</details>

## Вразливість SMTP Smuggling

Вразливість SMTP Smuggling дозволяє обійти всі захисти SMTP (див. наступний розділ для отримання додаткової інформації про захист). Для отримання додаткової інформації про SMTP Smuggling перегляньте:

<div data-gb-custom-block data-tag="content-ref" data-url='smtp-smuggling.md'>

[smtp-smuggling.md](smtp-smuggling.md)

</div>

## Протидія підробці пошти

Організації запобігають надсиланню несанкціонованих електронних листів від їх імені, використовуючи **SPF**, **DKIM** та **DMARC** через легкість підробки повідомлень SMTP.

**Повний посібник з цих заходів протидії** доступний за посиланням [https://seanthegeek.net/459/demystifying-dmarc/](https://seanthegeek.net/459/demystifying-dmarc/).

### SPF

<div data-gb-custom-block data-tag="hint" data-style='danger'>

SPF [був "застарілий" у 2014 році](https://aws.amazon.com/premiumsupport/knowledge-center/route53-spf-record/). Це означає, що замість створення **запису TXT** в `_spf.domain.com` ви створюєте його в `domain.com` з **таким самим синтаксисом**.\
Крім того, для повторного використання попередніх записів SPF досить часто зустрічається щось на зразок `"v=spf1 include:_spf.google.com ~all"`

</div>

**Sender Policy Framework** (SPF) - це механізм, який дозволяє агентам передачі пошти (MTA) перевіряти, чи авторизований хост надсилає електронний лист, запитуючи список авторизованих поштових серверів, визначених організаціями. Цей список, який включає різні "**Механізми**" у записі SPF, вказує IP-адреси/діапазони, домени та інші сутності, **які мають дозвіл на надсилання електронної пошти від імені доменного імені**.

#### Механізми

З [Вікіпедії](https://en.wikipedia.org/wiki/Sender\_Policy\_Framework):

| Механізм | Опис                                                                                                                                                                                                                                                                                                                         |
| --------- | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |
| ALL       | Завжди відповідає; використовується для результату за замовчуванням, наприклад, `-all` для всіх IP-адрес, які не відповідають попереднім механізмам.                                                                                                                                                                                                                                  |
| A         | Якщо домен має запис адреси (A або AAAA), який може бути розгорнутий на адресу відправника, він відповідає.                                                                                                                                                                                                                   |
| IP4       | Якщо відправник знаходиться в заданому діапазоні IPv4-адрес, відповідність.                                                                                                                                                                                                                                                                              |
| IP6       | Якщо відправник знаходиться в заданому діапазоні IPv6-адрес, відповідність.                                                                                                                                                                                                                                                                              |
| MX        | Якщо у домена є запис MX, який розгортається на адресу відправника, він відповідає (тобто пошта надходить від одного з поштових серверів вхідної пошти домена).                                                                                                                                                                          |
| PTR       | Якщо доменне ім'я (запис PTR) для адреси клієнта знаходиться в заданому домені, і це доменне ім'я розгортається на адресу клієнта (перевірка оберненого DNS), відповідність. Цей механізм не рекомендується і його слід уникати, якщо це можливо.                                                                                     |
| EXISTS    | Якщо задане доменне ім'я розгортається на будь-яку адресу, відповідність (незалежно від адреси, на яку воно розгортається). Це рідко використовується. Разом з мовою SPF-макро вона пропонує більш складні відповідності, наприклад, запити DNSBL.                                                                                                                           |
| INCLUDE   | Посилається на політику іншого домену. Якщо політика цього домену пройде, цей механізм пройде. Однак якщо включена політика не пройде, обробка продовжується. Для повного делегування політики іншому домену слід використовувати розширення перенаправлення.                                                                                     |
| REDIRECT  | <p>Перенаправлення - це вказівник на інше доменне ім'я, яке містить політику SPF, це дозволяє кільком доменам використовувати однакову політику SPF. Це корисно при роботі з великою кількістю доменів, які використовують одну і ту ж інфраструктуру електронної пошти.</p><p>Політика SPF вказаного в механізмі перенаправлення домену буде використана.</p> |

Також можна визначити **Кваліфікатори**, які вказують **що робити, якщо механізм відповідає**. За замовчуванням використовується **кваліфікатор "+"** (таким чином, якщо будь-який механізм відповідає, це означає, що він дозволений).\
Зазвичай ви помітите **в кінці кожної політики SPF** щось на зразок: **\~all** або **-all**. Це вказує на те, що **якщо відправник не відповідає жодній політиці SPF, слід позначити електронний лист як ненадійний (\~) або відхилити (-) електронний лист.**

#### Кваліфікатори

Кожен механізм у політиці може передуватися одним з чотирьох кваліфікаторів для визначення призначеного результату:

* **`+`**: Відповідає результату PASS. За замовчуванням механізми припускають цей кваліфікатор, що робить `+mx` еквівалентним `mx`.
* **`?`**: Представляє результат NEUTRAL, що обробляється подібно до NONE (немає конкретної політики).
* **`~`**: Позначає SOFTFAIL, служить як проміжний варіант між NEUTRAL та FAIL. Електронні листи, які відповідають цьому результату, зазвичай приймаються, але позначаються відповідно.
* **`-`**: Вказує на FAIL, що вказує на те, що електронний лист слід відхилити.

