spf邮箱伪造漏洞
漏洞原理
spf记录配置不当。软拒绝会导致被伪造
详细可看别人的博客:https://www.cnblogs.com/wkzb/p/15401932.html
漏洞验证
dig -t txt 域名
如果是~all则可能存在漏洞,如果是-all则没漏洞
swaks --body "测试内容" --header "Subject:测试标题" -t 你的邮箱 -f test@域名
漏洞利用
可以用于伪造钓鱼邮箱,别人看到是企业域名更容易放松警惕
听说众测会收这种漏洞
修复建议
配置spf记录,将软拒绝改成硬拒绝
参考文章
https://www.bilibili.com/video/BV1Ru4m1u7tn
https://www.cnblogs.com/wkzb/p/15401932.html