Swaks - SMTP界的瑞士军刀

0x00 安装：

kali中自带，或者从作者网页下载

http://www.jetmore.org/john/code/swaks/

0x01 基本用法：

swaks –to <要测试的邮箱>      用来测试邮箱的连通性

前面都返回250ok，说明该邮箱存在，并且可以正常收信。最后可以看到qq邮箱返回550错误，qq官方给出的出错原因：该邮件内容涉嫌大量群发，并且被多数用户投诉为垃圾邮件。

我们可以继续对邮件进行伪造，来绕过qq邮箱的判断

比如：

swaks --body "test" --header "Subject:testT" -t rcfkve06917@chacuo.net -f admin@local.com

swaks --to rcfkve06917@chacuo.net --from info@freebuf.com --ehlo freebuf.com --body hello --header "Subject: hello"

其中：

--from <要显示的发件人邮箱>

--ehlo <伪造的邮件ehlo头>

--body <邮件正文>

--header <邮件头信息，subject为邮件标题>

--data <源邮件>

0x02 高级用法：

使用swaks其实还可以进行更高级的邮件伪造，几乎可以伪造邮件中的每一个参数。

首先，我们需要一份正常的邮件

点击显示邮件原文，把原文复制出来，保存为email.txt

其中的received可以都删除，该项为接收信息，发信中不需要。to项也可以删除，可以直接用swaks --to来代替。

注意不要忘了加--from 否则qq邮箱会报由kali代发……

swaks --data ./Desktop/email.txt --to xxxx@qq.com --from services@tophant.com

发送成功，qq邮箱没报垃圾邮件，也没报有害。

注意在发送的时候没有加--from参数，因为在测试中我发现收到邮件时，邮件内容与文件内容显示完全一样，与参数无关

这里能看到，收件人和发件人都不是靠--to和—from，这里应该需要修改文本的内容，达到隐藏效果

这里略作修改，成功伪造了邮箱，

在测试中，我修改了时间，但事实证明时间是不能被指定的，

这里还有很多地方可以伪造，十分钟邮箱不显示，就没有继续测试。

邮件伪造结合钓鱼网站，免杀程序，在加上一点社工技巧，是比较主动的APT攻击方式，需要多加注意。

0x03 邮件头格式 ：

Received: 由每个中继服务站添加，用于帮助追踪传输中出现的错误。字段内容包括，发送、接收的主机和接收时间。参数via 用于记录信息发送后经过的物理站点，”with” 指示了使用的邮件、连接的协议。参数 id 用于标识邮件。参数for 用于记录发送者的分发的目的地址。
Reply-To: 发件人地址是在发件人标题中实际找到的值。这应该是信息的来源。在大多数邮件客户机中，这就是您所看到的“发件人”。如果一封电子邮件没有回复头，那么所有的人工（邮件客户端）回复都应该返回到“发件人”地址。
Date: 表示建立信件的时间
From：发件人
To：收件人
cc：抄送人
Subject：邮件标题
Sender：发件人名称
Message-ID：SMTP协议发邮件自动生成的
X-Priority：邮件优先级
X-mailer：代理发信的客户端
MIME-Version: 所使用的网络邮件格式标准版本
Content-Type: 邮件内容数据的类型，包括类型标识(type)和子类型标识(subtype)，前者类型标识(type)声明了数据的类型，后者子类型标识(subtype)为这种数据类型指定了特定的格式。
Return-Path: 退信地址，该字段由信息的最后发送者添加，是关于信息原始来源的地址和回朔路径。
X-MS-Exchange-Organization-AuthSource：该 X-header 指定代表组织对邮件的身份验证进行评估的服务器计算机的 FQDN。

邮件头示例

Received: from unic0rn.com.cn (IP) by .unic0rn.cn
 (IP) with Microsoft SMTP Server id 14.3.123.3; Fri,  Dec  :: +
Reply-To: <Reply@qq.com>
Date: Fri,  Dec  :: +
From: IT_Sytem <From@unic0rn.cn>
To: <To@unic0rn.cn>
cc: <cc@unic0rn.cn>
Sender: Sender
Subject: Subject
Message-ID: <@unic0rn.cn>
X-Priority:  (Highest)
X-mailer: Foxmail , , ,  [cn]
MIME-Version: 1.0
Content-Type: multipart/related; type="multipart/alternative";
 boundary="=====003_Dragon301638870326_====="
Return-Path: Return@unic0rn.cn
X-MS-Exchange-Organization-AuthSource: . unic0rn.cn
X-MS-Exchange-Organization-AuthAs: Anonymous

0x04 解决办法：

遇到可疑邮件要查看源邮件，判断发信人ip是否为可信任的ip。

0x05 10分钟邮箱:

http://24mail.chacuo.net/ 不可接收附件（txt）

https://10minutemail.net/ 可接收附件（eml后缀）

http://www.linshiyouxiang.net/

https://docs.microsoft.com/zh-cn/previous-versions/office/exchange-server-2010/bb232136(v=exchg.141)?redirectedfrom=MSDN