Task 1

Task 1

@hexadec1mal

dig - утилита для запроса записей у DNS-сервисов (это dns lookup utility).

В контексте почтовых серверов нам важно узнать, какие средства защиты от подделки отправителя поддерживает определенный почтовый сервер.

Среди самых распространенных сейчас можно сказать о:

  • Sender Policy Framework - SPF - txt-запись, перечисляющая в себе наши сервера, которые авторизованы отправлять почту с нашего домена. Для нас как для пентестеров эта запись важна как возможность отправить сообщение с нашего почтового сервиса, подставившись каким-либо другим, своего рода watering hole. Плохая настройка SPF (отсутствие самой записи, отсутствие твердого отказа в рамках остальных случаев ( -all)) - это серьезная проблема. К слову, для нас и мягкий отказ all тоже иногда полезен, ведь не все целевые почтовые сервера будут откидывать наше письмо в спам.
  • Domain Key Identified Mail - DKIM - txt-запись, хранящая нашу подпись как доказательство подлинности отправителя и целостности доставленного письма. Почтовый сервер подписывает письма закрытым ключом, и с помощью этой подписи можно провалидировать, что письмо отправлено именно нами. Подлинность, как в случае и с SPF, проверяется сервером-получателем. Для нас как людей, которые захотят как-либо эксплуатировать DKIM, есть только два хороших сценария: отсутствие этой подписи или непроверка сервером-получателем этой подписи, больше мы ничего сделать не сможем. Если нет SPF, но есть DKIM, то можно говорить о неуязвимости сервера при условии, что мы никак не влияем на DNS-записи на стороне жертвы (понятное дело, что если мы можем отравлять DNS-записи, которые получает почтовый сервер жертвы, то для нас любая из этих защит неактуальна). Есть также уязвимость, что DKIM подписывает только k байт письма, поэтому при малом k мы сможем менять контент письма (но я не видел реальных кейсов).
  • Domain-based message authentication, reportingand conformance - DMARC - txt-запись, указывающая, что делать с письмами, которые не прошли проверку SPF и/или DKIM. Также в рамках DMARC реализован хороший механизм обратной связи - почтовый сервер, который получил письмо, которое как будто отправлено от нашего почтового сервера, но не проходит DKIM/SPF, может отправить нам письмо с отчетом (поле rua). В случае с DMARC нам как хамелеонам может быть интересно, если политика установлена на none или если стоит мягкая проверка dkim и spf.