DMARC拦截钓鱼邮件的实例详解
发布时间:2013-11-26 15:39:13
[1] 首先查询一下paypal.com的DMARC记录:
[panda@mysvr ~] $ dig +short txt _dmarc.paypal.com
"v=DMARC1\; p=reject\; rua=mailto:DL-PP-DK-Reports@ebay.com\; ruf=mailto:dk@bounce.paypal.com\;"
[panda@mysvr ~] $
[2] 连接网易域163.com的一台MX机器,发送一封paypal伪造邮件:
[panda@mysvr ~] $ telnet 220.181.12.55 25 <-- 连接163.com域的mx机器
Trying 220.181.12.55...
Connected to 163.mxmail.netease.com (220.181.12.55).
Escape character is '^]'.
220 163.com Anti-spam GT for Coremail System (163com[20111010])
helo aa.com
250 OK
mail from:<aa@aa.com> <-- 自称来自aa@aa.com,那么aa.com将作为本次会话的域名C(RFC5321.MailFrom domain)。
250 Mail OK
rcpt to:<pandatest2@163.com>
250 Mail OK
data
354 End data with <CR><LF>.<CR><LF>
from:<security@paypal.com> <-- 伪造称自己是security@paypal.com,那么paypal.com将作为本次会话的域名A(RFC5322.From domain)。
to:test
subject:test
<-- 本封邮件的信头无DKIM签名,那么域名B将为空("d" tag of DKIM-Signature)。
test
.
550 MI:DMA mx30, UMCowEA5KktUto9Pd5j7AQ--.2229S2 1334818442 http://mail.163.com/help/help_spam_16.htm?ip=220.181.15.243&hostid=mx30&time=1334818442 <-- 163.com返回550 MI:DMA并拒收了这封邮件。
quit
221 Bye
Connection closed by foreign host.
[panda@mysvr ~] $
[3] 本次测试的说明:
•上面这封伪造邮件,域名B+域名C中没有一个域名和域名A能匹配上,即DMARC校验不通过(Non-Aligned)。那么根据paypal.com的DMARC策略(reject)要求,163.com的MX服务器拒收了这封邮件(返回了550 MI:DMA)。
本文由163企业邮箱首选网易品牌(http://www.hb-163.com/)原创编辑,转发请注明来源及版权归属。
原文分享地址:http://www.hb-163.com/news/antispam/141.html
上一篇:DMARC技术方案详解
下一篇:DMARC的出现原因及其环境背景
Tags:DMARC
相关文章
- 反垃圾来源认证之(一) SPF--Sender Policy Framework2013-12-30
- 反垃圾来源认证之(二) DKIM(domainkey)2013-12-30
- 反垃圾来源认证之(三)DMARC2013-12-30
- 国外发垃圾邮件省份2013排行榜 河北成为垃圾邮件国内最大源头2013-12-30
- 网易邮箱反垃圾十六年2013-12-30
- 国家计算机病毒应急处理中心发布恶意邮件预警通告2013-12-30
- 《加强网络信息保护的决定》规定未经用户许可不得向其手机或电子邮箱发送商业信息2013-12-30
- 如何架设一个简易的实时黑名单服务器2013-12-30