使用php regex模式从spf记录中提取域子域 - 腾讯云开发者社区

文章/答案/技术大牛

发布

邮件路由配置缺陷与域名伪造攻击的防御研究

在多租户云邮件环境、第三方邮件安全网关及多阶段转发场景中，部分组织未能对所有出站路径统一配置SPF、DKIM记录，或在DMARC策略上采用过于宽松的监测模式，导致攻击者能够滥用合法发送基础设施，使钓鱼邮件在技术层面继承可信域的验证结果...标准的SPF、DKIM和DMARC工作流程假设邮件是从声明的域直接发送至接收方，或者经过明确的授权中继。然而，在实际的企业环境中，邮件往往经历多次跳转、重写和封装，这一过程破坏了原有的信任链。...当邮件从一个合法的第三方服务发出，该服务配置为使用客户域名作为From地址，但实际通过服务商自己的SMTP服务器发送。若客户域名未在SPF记录中包含该服务商的IP，且未配置DKIM，SPF检查将失败。...必须将SPF记录的结束机制从softfail或neutral升级为hardfail，明确拒绝任何未授权IP的发送请求。...特别要注意子域的策略配置，建议显式设置子域策略为reject，防止攻击者利用子域进行绕过。5.2 基于行为的异常检测与智能拦截传统的基于签名的过滤难以应对利用合法路由的钓鱼邮件。

631 0

开源情报收集：技术、自动化和可视化

好消息是公司倾向于在其域名注册记录中使用其名称的一种变体，因此如果从 WHOIS 记录中提取一个名称，则该名称是反向 WHOIS 搜索的安全选择。...此外，从 crt.sh 或 censys.io 提取的 TLS 证书通常会显示这些服务尚未看到或记录的其他新子域。具体来说，可以从证书的备用名称中提取子域。...退休的子域和那些来来去去的子域（比如那些可能指向上升和下降的云资产的子域）仍然很有用，但稍后会详细介绍。 DNS 记录都有不同的用途。A 记录提供 IP 地址，其他记录提供一些有趣的情境信息。...但是，在发现电子邮件地址的同时从 LinkedIn 和 Twitter 获取一些潜在客户并不难。这些可以使用许多与电子邮件地址相同的技巧从搜索引擎结果中抓取。...他们还喜欢使用经常从他们的魔兽争霸和星际争霸传说中提取的代号。

3.3K1 0

您找到你想要的搜索结果了吗？

是的

没有找到

DNS 记录简介

ISP 的 DNS 解析器从域的域名服务器中读取区域文件。区域文件展示了域与哪个 IP 地址一起使用。...有关如何使用 AXFR 将 Linode 的域名服务器配置为从 DNS 服务器的示例，请参阅我们的指南：在cPanel中配置DNS。...您还可以为任何子域设置不同的域名服务器。子域 NS 记录在主域的区域文件中配置。...SPF SPF 记录或称发送方政策框架记录（Sender Policy Framework record），列出了域或子域所指定的邮件服务器。...您的 SPF 记录将具有域或子域，类型（如果您的域名服务器支持，可选 TXT 或 SPF）和文本（以“v = spf1”开头，并包含 SPF 记录设置）。

8.5K7 4

企业邮件安全防护实践

（2）记录类型：选择TXT; 主机记录：一般是指子域名的前缀（如需为子域名为 mail.dns-example.com 添加 TXT 记录，主机记录输入mail；如需为dns-example.com添加...“v=spf1 a mx ~all”，表示只有这个域名的 A 记录和 MX 记录中的 IP 地址有权限使用这个域名发送邮件。...2、发件服务器使用私钥对所有外发的邮件中添加加密标头。 3、收件方电子邮件服务器从DNS记录中获取公钥，并使用此公钥解密邮件标头，来验证邮件来源。其工作原理及流程如下图： ?...向网域的 DNS 记录添加公钥。电子邮件服务器可使用此密钥读取邮件 DKIM 标头。开启 DKIM 签名功能以开始将 DKIM 签名添加到所有外发邮件中。...接受 DKIM 邮件标头中 d=domain 的任何有效子网域。 aspf 可选设置 SPF 匹配模式 (ASPF)。该模式会指定邮件信息与 SPF 签名应有的匹配程度。s：严格。

4.4K2 0

邮箱安全第10期 | DMARC-识别并拦截钓鱼邮件

确保使用SPF或DKIM验证每个消息是一项复杂的任务，特别是考虑到这些环境处于永久状态。...DMARC旨在通过增加对以下方面的支持来取代ADSP：通配符或子域策略，不存在的子域，缓慢推出（例如百分比实验） SPF 隔离邮件 03 DNS中的DMARC资源记录 DMARC策略作为文本（TXT...）资源记录（RR）发布在DNS中，并通告电子邮件接收方应该如何处理收到的不对齐邮件。...DMARC记录遵循DKIM中定义的基于DNS的密钥记录的可扩展“标签值”语法。...p=quarantine sp OD子域策略 sp=reject adkim DKIM队列模式 adkim=s aspf SPF队列模式 aspf=r注：这个图表中的例子仅供说明 DMARC的设计基于全球最大的部署

