</details>

## Atak na protokół SMTP

Podatność na atak SMTP Smuggling pozwala ominąć wszystkie zabezpieczenia SMTP (sprawdź następną sekcję, aby uzyskać więcej informacji na temat zabezpieczeń). Aby uzyskać więcej informacji na temat ataku SMTP Smuggling, sprawdź:

<div data-gb-custom-block data-tag="content-ref" data-url='smtp-smuggling.md'>

[smtp-smuggling.md](smtp-smuggling.md)

</div>

## Przeciwdziałanie podszywaniu się pod adres e-mail

Organizacje są chronione przed nieautoryzowanym wysyłaniem e-maili w ich imieniu poprzez zastosowanie **SPF**, **DKIM** i **DMARC** ze względu na łatwość podszywania się pod wiadomości SMTP.

**Pełny przewodnik dotyczący tych środków zaradczych** jest dostępny pod adresem [https://seanthegeek.net/459/demystifying-dmarc/](https://seanthegeek.net/459/demystifying-dmarc/).

### SPF

<div data-gb-custom-block data-tag="hint" data-style='danger'>

SPF [zostało "przestarzałe" w 2014 roku](https://aws.amazon.com/premiumsupport/knowledge-center/route53-spf-record/). Oznacza to, że zamiast tworzyć rekord **TXT** w `_spf.domain.com`, należy go utworzyć w `domain.com` przy użyciu **tej samej składni**.\
Co więcej, aby ponownie wykorzystać poprzednie rekordy SPF, często można znaleźć coś w rodzaju `"v=spf1 include:_spf.google.com ~all"`

</div>

**Sender Policy Framework** (SPF) to mechanizm, który umożliwia agentom przesyłającym pocztę (MTA) zweryfikowanie, czy host wysyłający e-mail jest autoryzowany poprzez zapytanie listy autoryzowanych serwerów pocztowych zdefiniowanych przez organizacje. Ta lista, która określa adresy IP/zakresy, domeny i inne jednostki **upoważnione do wysyłania e-maili w imieniu nazwy domeny**, zawiera różne "**Mechanizmy**" w rekordzie SPF.

#### Mechanizmy

Z [Wikipedii](https://en.wikipedia.org/wiki/Sender\_Policy\_Framework):

| Mechanizm | Opis                                                                                                                                                                                                                                                                                                                         |
| --------- | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |
| ALL       | Zawsze pasuje; używane dla domyślnego wyniku, np. `-all` dla wszystkich adresów IP, które nie pasują do poprzednich mechanizmów.                                                                                                                                                                                                                                  |
| A         | Jeśli nazwa domeny ma rekord adresowy (A lub AAAA), który można przyporządkować do adresu nadawcy, to pasuje.                                                                                                                                                                                                                   |
| IP4       | Jeśli nadawca znajduje się w określonym zakresie adresów IPv4, pasuje.                                                                                                                                                                                                                                                                              |
| IP6       | Jeśli nadawca znajduje się w określonym zakresie adresów IPv6, pasuje.                                                                                                                                                                                                                                                                              |
| MX        | Jeśli nazwa domeny ma rekord MX rozwiązujący się do adresu nadawcy, to pasuje (czyli poczta pochodzi od jednego z serwerów poczty przychodzącej domeny).                                                                                                                                                                          |
| PTR       | Jeśli nazwa domeny (rekord PTR) dla adresu klienta znajduje się w danej domenie i ta nazwa domeny rozwiązuje się do adresu klienta (przekierowane potwierdzenie odwrotne DNS), pasuje. Ten mechanizm jest odradzany i należy go unikać, jeśli to możliwe.                                                                                     |
| EXISTS    | Jeśli podana nazwa domeny rozwiązuje się do jakiegokolwiek adresu, pasuje (bez znaczenia, jaki adres się rozwiązuje). Jest to rzadko używane. W połączeniu z językiem makr SPF oferuje bardziej złożone dopasowania, takie jak zapytania DNSBL.                                                                                                                           |
| INCLUDE   | Odwołuje się do polityki innej domeny. Jeśli polityka tej domeny przechodzi, to przechodzi ten mechanizm. Jednak jeśli polityka dołączonej domeny zawiedzie, przetwarzanie będzie kontynuowane. Aby w pełni przekazać politykę innej domeny, należy użyć rozszerzenia przekierowania.                                                                                     |
| REDIRECT  | <p>Przekierowanie to wskaźnik na inną nazwę domeny, która hostuje politykę SPF, umożliwiając wielu domenom współdzielenie tej samej polityki SPF. Jest to przydatne przy pracy z dużą liczbą domen, które współdzielą tę samą infrastrukturę e-mailową.</p><p>Polityka SPF wskazanej w mechanizmie przekierowania będzie używana.</p> |

