邮箱欺骗攻击

实验4－3：使用邮件群发工具实现邮箱欺骗

案例4－3：很多时候我们使用邮箱时会发现来自很多知名网站的网管员给我们邮箱发的信件，声称要举行什么活动，让我们点击电子邮件正文中的链接。而我们一旦点击这些链接，很多情况下会发觉自己的主机中了木马或病毒，如果这些链接中含有需要我们输入银行帐号的用户名和口令的信息后果更是不堪设想。这就是因为这些邮件采用了邮箱欺骗技术，骗我们上当。邮箱欺骗成功的前提是你的SMTP服务器没有验证发件人地址，造成很多虚拟主机的SMTP服务器可以被邮箱欺骗。

E-Mail欺骗需要同时具备以下两点：

1、黑客伪造发件人地址，使邮件的发件人看起来像是一个正规的单位或个人。

2、将恶意代码的链接程序（或者病毒）放在E-Mail的邮件正文或附件中，诱骗收件人点击此链接。收件人一旦点击此链接便会中病毒、木马或者被黑客进行钓鱼攻击。

一、实验目的

了解并掌握E-Mail欺骗的原理以及欺骗的方法，提高自己防御E-Mail欺骗或钓鱼攻击的能力。

二、实验设备

3台Windows主机。一台黑客，一台受害机，一台邮箱服务器同时是DNS server。

三、实验步骤

1、担当邮箱服务器角色的主机安装邮箱服务器和DNS SERVER。

（1）邮箱服务器要新建邮箱用户：帐号－>帐号管理－>新建，如图4－9所示。

图4－9：邮箱服务器的帐号管理器界面

（2）要启动服务：如SMTP、POP、IMAP 、WorldClient要启动（有时默认是关闭的，没开启则客户端收发邮件不成功），如图4－10。

图4－10：邮箱服务器的服务界面

（3）在邮箱服务器主机上找到worldclient.exe，并双击启动它。WorldClient的启动是可以用网页收发邮件。（在搜索中查找下。）

2、每台主机将自己设置为DNS server的客户端。

3、黑客与受害机各申请一个邮箱。

可以是用outlook、或者IE收发邮件（用IE收发邮件时在IE的URL地址栏中要输入端口3000），测试邮件收发是否成功。

4、成功后要在邮箱服务器主机上设置DNS服务器中的正向区域配置。在DNS SERVER的管理控制台中建立正向解析区域MAIL，再新建主机company（其邮箱服务器IP：为192.168.0.100）。

5、黑客机安装电子邮件群发工具volleymail。

（1）黑客机的参数设置中要把DNS地址写成DNS服务器的IP，如图4－11。

（2）伪造的发件人地址，与发送的邮件如图4－12。

6、受害机邮箱打开后，发现黑客发给他的邮件，如图4－13。

网页：

Outlook:

图4－13：受害机收到的伪造发件人的邮件

7、扩展：可以想象，如果这封电子邮件正文中含有恶意链接，谁点中此恶意链接谁中马。

8、查看真正的发件人来自哪里

使用群发软件发送邮件时，发信人的地址是可以任意伪造的，查看信头可以让您找到真正的发件人。查看信头的方法是：（1）如果您是在 web 页面上看邮件的话，直接打开邮件，点击信件显示页面左上方“高级动作”中的“查看信头”，就可以看到信头。（2）如果是用 Outlook Express 来收信的话，指向邮件（不要打开），点击鼠标右键，看信件的属性，再点击“详细信息”，就可以看到信头。如果有 sender 的话，sender 后面就是真正的发件人；如果没有 sender ，最后一个received from就是发件人所用的 SMTP 服务器。Receive 语句的基本表达格式是： from Server A by Server B，Server A 为发送服务器，Server B 为接收服务器。如图4－14，可见192.168.0.102才是邮件真正的发件方。

网页追溯：

Outlook追溯：

图4－14：查看真正的发件人IP

四、实验小结

本实验是利用邮件群发软件实现伪造发件人地址的电子邮件欺骗攻击。黑客通过利用电子邮件发件方缺乏SMTP身份验证的漏洞成功地伪造了发件人的地址，实现了电子邮件欺骗。

五、防御措施

遇到电子邮件正文或者附件中出现链接的情况时一定要当心，不要轻易点击陌生的链接。