2.7K7 1

SPF、DKIM与DMARC：电子邮件认证技术详解与优化

优化建议：SPF记录格式示例：在DNS中，SPF记录以TXT类型存在。...p=reject：主域策略（拒绝未通过邮件）。rua=mailto:...：聚合报告接收邮箱。ruf=mailto:...：取证报告接收邮箱。sp=reject：子域策略（同主域）。...adkim=s：DKIM对齐模式（严格）。aspf=s：SPF对齐模式（严格）。工作流程：接收方先检查SPF和DKIM结果：若两者均通过，邮件接受。...部署优化：分阶段实施：从p=none开始监控，收集报告后调整配置，逐步过渡到p=reject。使用分析工具：如dmarcian或Valimail解析报告，优化策略。..._spf.example.com动态验证。DKIM验证失败：时间偏差：确保发送和接收系统时钟同步（使用NTP协议）。邮件头字段缺失：在h=中包含所有必要字段（如From, To）。

1.5K1 0

更新｜现已支持 SPF 记录

域名所有者通过在DNS中发布SPF记录来授权合法使用该域名发送邮件的IP地址。...当在DNS中定义了域名的SPF记录后，为了确认邮件声称发件人不是伪造的，邮件接收方首先检查邮件域名的SPF记录，来确定发件人的IP地址是否被包含在SPF记录中，若包含，则认为是一封正确的邮件，否则认为是一封伪造的邮件并退回...以腾讯企业邮为例，记录值为： v=spf1 include:spf.mail.qq.com ~all 点此查看腾讯企业邮详细配置前往 DNSPod 立即使用 TXT 记录——升级！...在没有 CAA 记录的情况下，所有 CA 均可为该域名颁发证书。当然如果存在 CAA 记录，CA 必须遵守规则，只能是在记录列表中的 CA 才被允许。 CAA记录可以为整个域或特定主机名设置策略。...CAA 记录也被子域继承，因此 CAA 记录集 example.com 也将适用于任何子域，例如 subdomain.example.com（除非被覆盖）。

2.7K3 0

在Debian 8上使用Postfix配置SPF和DKIM

您可以使用，a如果您想阻止备份邮件服务器发送外发邮件，或者您想要识别您自己的邮件服务器以外的主机可以从您的域发送邮件（例如，将您的ISP的外发邮件服务器放在列表中，以便当你不得不通过它们发送邮件时，它们会得到认可...- 第一部分是使用密钥的域名。 - 第二部分是在DNS中查找关键记录时使用的选择器。 - 第三部分命名包含域签名密钥的文件。注意DKIM查找的流程从发件人的地址开始。...扫描签名表，直到找到其模式（第一项）与地址匹配的条目。然后，第二个项的值用于定位将使用其密钥信息的密钥表中的条目。对于传入邮件，域和选择器然后用于在DNS中查找公钥TXT记录，并且该公钥用于验证签名。...设置DNS 与SPF一样，DKIM使用TXT记录来保存有关每个域的签名密钥的信息。如上所述使用YYYYMM，您需要为YYYYMM._domainkey您处理邮件的每个域为主机创建TXT记录。...可用选项包括： r 轻松对齐模式，DKIM身份验证不太严格执行。 s严格的对齐模式。只有与根域的DKIM条目完全匹配才会被视为已验证。 aspf确定SPF验证的对齐模式。它采用相同的论点adkim。

5.8K0 0

电子邮件伪造

SPF 记录是域名系统（DNS）中的一种记录类型，用于指定哪些邮件服务器有权发送特定域名（或子域名）的电子邮件。...SPF 的工作原理如下：发送邮件：当某人发送一封电子邮件时，邮件会从发送方的邮件服务器发出。接收邮件：接收方邮件服务器收到邮件后，会检查邮件的 SPF 记录。...例如，一个典型的 SPF 记录可能如下所示： v=spf1 ip4:192.0.2.0/24 include:_spf.example.com -all 在这个示例中，SPF 记录指定了一个 IP...验证机制：通过与 SPF 和 DKIM 结合使用，DMARC 允许域所有者验证发件人域名的身份。它要求邮件服务器在处理邮件时检查发送方的域名，并验证其是否符合 SPF 和 DKIM 的要求。...通过使用大量已标记的垃圾邮件和非垃圾邮件样本进行训练，机器学习模型可以学习识别垃圾邮件的模式和特征，并在未知邮件上进行分类。

