走出科学第一期:消失的毕业证——SMTP的小漏洞

一般配置了spf和dmarc为reject的话,是进不来的。起码发件人的ip就过不了spf的检测。

一般的话会检查发件人的域名与实际发送服务器的匹配情况、检查SPF记录等

你说的情况,应该是这里的sender字符串和smtp_obj.login(smtp_username, smtp_password)里的username不匹配,因此无法通过发件方的验证

然而这种方法,这里的信息都是匹配的

另一个例证就是Cloudflare的电子邮件路由功能,它会把整个邮件体转发到目标邮件,包括原始的MIME头。

image

这里怎么都是大佬啊

美女,我发现了真相,这个其实是合法的,他这个名字相当于用户名就是可以随便改,但是你真实的发件邮箱不会变

是这样。点开就可以看到真实的发件人

来看真相

快来看真相

1 Like

原来还有黑化的空间吗

看学校的安全网关策略了

这个它是符合规范的,因为from to本来就是可以随便改

DMARC会检测from是否与SPF 或 DKIM记录中相同,让我惊讶的是outlook竟然不会检测这个:thinking:,毕竟是经典的网络钓鱼手段

这里的from是指这个,大家都在自定义

:star_struck::star_struck:

怎么样,我说的对吗?

会显示有xx代发

理论上那些 Sender 检查可以通过本地自建邮局然后用 22 端口代发就不会有问题了(
代价是可能会被塞到垃圾箱