Ein Redirect ist ein Zeiger auf einen anderen Domainnamen, der eine SPF-Richtlinie hostet. Es ermöglicht, dass mehrere Domains dieselbe SPF-Richtlinie teilen. Es ist nützlich, wenn mit einer großen Anzahl von Domains gearbeitet wird, die die gleiche E-Mail-Infrastruktur teilen.
Die SPF-Richtlinie der im Redirect-Mechanismus angegebenen Domain wird verwendet.
| Es ist auch möglich, **Qualifizierer** zu identifizieren, die anzeigen, **was getan werden soll, wenn ein Mechanismus abgeglichen wird**. Standardmäßig wird der **Qualifizierer "+"** verwendet (d.h. wenn ein Mechanismus abgeglichen wird, bedeutet das, dass er erlaubt ist).\ In der Regel finden Sie **am Ende jeder SPF-Richtlinie** etwas wie: **\~all** oder **-all**. Dies wird verwendet, um anzuzeigen, dass **wenn der Absender keiner SPF-Richtlinie entspricht, die E-Mail als nicht vertrauenswürdig markiert (\~) oder abgelehnt (-) werden sollte**. #### Qualifizierer Jeder Mechanismus innerhalb der Richtlinie kann mit einem der vier Qualifizierer versehen werden, um das beabsichtigte Ergebnis zu definieren: * **`+`**: Entspricht einem PASS-Ergebnis. Standardmäßig nehmen Mechanismen diesen Qualifizierer an, was `+mx` äquivalent zu `mx` macht. * **`?`**: Steht für ein NEUTRAL-Ergebnis, das ähnlich wie NONE (keine spezifische Richtlinie) behandelt wird. * **`~`**: Kennzeichnet SOFTFAIL und dient als Mittelweg zwischen NEUTRAL und FAIL. E-Mails, die dieses Ergebnis erfüllen, werden in der Regel akzeptiert, aber entsprechend markiert. * **`-`**: Zeigt FAIL an und legt nahe, dass die E-Mail abgelehnt werden sollte. Im folgenden Beispiel wird die **SPF-Richtlinie von google.com** dargestellt. Beachten Sie die Einbeziehung von SPF-Richtlinien aus verschiedenen Domains innerhalb der ersten SPF-Richtlinie: ```shell-session dig txt google.com | grep spf google.com. 235 IN TXT "v=spf1 include:_spf.google.com ~all" dig txt _spf.google.com | grep spf ; <<>> DiG 9.11.3-1ubuntu1.7-Ubuntu <<>> txt _spf.google.com ;_spf.google.com. IN TXT _spf.google.com. 235 IN TXT "v=spf1 include:_netblocks.google.com include:_netblocks2.google.com include:_netblocks3.google.com ~all" dig txt _netblocks.google.com | grep spf _netblocks.google.com. 1606 IN TXT "v=spf1 ip4:35.190.247.0/24 ip4:64.233.160.0/19 ip4:66.102.0.0/20 ip4:66.249.80.0/20 ip4:72.14.192.0/18 ip4:74.125.0.0/16 ip4:108.177.8.0/21 ip4:173.194.0.0/16 ip4:209.85.128.0/17 ip4:216.58.192.0/19 ip4:216.239.32.0/19 ~all" dig txt _netblocks2.google.com | grep spf _netblocks2.google.com. 1908 IN TXT "v=spf1 ip6:2001:4860:4000::/36 ip6:2404:6800:4000::/36 ip6:2607:f8b0:4000::/36 ip6:2800:3f0:4000::/36 ip6:2a00:1450:4000::/36 ip6:2c0f:fb50:4000::/36 ~all" dig txt _netblocks3.google.com | grep spf _netblocks3.google.com. 1903 IN TXT "v=spf1 ip4:172.217.0.0/19 ip4:172.217.32.0/20 ip4:172.217.128.0/19 ip4:172.217.160.0/20 ip4:172.217.192.0/19 ip4:172.253.56.0/21 ip4:172.253.112.0/20 ip4:108.177.96.0/19 