Zdar,
v prvni rade radim nephishingovat, nemas-li k tomu povoleni (tedy je to v ramci napr. Red Teamingu, nebo SE kampane). Dle tvych dotazu soudim, ze nejsi uplne nejzkusenejsi phisher (nemysleno ve zlem) a tudiz te bude snadne najit. Uz jen veta "je vhodné použít smtp server který dostanu k doméně" naznačuje, že jde o legitimní hosting, který jsi nejspis zaplatil kartou/převodem/ nebo podobně.
Ted ta technicka stranka. Phishing zdaleka neni tak easy, jak si lidi mysli, nebo jak byval pred několika lety. Predne se dost zasadne zlepsily anti-spam filtery. Ja delal par phishing kampani nedavno a prekvapive je podstatne snazsi uspesne phishnout gmail, nez cokoli, co je hostovane na o365, filtry Microsoftu jsou pomerne prisne.
Aby jsi svoje sance co nejlepe pojistil, musis nastavit vsechny tyto atributy pro svou domenu:
SFP (Sender Framework Policy) - byla predstavena predevsim jako obrana proti phishingu, jelikoz zamezuje spoofingu odesilatele pro danou domenu. V kratkosti to funguje tak, ze legitimni vlastnik domeny zridi DNS TXT record, kde uvede IP adresy, ktere mohou posilat emaily pro tuto domenu. Mail server prijemce se musi kouknout, jestli byl email poslan z IP addresy, ktera je SFP povolena.
DKIM - opet primarne obrana proti phishingu, ktera umoznuje overit, ze domena emailu nebyla spoofnuta (tentokrat diky digi podpisu).
DMARC - opet dalsi validace, ktera primarne stavi na predchozich dvou mechanizmech.
Kdyz tyto atributy nenastavis, na phishing googlu, nebo o365 muzes rovnou zapomenout. Je ale fakt, ze google jde phishnout i s absenci DKIM. Prekvapive funguje i free verze send gridu, ktera ti dava k dispizici pomerne dost emailu i ve free rezimu. Navic implementace SFP a DMARC je se SendGridem opravdu snadna.
A ted jedna z nejdulezitejsich poznamek! Napsal jsi: "řekněme že využijeme nově registrovanou doménu a nově registrovaná smtp servery které ještě nenacházejí v žádném blacklistu"- V takovem pripade ti mohu temer s jistotou garantovat, ze tvuj phish mail neprojde. Protoze prave stari domeny je jedna z veci, kterou anti-spamy sleduji velice radi. Ono je prece podezrele, kdyz domena, ktera vcera neexistovala, najednou posila tisice emailu denne...
A prave proto je naprosto stezejni nechat svou phish domenu jednak pekne starnout a take ji zahrivat. V dnesni dobe antispamy nekontroluji jen stari domeny, ale i kolik emailu uz bylo pro konkretni DNS jmeno odeslano/doruceno. Opet je divne, kdyz nova (ale i stara) domena nikdy nic neposlala (resp. MS/Google mail server od ni nic nevidel) a najednou posila jeden za druhym.
Proto treba ja mam regnutych cca 50 domen, ktere pro tyhle ucely pouzivam, nektere z nich jsou uz skoro archivni :) Navic mi non-stop jedou scripty, ktere si mezi jednotlivymi domenami posilaji emaily (a nejen mezi sebou, ale take na me ucty u Google a MS), aby byly domeny radne zahrate. Pak se takovy antispam nebude divit, ze moje domena posila 100 mailu za den, kdyz uz z teto domeny videl 100 000+ emailu.
Ohledne stari, muzes trosku cheatovat a regnou si nejakou domenu z [link] kde se nachazeji expirovane domeny, ktere uz maji potrebne stari na phish. To ti ale nevyresi "zahrati" domeny a navic musis byt hodne opatrny na reputaci te ci one domeny. Doporucuji checknout ruzne blacklisty a podobne.
Taky se urcite nevyplati posilat co nejvic emailu po sobe, v duchu "at to mam co nejdrive za sebou". Naopak, delay mezi maily je zadouci. Ja pro jistotu do svych scriptu jeste pridavam nahodny casovy interval (opet je pro antispamy podezrele, kdyz z jedne domeny chodi email kazdych 10 vterin..)
Pak se vyhodnocuje spousta dalsich veci... obsahuje email HTML? Jestli ano, $probablySpam++; A takovych veci, na ktere musis davat pozor, jsou dalsi desitky...
Phishing rozhodne neni nic lehkoho, chces-li to delat tak, aby tve emaily dorazily a kampan ti nekrachla. Na uplny zaver zopakuji - nedelej to, nemas-li na to papir, jinak si rikas o pomerne solidni pruser.
Be safe,
Playa (odpovědět) |