У наступному прикладі показано **політику SPF для google.com**. Зверніть увагу на включення політик SPF з різних доменів у першу політику SPF:
```shell-session
dig txt google.com | grep spf
google.com.             235     IN      TXT     "v=spf1 include:_spf.google.com ~all"

dig txt _spf.google.com | grep spf
; <<>> DiG 9.11.3-1ubuntu1.7-Ubuntu <<>> txt _spf.google.com
;_spf.google.com.               IN      TXT
_spf.google.com.        235     IN      TXT     "v=spf1 include:_netblocks.google.com include:_netblocks2.google.com include:_netblocks3.google.com ~all"

dig txt _netblocks.google.com | grep spf
_netblocks.google.com.  1606    IN      TXT     "v=spf1 ip4:35.190.247.0/24 ip4:64.233.160.0/19 ip4:66.102.0.0/20 ip4:66.249.80.0/20 ip4:72.14.192.0/18 ip4:74.125.0.0/16 ip4:108.177.8.0/21 ip4:173.194.0.0/16 ip4:209.85.128.0/17 ip4:216.58.192.0/19 ip4:216.239.32.0/19 ~all"

dig txt _netblocks2.google.com | grep spf
_netblocks2.google.com. 1908    IN      TXT     "v=spf1 ip6:2001:4860:4000::/36 ip6:2404:6800:4000::/36 ip6:2607:f8b0:4000::/36 ip6:2800:3f0:4000::/36 ip6:2a00:1450:4000::/36 ip6:2c0f:fb50:4000::/36 ~all"

dig txt _netblocks3.google.com | grep spf
_netblocks3.google.com. 1903    IN      TXT     "v=spf1 ip4:172.217.0.0/19 ip4:172.217.32.0/20 ip4:172.217.128.0/19 ip4:172.217.160.0/20 ip4:172.217.192.0/19 ip4:172.253.56.0/21 ip4:172.253.112.0/20 ip4:108.177.96.0/19 ip4:35.191.0.0/16 ip4:130.211.0.0/22 ~all"

dig 20120113._domainkey.gmail.com TXT | grep p=
# This command would return something like:
20120113._domainkey.gmail.com. 280 IN   TXT    "k=rsa\; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA1Kd87/UeJjenpabgbFwh+eBCsSTrqmwIYYvywlbhbqoo2DymndFkbjOVIPIldNs/m40KF+yzMn1skyoxcTUGCQs8g3

# Reject
dig _dmarc.facebook.com txt | grep DMARC
_dmarc.facebook.com.	3600	IN	TXT	"v=DMARC1; p=reject; rua=mailto:a@dmarc.facebookmail.com; ruf=mailto:fb-dmarc@datafeeds.phishlabs.com; pct=100"

# Quarantine
dig _dmarc.google.com txt | grep DMARC
_dmarc.google.com.	300	IN	TXT	"v=DMARC1; p=quarantine; rua=mailto:mailauth-reports@google.com"

# None
dig _dmarc.bing.com txt | grep DMARC
_dmarc.bing.com.	3600	IN	TXT	"v=DMARC1; p=none; pct=100; rua=mailto:BingEmailDMARC@microsoft.com;"

mynetworks = 0.0.0.0/0

nmap -p25 --script smtp-open-relay 10.10.10.10 -v

# This will send a test email from test@victim.com to destination@gmail.com
python3 magicspoofmail.py -d victim.com -t -e destination@gmail.com
# But you can also modify more options of the email
python3 magicspoofmail.py -d victim.com -t -e destination@gmail.com --subject TEST --sender administrator@victim.com

-----BEGIN RSA PRIVATE KEY-----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-----END RSA PRIVATE KEY-----

sendmail.cf
submit.cf

Protocol_Name: SMTP    #Protocol Abbreviation if there is one.
Port_Number:  25,465,587     #Comma separated if there is more than one.
Protocol_Description: Simple Mail Transfer Protocol          #Protocol Abbreviation Spelled out

Entry_1:
Name: Notes
Description: Notes for SMTP
Note: |
SMTP (Simple Mail Transfer Protocol) is a TCP/IP protocol used in sending and receiving e-mail. However, since it is limited in its ability to queue messages at the receiving end, it is usually used with one of two other protocols, POP3 or IMAP, that let the user save messages in a server mailbox and download them periodically from the server.

https://book.hacktricks.xyz/pentesting/pentesting-smtp

Entry_2:
Name: Banner Grab
Description: Grab SMTP Banner
Command: nc -vn {IP} 25

Entry_3:
Name: SMTP Vuln Scan
Description: SMTP Vuln Scan With Nmap
Command: nmap --script=smtp-commands,smtp-enum-users,smtp-vuln-cve2010-4344,smtp-vuln-cve2011-1720,smtp-vuln-cve2011-1764 -p 25 {IP}

Entry_4:
Name: SMTP User Enum
Description: Enumerate uses with smtp-user-enum
Command: smtp-user-enum -M VRFY -U {Big_Userlist} -t {IP}

Entry_5:
Name: SMTPS Connect
Description: Attempt to connect to SMTPS two different ways
Command: openssl s_client -crlf -connect {IP}:465 &&&& openssl s_client -starttls smtp -crlf -connect {IP}:587

Entry_6:
Name: Find MX Servers
Description: Find MX servers of an organization
Command: dig +short mx {Domain_Name}

Entry_7:
Name: Hydra Brute Force
Description: Need Nothing
Command: hydra -P {Big_Passwordlist} {IP} smtp -V

Entry_8:
Name: consolesless mfs enumeration
Description: SMTP enumeration without the need to run msfconsole
Note: sourced from https://github.com/carlospolop/legion
Command: msfconsole -q -x 'use auxiliary/scanner/smtp/smtp_version; set RHOSTS {IP}; set RPORT 25; run; exit' && msfconsole -q -x 'use auxiliary/scanner/smtp/smtp_ntlm_domain; set RHOSTS {IP}; set RPORT 25; run; exit' && msfconsole -q -x 'use auxiliary/scanner/smtp/smtp_relay; set RHOSTS {IP}; set RPORT 25; run; exit'