ip4:35.191.0.0/16 ip4:130.211.0.0/22 ~all" ``` Traditionell war es möglich, jede Domain zu fälschen, die keinen korrekten/keinen SPF-Eintrag hatte. **Heutzutage** wird eine **E-Mail von einer Domain ohne gültigen SPF-Eintrag** wahrscheinlich automatisch **abgelehnt/als nicht vertrauenswürdig markiert**. Um den SPF einer Domain zu überprüfen, können Sie Online-Tools wie: [https://www.kitterman.com/spf/validate.html](https://www.kitterman.com/spf/validate.html) verwenden. ### DKIM (DomainKeys Identified Mail) DKIM wird verwendet, um ausgehende E-Mails zu signieren, was ihre Validierung durch externe Mail Transfer Agents (MTAs) ermöglicht, indem der öffentliche Schlüssel der Domain aus dem DNS abgerufen wird. Dieser öffentliche Schlüssel befindet sich in einem TXT-Eintrag der Domain. Um auf diesen Schlüssel zuzugreifen, muss man sowohl den Selektor als auch den Domainnamen kennen. Um beispielsweise den Schlüssel anzufordern, sind der Domainname und der Selektor unerlässlich. Diese Informationen finden sich im E-Mail-Header `DKIM-Signature`, z. B. `d=gmail.com;s=20120113`. Ein Befehl zum Abrufen dieser Informationen könnte so aussehen: ```bash dig 20120113._domainkey.gmail.com TXT | grep p= # This command would return something like: 20120113._domainkey.gmail.com. 280 IN TXT "k=rsa\; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA1Kd87/UeJjenpabgbFwh+eBCsSTrqmwIYYvywlbhbqoo2DymndFkbjOVIPIldNs/m40KF+yzMn1skyoxcTUGCQs8g3 ``` ### DMARC (Domain-based Message Authentication, Reporting & Conformance) DMARC verbessert die E-Mail-Sicherheit, indem es auf den SPF- und DKIM-Protokollen aufbaut. Es umreißt Richtlinien, die Mailserver bei der Behandlung von E-Mails aus einer bestimmten Domäne leiten, einschließlich der Handhabung von Authentifizierungsfehlern und wohin Berichte über E-Mail-Verarbeitungsaktionen gesendet werden sollen. **Um den DMARC-Eintrag zu erhalten, müssen Sie das Subdomäne \_dmarc abfragen** ```bash # Reject dig _dmarc.facebook.com txt | grep DMARC _dmarc.facebook.com. 3600 IN TXT "v=DMARC1; p=reject; rua=mailto:a@dmarc.facebookmail.com; ruf=mailto:fb-dmarc@datafeeds.phishlabs.com; pct=100" # Quarantine dig _dmarc.google.com txt | grep DMARC _dmarc.google.com. 300 IN TXT "v=DMARC1; p=quarantine; rua=mailto:mailauth-reports@google.com" # None dig _dmarc.bing.com txt | grep DMARC _dmarc.bing.com. 3600 IN TXT "v=DMARC1; p=none; pct=100; rua=mailto:BingEmailDMARC@microsoft.com;" ``` #### DMARC-Tags | Tag-Name | Zweck | Beispiel | | -------- | --------------------------------------------- | ------------------------------- | | v | Protokollversion | v=DMARC1 | | pct | Prozentsatz der Nachrichten, die einer Filterung unterzogen werden | pct=20 | | ruf | Berichts-URI für forensische Berichte | ruf=mailto:authfail@example.com | | rua | Berichts-URI für aggregierte Berichte | rua=mailto:aggrep@example.com | | p | Richtlinie für die Organisationsdomäne | p=quarantine | | sp | Richtlinie für Subdomänen der OD | sp=reject | | adkim | Ausrichtungsmodus für DKIM | adkim=s | | aspf | Ausrichtungsmodus für SPF | aspf=r | ### **Was ist mit Subdomänen?