引言

还在愁外网挖洞挖不到嘛？还在愁没有0day打不进内网吗？还在愁没有账号密码测试系统吗？从现在开始，不用在忧愁了，我们直接gogogo，快速的学习一下钓鱼邮件的制作，让我们不废吹灰之力，拳打老弱病残~

你能收获什么？

1.利用kali自带工具去伪造发件人

2.明白SPF是一个什么东西，如何去绕过SPF，从而伪造发件人。

3.利用gohish工具制作钓鱼邮件模板、钓鱼网页、伪造发件人、捕获账号密码。

正式开始

废话不多说，冲冲冲

知识点一：手动制作钓鱼邮件

钓鱼邮件的制作的要点：

取得受害者信任邮件：发信人地址，邮件内容(话术)，兴趣话题

然后就可以在受害者的信任邮件中嵌入：嵌入网页配合钓鱼 (模拟真实网站)、嵌入文件配合钓鱼 (压缩包，文档类等）

那么如何制作一个钓鱼邮件呢：

首先我们可以随意的找到一个临时邮箱地址。

直接搜索即可，网络上有许多免费的临时邮箱，而使用这些临时邮箱也可以作为反溯源的一部分。

https://temp-mail.io/zh临时邮箱地址

那么我们首先用一个QQ邮箱给他发信息看是否能正常的接收：

收件人就使用刚刚自己申请的临时邮箱即可。

这里收件人报错了，那么我们就换一个可以显示发件人的就好~

链接：一次性临时电子邮件 - TempMail.Plus

这里就显示了发件人，你的QQ号加上qq.com对吧

那么我们最想做的一个件事情，就是伪造发件人对吗？

比如说伪造为拼多多的发件人。对吧，这样钓鱼才有真实性。

那么提到伪造发件人，我们就绕不开一个知识点：SPF

这个决定了我们是否能绕过发件人。

那么什么是SPF呢？

发件人策略框架（SenderPolicyFramework）电子邮件认证机制，主要作用是防止（伪造邮件地址）、伪造发件人

如何查询某个域名的SPF策略？

查询过后的返回含义是什么呢？

例如：我们查询QQ的SPF策略

这里就是采用和spf.mail.qq.com一样的策略，那么继续查查spf.mail.qq.com

那么这里就表示严格拒绝（-all）所有未在 SPF 记录中明确授权的 IP 地址发送邮件，保所有合法发信服务器均已包含在 include 列表中

什么意思呢？

例如，若攻击者试图伪造 @qq.com 域名发送邮件，但 IP 不在腾讯的授权列表中，邮件将被直接标记为伪造并拒绝投递。

嘿嘿，真的嘛，我们一会试试看。

但现在，我们先试试看一个成功的案例吧，首先需要用到kali的一款自带工具，或者去其他地方下载也是可以的

工具名字：Swaks

http://jetmore.org/john/code/swaks/

首先我们使用命令：nslookup -type=txt mailto.plus

若某封邮件声称来自 mailto.plus，但实际发送 IP 不在 mx.fex.plus 的 A 记录中，收件方会判定为伪造邮件。就是这个SPF的策略了，但这不影响我们伪造qq.com的邮箱~

打开kali，打开终端，直接输入命令：

swaks--header-X-Mailerr "" --header-Message-Id "" --header-"Content-Type"="text/html"--from "admin@qq.com"--ehloshabimeiguo-header

4A评测 - 免责申明

本站提供的一切软件、教程和内容信息仅限用于学习和研究目的。

不得将上述内容用于商业或者非法用途，否则一切后果请用户自负。

本站信息来自网络，版权争议与本站无关。您必须在下载后的24个小时之内，从您的电脑或手机中彻底删除上述内容。

如果您喜欢该程序，请支持正版，购买注册，得到更好的正版服务。如有侵权请邮件与我们联系处理。敬请谅解！

程序来源网络，不确保不包含木马病毒等危险内容，请在确保安全的情况下或使用虚拟机使用。

侵权违规投诉邮箱：4ablog168#gmail.com（#换成@）