没有做 sfp 申请,spf 就是无效的反垃圾策略。 180.103.12.117 本身没有上过黑名单,投递到你们这里也算正常的。 “10 开口的 IP 为什么要打马?” 10 是对方当时用的内网 ip ,打码确实没必要。 |
 |
11
lixingcong 311 天前
据说某迪的内网邮箱收到过诈骗邮件:标题《 2024 年综合补贴申领通知》,还真的有人点进去填信息,老骗局。
|
 |
12
bootyshinehf OP @1423 是公司本地部署自建的邮件系统,用的是亿邮的产品,不是那种 SaaS 化的企业邮箱。
|
|
13
bootyshinehf OP @winterx
# 1 、关于伪造相同邮件头的问题: 我这边回溯我们的全流量产品,有抓到的原始流量信息,源 IP ( 180.103.12.117 )直接连的我们这边的邮件网关( 10.**.**.131:25 )。 TCP 日志还原后的部分交互内容,如下: ``` 220 smtp ready HELO cpibj.com.cn 250 spic.com.cn HELO, pleased to meet cpibj.com.cn MAIL FROM: <mqnds@cpibj.com.cn> 250 OK RCPT TO: <chenhuan01@****.com.cn> 250 OK DATA 354 go ahead Date: T ``` 我按照以上格式,通过 telnet 命令还有 python 脚本去发件,都是提示「 556 remote ip check error.(SPF online:发信 ip 与 Mail From 地址不一致)」,所以接下来不知道怎么办了。 # 2 、关于邮件网关中的拦截问题 目前这封邮件是没有被拦截的,是「投递成功」状态,也没有被标记为垃圾邮件。 |
|
14
bootyshinehf OP |
|
15
bootyshinehf OP |
|
16
bootyshinehf OP @serafin
根据邮件头信息「 Received: from 180.103.12.117 by 10.**.**.131 with SMTP; Thu, 25 Apr 2024 10:14:31 +0800 」来看,发件地址是 180.103.12.117 ,应该是很明确的。 10.**.**.131 ,这个是我们的邮件安全网关。 |
 |
17
retanoj 311 天前
是变更过 SPF 记录了吗?
我这边获得的结果跟 OP 贴的内容不一致 dig @114.114.114.114 cpibj.com.cn txt ;; QUESTION SECTION: ;cpibj.com.cn. IN TXT ;; ANSWER SECTION: cpibj.com.cn. 600 IN TXT "v=spf1 ip4:123.117.136.189 ip4:114.255.252.30 ip4:114.255.252.17 mx a include:spf.protection.outlook.com ~all" ~all 是个软拒绝策略 |
|
18
bootyshinehf OP |
 |
19
sleepm 311 天前
|
 |
20
wan4da 311 天前
from 是可以伪造的,看看 sender 是啥。https://www.cnblogs.com/xiaozi/p/12906040.html 可以看看这篇文章
|
|
21
leonshaw 311 天前
既然有流量回溯,就看看当时邮件服务器发起的 DNS 解析
|
 |
22
follow 311 天前
@bootyshinehf 你这内网和外网解析结果不一致,
|
|
23
retanoj 311 天前
|
|
24
bootyshinehf OP @retanoj @follow
不对啊。。。 我用在线工具 Dig https://toolbox.googleapps.com/apps/dig/?lang=zh-CN 还有在线 nslookup http://www.jsons.cn/nslookup/ 查询的结果也是不一致的。。。 |
|
25
lemonda 311 天前
@bootyshinehf
看下万网里是否设置了分线路解析不同的 SPF 记录 |
|
26
retanoj 311 天前
|
|
27
winterx 311 天前
@bootyshinehf #13 不用查流量回溯这么复杂,smtp 都是先经过邮件网关再投递到服务器,你只需要查为什么网关会放行这封邮件
首先你要知道没有网关能 100%拦截垃圾邮件 1 、策略问题 2 、识别问题 |
 |
28
broeeee 311 天前
27 是明白人,先看策略
|
 |
29
C0nvN3t 311 天前
确实有点奇怪 按理 spf 应该直接就 deny 掉才对。。 插眼学习
|
|
30
bootyshinehf OP |
|
31
bootyshinehf OP |
|
32
retanoj 311 天前
em. 我还好奇他的访问入口
|
 |
33
litblue 311 天前
你的 mx 记录指向 mail.cpibj.com.cn 123.117.136.189
telnet 123.117.136.189 25 后 220 Welcome to chinapower ehlo cpibj.com.cn 250-mailadmin.chinapower.hk Hello cpibj.com.cn [*], pleased to meet you 250-SIZE 40000000 250-AUTH PLAIN LOGIN 250-AUTH=PLAIN LOGIN 250-STARTTLS 250-PIPELINING 250-8BITMIME 250 HELP MAIL FROM: <mqnds@cpibj.com.cn> 250 Sender <mqnds@cpibj.com.cn> OK quit 没有拒绝,还是查查网关的策略吧。 |
 |
35
jiangdada6 24 天前
请问楼主最后查出原因了吗
|
Select Language