Możliwe jest również zidentyfikowanie **Kwalifikatorów**, które wskazują **co należy zrobić, jeśli mechanizm zostanie dopasowany**. Domyślnie używany jest **kwalifikator "+"** (więc jeśli którykolwiek mechanizm zostanie dopasowany, oznacza to, że jest dozwolony).\
Zazwyczaj zauważysz **na końcu każdej polityki SPF** coś w rodzaju: **\~all** lub **-all**. Służy to do wskazania, że **jeśli nadawca nie pasuje do żadnej polityki SPF, należy oznaczyć e-mail jako niezaufany (\~) lub odrzucić (-) e-mail.**

#### Kwalifikatory

Każdy mechanizm w polityce może być poprzedzony jednym z czterech kwalifikatorów, aby zdefiniować zamierzony wynik:

* **`+`**: Odpowiada wynikowi PASS. Domyślnie mechanizmy zakładają ten kwalifikator, co czyni `+mx` równoważnym z `mx`.
* **`?`**: Oznacza wynik NEUTRAL, traktowany podobnie jak NONE (brak konkretnej polityki).
* **`~`**: Oznacza SOFTFAIL, stanowiąc złoty środek między NEUTRAL a FAIL. E-maile spełniające ten wynik są zazwyczaj akceptowane, ale oznaczone odpowiednio.
* **`-`**: Oznacza FAIL, sugerując, że e-mail powinien być całkowicie odrzucony.

