掌握现代红队基础设施第 3 部分 — 使用 DNS 记录和 OPSEC 绕过邮件安全网关保护邮件服务

发布于2025年1月18日2025年7月19日作者:cve-20

掌握现代红队基础设施第 3 部分 — 使用 DNS 记录和 OPSEC 绕过邮件安全网关保护邮件服务

hai dragon 安全狗的自我修养 2025-01-17 23:20

在“🔒掌握现代红队基础设施”系列的这一部分中，我们探讨了使用 SPF、DKIM 和 DMARC 等 DNS 记录为我们的域 online-notifications.net
域设置和保护邮件服务
，同时实施强大的操作安全（OPSEC）
措施来有效绕过邮件安全网关。本指南介绍如何将 Zoho
Mail 与 Cloudflare
上托管 online-notifications.net 域相关联，并创建邮件用户帐户来运行隐蔽的网络钓鱼活动或其他红队活动。

🔎为什么 Secure Mail 服务对红队运营很重要

电子邮件仍然是社交工程、凭据收集和网络钓鱼
的最有效载体之一。为了确保此类活动的成功，必须：
– 通过从经过验证的域发送电子邮件来建立可信度
。

避免
被电子邮件安全系统（例如垃圾邮件过滤器、DMARC 验证）检测到。
通过保护基础设施来避免归因，从而维护 OPSEC
。

通过正确实施 SPF、DKIM 和 DMARC 记录并添加 OPSEC，您可以显著提高⬆电子邮件的送达率，同时⬇最大限度地降低暴露风险。

⚙️第 1 步：为 online-notifications.net 域设置 Zoho Mail

创建 Zoho 帐户
打开
Zoho Mail
并使用个人电子邮件注册帐户。

选择一个计划（Zoho 提供免费计划，但现在他们改变了政策，所以我将选择 15 天免费试用）。（注意：您可以使用其他邮件服务，例如
https://www.name.com
提供免费邮件服务）

选择一个计划（Zoho 提供免费计划，但现在他们改变了政策，所以我将选择 15 天免费试用）。（注
https://www.name.com
提供免费邮寄服务）

2. online-notifications.net 域与 Zoho 关联

添加 onlin-notificaions.net 域并继续

已添加域，我将进行域验证

Zoho 已识别出我的域由 Cloudflare 管理，并提供了以下 TXT 记录和值来验证域所有权。

因此，我将此 TXT 记录添加到 Cloudflare DNS 设置中并保存

单击 Add record（添加记录）

类型
：TXT.姓名
：@.值
：Zoho 提供的唯一验证字符串。

返回 Zoho 并单击验证 TXT 记录将其添加到 Cloud Flare 中后

3. 创建 Mail 用户帐户

验证并链接域后，我将创建一个管理员用户。

在下一页创建用户后，它会询问我是否需要更多电子邮件用户，我将单击继续设置组

在组设置中，我将单击继续 DNS 映射

🔧 第 2 步：在 Cloudflare 上添加 MX、SPF、DKIM 和 DMARC 记录

添加 MX、SPF 和 DKIM 记录
SPF （Sender Policy Framework）帮助邮件服务器验证我们的域是否有权发送电子邮件。
DKIM （DomainKeys Identified Mail）为我们的电子邮件添加了数字签名，从而提高了真实性。

创建管理员用户
后，我将继续将以下记录添加到 Cloudflare DNS 设置
中，就像前面的步骤一样。这一次，我将添加 MX
和 TXT
记录以及它们各自的主机、值和优先级。

然后将它们添加到 Cloudflare DNS 中，如下所示。

MX 提及 Zoho 邮件服务器

SPF 和 DKIM

然后点击 Verify all records on Zoho

点击验证后，您将获得以下验证（有时您需要等待几分钟，直到 DNS 更新设置）

单击“继续电子邮件迁移”，然后单击“继续移动”，最后单击“继续设置完成”。请务必保存提供的 SMTP 值，因为稍后在 GoPhish 中配置邮件时将需要这些值。

之后，将使用我在 Zoho 注册过程中使用的相同密码创建 [email protected] 用户。

2. 添加 DMARC 记录
– DMARC（基于域的邮件身份验证、报告和一致性）指定接收邮件服务器应如何处理 SPF/DKIM 故障。在使用 DMARC 之前，请确保您已设置 DKIM 和 SPF。