** **Von** [**hier**](https://serverfault.com/questions/322949/do-spf-records-for-primary-domain-apply-to-subdomains)**.**\ Sie müssen separate SPF-Einträge für jede Subdomäne haben, von der aus Sie E-Mails senden möchten.\ Der folgende Text wurde ursprünglich auf openspf.org veröffentlicht, das früher eine großartige Ressource für solche Dinge war. > Die Dämonenfrage: Was ist mit Subdomänen? > > Wenn ich eine E-Mail von pielovers.demon.co.uk erhalte und es keine SPF-Daten für pielovers gibt, sollte ich dann eine Ebene zurückgehen und SPF für demon.co.uk testen? Nein. Jede Subdomäne bei Demon ist ein anderer Kunde, und jeder Kunde könnte seine eigene Richtlinie haben. Es würde keinen Sinn machen, wenn die Richtlinie von Demon standardmäßig für alle Kunden gelten würde; wenn Demon das tun möchte, kann es SPF-Einträge für jede Subdomäne einrichten. > > Daher lautet der Rat an SPF-Verleger: Sie sollten für jede Subdomäne oder jeden Hostnamen einen SPF-Eintrag hinzufügen, der über einen A- oder MX-Eintrag verfügt. > > Websites mit Platzhalter-A- oder MX-Einträgen sollten auch einen Platzhalter-SPF-Eintrag haben, der folgendermaßen aussieht: \* IN TXT "v=spf1 -all" Das ergibt Sinn - eine Subdomäne kann sich durchaus an einem anderen geografischen Standort befinden und eine sehr unterschiedliche SPF-Definition haben. ### **Offenes Relay** Beim Versenden von E-Mails ist es entscheidend, sicherzustellen, dass sie nicht als Spam markiert werden. Dies wird oft durch die Verwendung eines **Relay-Servers erreicht, der vom Empfänger vertraut wird**. Eine häufige Herausforderung besteht jedoch darin, dass Administratoren möglicherweise nicht vollständig darüber im Bilde sind, welche **IP-Bereiche sicher sind, um Verbindungen zuzulassen**. Dieses mangelnde Verständnis kann zu Fehlern bei der Einrichtung des SMTP-Servers führen, ein Risiko, das in Sicherheitsbewertungen häufig identifiziert wird. Ein Workaround, den einige Administratoren verwenden, um Probleme bei der E-Mail-Zustellung zu vermeiden, insbesondere im Zusammenhang mit der Kommunikation mit potenziellen oder laufenden Kunden, besteht darin, **Verbindungen von jeder IP-Adresse zuzulassen**. Dies wird durch Konfigurieren des Parameters `mynetworks` des SMTP-Servers erreicht, um alle IP-Adressen zu akzeptieren, wie unten gezeigt: ```bash mynetworks = 0.0.0.0/0 ``` Um zu überprüfen, ob ein Mailserver ein offenes Relay ist (was bedeutet, dass er E-Mails von jeder externen Quelle weiterleiten könnte), wird häufig das Tool `nmap` verwendet. Es enthält ein spezifisches Skript, das für diesen Test entwickelt wurde. Der Befehl für einen ausführlichen Scan auf einem Server (zum Beispiel mit der IP 10.10.10.10) auf Port 25 mit `nmap` lautet: ```bash nmap -p25 --script smtp-open-relay 10.10.10.10 -v ``` ### **Werkzeuge** * [**https://github.com/serain/mailspoof**](https://github.com/serain/mailspoof) **Überprüfen Sie SPF- und DMARC-Fehlkonfigurationen** * [**https://pypi.org/project/checkdmarc/**](https://pypi.org/project/checkdmarc/) **Erhalten Sie automatisch SPF- und DMARC-Konfigurationen** ### Spoof-E-Mail senden * [**https://www.mailsploit.com/index**](https://www.mailsploit.com/index) * [**http://www.anonymailer.net/**](http://www.anonymailer.net) * [**https://emkei.cz/**](https://emkei.cz/) **Oder Sie könnten ein Tool verwenden:** * [**https://github.com/magichk/magicspoofing**](https://github.com/magichk/magicspoofing) ```bash # This will send a test email from test@victim.com to destination@gmail.com python3 magicspoofmail.py -d victim.com -t -e destination@gmail.com # But you can also modify more options of the email python3 magicspoofmail.py -d victim.com -t -e destination@gmail.com --subject TEST --sender administrator@victim.com ``` {% hint style="warning" %} Wenn Sie einen Fehler bei der Verwendung der dkim Python-Bibliothek beim Parsen des Schlüssels erhalten, können Sie gerne den folgenden verwenden.\ **HINWEIS**: Dies ist nur eine schnelle Lösung, um schnelle Überprüfungen durchzuführen, falls aus irgendeinem Grund der OpenSSL-Privatschlüssel **nicht von dkim geparst werden kann**. ``` -----BEGIN RSA PRIVATE KEY----- MIICXgIBAAKBgQDdkohAIWT6mXiHpfAHF8bv2vHTDboN2dl5pZKG5ZSHCYC5Z1bt spr6chlrPUX71hfSkk8WxnJ1iC9Moa9sRzdjBrxPMjRDgP8p8AFdpugP5rJJXExO pkZcdNPvCXGYNYD86Gpous6ubn6KhUWwDD1bw2UFu53nW/AK/EE4/jeraQIDAQAB AoGAe31lrsht7TWH9aJISsu3torCaKyn23xlNuVO6xwdUb28Hpk327bFpXveKuS1 koxaLqQYrEriFBtYsU8T5Dc06FQAVLpUBOn+9PcKlxPBCLvUF+/KbfHF0q1QbeZR fgr+E+fPxwVPxxk3i1AwCP4Cp1+bz2s58wZXlDBkWZ2YJwECQQD/f4bO2lnJz9Mq 1xsL3PqHlzIKh+W+yiGmQAELbgOdX4uCxMxjs5lwGSACMH2nUwXx+05RB8EM2m+j ZBTeqxDxAkEA3gHyUtVenuTGClgYpiwefaTbGfYadh0z2KmiVcRqWzz3hDUEWxhc GNtFT8wzLcmRHB4SQYUaS0Df9mpvwvdB+QJBALGv9Qci39L0j/15P7wOYMWvpwOf 422+kYxXcuKKDkWCTzoQt7yXCRzmvFYJdznJCZdymNLNu7q+p2lQjxsUiWECQQCI Ms2FP91ywYs1oWJN39c84byBKtiFCdla3Ib48y0EmFyJQTVQ5ZrqrOrSz8W+G2Do zRIKHCxLapt7w0SZabORAkEAxvm5pd2MNVqrqMJHbukHY1yBqwm5zVIYr75eiIDP K9B7U1w0CJFUk6+4Qutr2ROqKtNOff9KuNRLAOiAzH3ZbQ== -----END RSA PRIVATE KEY----- ``` {% endhint %} **Oder Sie könnten es manuell machen:** {% tabs %} {% tab title="PHP" %}# Dies sendet eine nicht signierte Nachricht
mail("deine_email@gmail.com", "Testbetreff!", "Hey! Das ist ein Test", "Von: administrator@opfer.com");
{% endtab %}
{% tab title="Python" %}
```python
# Code from https://github.com/magichk/magicspoofing/blob/main/magicspoofmail.py
import os
import dkim #pip3 install dkimpy
import smtplib
from email.mime.multipart import MIMEMultipart
from email.mime.text import MIMEText
from email.mime.base import MIMEBase
# Set params
destination="destination@gmail.com"
sender="administrator@victim.com"
subject="Test"
message_html="""