W nadchodzącym przykładzie przedstawiona jest **polityka SPF dla google.com**. Zauważ włączenie polityk SPF z różnych domen w ramach pierwszej polityki SPF:
```shell-session
dig txt google.com | grep spf
google.com.             235     IN      TXT     "v=spf1 include:_spf.google.com ~all"

dig txt _spf.google.com | grep spf
; <<>> DiG 9.11.3-1ubuntu1.7-Ubuntu <<>> txt _spf.google.com
;_spf.google.com.               IN      TXT
_spf.google.com.        235     IN      TXT     "v=spf1 include:_netblocks.google.com include:_netblocks2.google.com include:_netblocks3.google.com ~all"

dig txt _netblocks.google.com | grep spf
_netblocks.google.com.  1606    IN      TXT     "v=spf1 ip4:35.190.247.0/24 ip4:64.233.160.0/19 ip4:66.102.0.0/20 ip4:66.249.80.0/20 ip4:72.14.192.0/18 ip4:74.125.0.0/16 ip4:108.177.8.0/21 ip4:173.194.0.0/16 ip4:209.85.128.0/17 ip4:216.58.192.0/19 ip4:216.239.32.0/19 ~all"

dig txt _netblocks2.google.com | grep spf
_netblocks2.google.com. 1908    IN      TXT     "v=spf1 ip6:2001:4860:4000::/36 ip6:2404:6800:4000::/36 ip6:2607:f8b0:4000::/36 ip6:2800:3f0:4000::/36 ip6:2a00:1450:4000::/36 ip6:2c0f:fb50:4000::/36 ~all"

dig txt _netblocks3.google.com | grep spf
_netblocks3.google.com. 1903    IN      TXT     "v=spf1 ip4:172.217.0.0/19 ip4:172.217.32.0/20 ip4:172.217.128.0/19 ip4:172.217.160.0/20 ip4:172.217.192.0/19 ip4:172.253.56.0/21 ip4:172.253.112.0/20 ip4:108.177.96.0/19 ip4:35.191.0.0/16 ip4:130.211.0.0/22 ~all"

dig 20120113._domainkey.gmail.com TXT | grep p=
# This command would return something like:
20120113._domainkey.gmail.com. 280 IN   TXT    "k=rsa\; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA1Kd87/UeJjenpabgbFwh+eBCsSTrqmwIYYvywlbhbqoo2DymndFkbjOVIPIldNs/m40KF+yzMn1skyoxcTUGCQs8g3

# Reject
dig _dmarc.facebook.com txt | grep DMARC
_dmarc.facebook.com.	3600	IN	TXT	"v=DMARC1; p=reject; rua=mailto:a@dmarc.facebookmail.com; ruf=mailto:fb-dmarc@datafeeds.phishlabs.com; pct=100"

# Quarantine
dig _dmarc.google.com txt | grep DMARC
_dmarc.google.com.	300	IN	TXT	"v=DMARC1; p=quarantine; rua=mailto:mailauth-reports@google.com"

# None
dig _dmarc.bing.com txt | grep DMARC
_dmarc.bing.com.	3600	IN	TXT	"v=DMARC1; p=none; pct=100; rua=mailto:BingEmailDMARC@microsoft.com;"

mynetworks = 0.0.0.0/0

nmap -p25 --script smtp-open-relay 10.10.10.10 -v

# This will send a test email from test@victim.com to destination@gmail.com
python3 magicspoofmail.py -d victim.com -t -e destination@gmail.com
# But you can also modify more options of the email
python3 magicspoofmail.py -d victim.com -t -e destination@gmail.com --subject TEST --sender administrator@victim.com

-----BEGIN RSA PRIVATE KEY-----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-----END RSA PRIVATE KEY-----

sendmail.cf
submit.cf

Protocol_Name: SMTP    #Protocol Abbreviation if there is one.
Port_Number:  25,465,587     #Comma separated if there is more than one.
Protocol_Description: Simple Mail Transfer Protocol          #Protocol Abbreviation Spelled out

Entry_1:
Name: Notes
Description: Notes for SMTP
Note: |
SMTP (Simple Mail Transfer Protocol) is a TCP/IP protocol used in sending and receiving e-mail. However, since it is limited in its ability to queue messages at the receiving end, it is usually used with one of two other protocols, POP3 or IMAP, that let the user save messages in a server mailbox and download them periodically from the server.

https://book.hacktricks.xyz/pentesting/pentesting-smtp

Entry_2:
Name: Banner Grab
Description: Grab SMTP Banner
Command: nc -vn {IP} 25

Entry_3:
Name: SMTP Vuln Scan
Description: SMTP Vuln Scan With Nmap
Command: nmap --script=smtp-commands,smtp-enum-users,smtp-vuln-cve2010-4344,smtp-vuln-cve2011-1720,smtp-vuln-cve2011-1764 -p 25 {IP}

Entry_4:
Name: SMTP User Enum
Description: Enumerate uses with smtp-user-enum
Command: smtp-user-enum -M VRFY -U {Big_Userlist} -t {IP}

Entry_5:
Name: SMTPS Connect
Description: Attempt to connect to SMTPS two different ways
Command: openssl s_client -crlf -connect {IP}:465 &&&& openssl s_client -starttls smtp -crlf -connect {IP}:587

Entry_6:
Name: Find MX Servers
Description: Find MX servers of an organization
Command: dig +short mx {Domain_Name}

Entry_7:
Name: Hydra Brute Force
Description: Need Nothing
Command: hydra -P {Big_Passwordlist} {IP} smtp -V

Entry_8:
Name: consolesless mfs enumeration
Description: SMTP enumeration without the need to run msfconsole
Note: sourced from https://github.com/carlospolop/legion
Command: msfconsole -q -x 'use auxiliary/scanner/smtp/smtp_version; set RHOSTS {IP}; set RPORT 25; run; exit' && msfconsole -q -x 'use auxiliary/scanner/smtp/smtp_ntlm_domain; set RHOSTS {IP}; set RPORT 25; run; exit' && msfconsole -q -x 'use auxiliary/scanner/smtp/smtp_relay; set RHOSTS {IP}; set RPORT 25; run; exit'