将 TXT 记录添加到您的域：type：
TXT 和 Name：
_dmarc 和 Value：
v=DMARC1;p=无

我们选择了具有“无”
策略的 DMARC 版本 1，确保不采取任何行动，电子邮件送达不受影响。

DMARK 策略选项
– none
：监控模式。不会对未通过 DMARC 检查的电子邮件采取任何措施。这通常在设置 DMARC 以监控电子邮件流量和收集报告而不影响送达时使用。

quarantine
：建议未通过 DMARC 检查的电子邮件应标记为可疑并移动到 spam/junk 文件夹。
reject
：指示电子邮件接收者拒绝未通过 DMARC 检查的电子邮件（不会发送）。

🔒 第 3 步：实施 OPSEC 措施来绕过邮件安全网关

通过 mail-tester 服务测试电子邮件安全配置分数
我们将提供 Mail-Tester 服务，它不仅可以识别问题，还可以提供可操作的建议，以提高您的电子邮件送达率并避免垃圾邮件过滤器。

Mail-Tester.com
通过检查以下内容来评估电子邮件的送达率：
– 电子邮件身份验证：
验证 SPF、DKIM 和 DMARC 记录以确保正确身份验证。

垃圾邮件内容：
分析垃圾语言或格式。
黑名单状态：
检查您的域或 IP 是否在垃圾邮件黑名单中。
HTML/文本平衡：
确保 HTML 与纯文本的比例正确。
损坏的链接/图像：
验证所有链接和图像是否正常工作。
嵌入图像：
确认映像已正确托管。
服务器配置：
检查反向 DNS、HELO 和电子邮件标头。
IP 信誉：
评估发送 IP 的声誉。
HTML 质量：
确保您的电子邮件 HTML 代码干净且结构良好。
电子邮件大小：
验证电子邮件是否过大。
DNS 记录：
确保您的域已正确配置 DNS 记录。

访问
https://www.mail-tester.com/
。该网站将提供一个电子邮件地址来发送测试消息。

从您的邮件帐户发送电子邮件。在此示例中，我将从发送一条空消息。为此，我将通过控制面板使用 Zoho Mail，或通过 https://mail.zoho.sa/zm/ 直接访问它。[email protected]

发送电子邮件后，返回 Mail Tester 站点并单击 “Check your score”（检查您的分数）。

以下是检查结果：

2. 通过签名收集技术提高电子邮件可信度

为了提高电子邮件的可信度，建议使用来自客户
的电子邮件中的一些签名
。一些获取签名的方法如下：
– 向不存在的地址
发送电子邮件，并检查响应是否有任何签名。

搜索
[email protected]
或
[email protected]
或
[email protected]
等公共电子邮件
，然后向他们发送电子邮件
并等待回复。
尝试联系
一些有效的发现电子邮件并等待回复

3. 其他绕过邮件安全网关的 OPSEC
– 通过向 [email protected]
发送电子邮件
并阅读响应来检查您的电子邮件配置

您还可以将邮件发送到
您控制的 Gmail，并在 Gmail 收件箱中检查电子邮件的标头
dkim=pass
如果发送垃圾邮件，则从
Spamhouse 黑名单
中删除 https://book.hacktricks.xyz/generic-methodologies-and-resources/www.mail-tester.com
并从 Microsoft 黑名单
中删除
https://sender.office.com/
在此处检查域：
https://malwareworld.com/
通过随着时间的推移向多个受信任的收件人发送良性电子邮件
来预热域，如果进入垃圾邮件，则将其标记为非垃圾邮件。
定制内容
：避免在电子邮件主题和正文中使用可疑关键字，并尽可能为目标提供个性化电子邮件（例如，包含目标的名称或角色）。
依恋技术;使用受密码保护的 ZIP 文件，其中包含电子邮件中包含的密码，或者
使用逃避检测的不太常见的文件扩展名（例如，.iqy、.iso）。（在接下来的部分中将向您展示通过 zip 和 ISO 交付并绕过 MOTW）
域声誉：
定期轮换域和用户帐户以避免被发现。
有效载荷交付：
在受信任的服务（例如 Google Drive、Dropbox）上托管恶意负载以避免怀疑。