spf邮箱伪造漏洞
spf邮箱伪造漏洞
漏洞原理
spf记录配置不当。软拒绝会导致被伪造
详细可看别人的博客:https://www.cnblogs.com/wkzb/p/15401932.html
漏洞验证
dig -t txt 域名
如果是~all则可能存在漏洞,如果是-all则没漏洞
swaks --body "测试内容" --header "Subject:测试标题" -t 你的邮箱 -f test@域名
漏洞利用
可以用于伪造钓鱼邮箱,别人看到是企业域名更容易放松警惕
听说众测会收这种漏洞
修复建议
配置spf记录,将软拒绝改成硬拒绝
参考文章
https://www.bilibili.com/video/BV1Ru4m1u7tn
https://www.cnblogs.com/wkzb/p/15401932.html
【推荐】国内首个AI IDE,深度理解中文开发场景,立即下载体验Trae
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步
· 阿里最新开源QwQ-32B,效果媲美deepseek-r1满血版,部署成本又又又降低了!
· AI编程工具终极对决:字节Trae VS Cursor,谁才是开发者新宠?
· 开源Multi-agent AI智能体框架aevatar.ai,欢迎大家贡献代码
· Manus重磅发布:全球首款通用AI代理技术深度解析与实战指南
· 被坑几百块钱后,我竟然真的恢复了删除的微信聊天记录!