钓鱼邮件的伪造与特征

伪造

域名构造

域名尽可能包含可信字串，如：xxx@web.douyintv-service.com、qaxhr@126.com等
或者使用可未授权发信的SMTP服务器（打开25和110端口，且未有身份验证机制）作为跳板进行钓鱼

自建服务器

基本使用的是海外VPS和域名，如香港，主要是不需要备案，如果邮件来源与海外，需要更多排查。
**工具：**EwoMali

邮件可信度

如QQ等邮箱对于邮件来源审计较为宽松，仅需配置一些配置则可提高可信度，不会将邮件直接删除掉（但还是可能会放到垃圾邮件中）

配置如下：

• SPF记录
  规定一个域名下的邮件需要由哪些SMTP服务器发送，将域名增加txt解析记录，该记录包含所有的SMTP服务器IP地址即可。

  配置软拒绝txt @ v = spfl mx ~ all，可以达到将邮件放行或者放入垃圾邮件中

• DMARC记录
  当收件方收到不合规邮件时会反馈一份报告到邮件发出服务器，因此需要配置_dmarc的txt记录
  txt _dmarc v = DMARC1; p = none; pct = 100; rua = mailto@dmarc@mydomain.com

• DKIM记录
  使用非对称加密对于邮件进行验证和防篡改，只有公钥私钥对的上才属于合法邮件

• rDNS记录
  反向解析

基本特征

大部分域名或者邮件服务器处于海外，通过ipinfo或者dns解析查询到服务器位置，若处于业务范围外可基本判定为钓鱼邮件

溯源

与钓鱼网站溯源流程一致，查暴露信息，后根据暴露信息顺藤摸瓜