2.7K0 1

披着“可信外衣”的钓鱼陷阱：HubSpot平台如何被黑客变成企业邮箱的“特洛伊木马”？

“整个过程完全在HubSpot平台内完成，无需外部C2服务器介入初期阶段，”芦笛指出，“这意味着邮件内容、链接、甚至表单提交行为，全部发生在hubspot.net的子域下——这对基于域名信誉的传统过滤机制几乎是...SPF：验证“谁有权发信”SPF记录由域名所有者发布在DNS中，声明哪些IP地址被授权代表该域名发送邮件。...例如，hubspotemail.net的SPF记录可能包含：v=spf1 include:spf.hubspot.com -all这意味着任何来自HubSpot官方IP段的邮件，都会被SPF验证为“通过...而邮件安全网关在扫描原始邮件时，仅看到一个指向HubSpot子域的链接，无法预知后续的JS行为。“这就是‘动态恶意性’的典型体现，”芦笛强调，“静态分析只能看到URL，看不到执行后的危害。...芦笛团队开发的原型系统会提取邮件中的动词-宾语对（如“verify invoice”、“update payment”），并与企业历史正常邮件语料库比对，计算异常得分。3.

1451 0

基于DNS配置缺陷的内部域名钓鱼攻击机理与防御体系研究

3.2 场景二：利用SPF记录缺陷伪造内部发件人攻击前提：example-corp.com的SPF记录为v=spf1 include:spf.protection.outlook.com ~all，使用了软失败...SPF记录分析与利用逻辑：SPF验证的核心在于比对发送IP是否在授权列表中。当策略为~all时，语义是“不在列表中的IP可能是合法的，但存疑”。这种模糊性被攻击者充分利用。...绕过检测：接收方检查DMARC时，发现主域名策略严格，但针对子域名newsletter，由于DNS中可能存在特定的DMARC记录（或默认行为），验证可能通过（因为攻击者完全控制该子域名的SPF/DKIM...SPF的10次DNS查找限制限制了复杂架构的表达；DKIM的密钥轮换和管理需要精细的流程；DMARC的聚合报告（Aggregate Reports）数据量巨大，缺乏有效的自动化工具进行分析，导致企业难以从报告中提取...SPF优化：精简SPF记录，移除不必要的include，合并IP段，确保不超过10次查找限制。对于不再使用的服务，立即移除对应条目。最终目标是将机制从~all升级为-all。

621 0

复杂邮件路由场景下域名伪造钓鱼的成因与系统性防御研究

此类攻击通过操控未被SPF记录授权的中继节点、滥用第三方邮件网关或利用宽松的DMARC策略，使恶意邮件在技术层面呈现“内部来源”特征，从而绕过传统基于发件人域的身份验证机制。...检查：比对最后一跳IP（203.0.113.50）是否在SPF记录中 → 通过；DKIM检查：无签名 → fail；DMARC评估：因p=none，即使SPF/DKIM失败也不执行拦截；内部标记：因发件域与收件域相同...这种碎片化导致SPF记录无法完整覆盖所有合法发送源。3.2 DMARC策略的保守性出于对误拦截业务邮件的担忧，超60%的企业将DMARC策略长期维持在p=none模式（据2025年Agari报告）。...首先，故意将Exchange Server从SPF记录中移除，并设置DMARC p=none。随后，从攻击者服务器发送伪造邮件。...在为期一个月的测试中，系统成功拦截全部127次模拟攻击，误报率低于0.1%（仅因测试邮件使用临时IP触发）。

1481 0

在Ubuntu上安装开源邮件服务器-iRedmail

请务必root使用sudo前缀执行以下步骤。有关权限的更多信息，请参阅我们的用户和组指南。 MX记录 DNS MX记录告诉互联网在哪里发送针对您域的电子邮件。...在您的Linode可以接收域中地址的电子邮件之前，必须为该域创建MX记录，指向您的Linode的IP地址。可以在Linode DNS记录简介页面上找到示例MX记录。...，请运行以下命令： SPF，DKIM和rDNS 本节介绍在DNS条目中插入SPF和DKIM记录。...SPF记录允许我们指定从我们的域向特定IP地址发送邮件的权限。...SPF 导航到您的DNS提供商，无论您在哪里购买了域名，或者如果您已经转移了DNS，请导航到Linode，并在子域区域中输入以下信息以激活SPF。

9.1K2 0

滥用Google Cloud官方域名的高级网络钓鱼攻击分析与防御

值得注意的是，整个攻击链中，邮件本身由Google Cloud服务器发出，SPF记录验证通过（因IP属于Google授权范围）；DKIM签名由Google服务器添加，验证有效；DMARC策略因对齐成功亦判定为合规...SPF通过DNS TXT记录声明哪些IP地址有权代表某域名发送邮件；DKIM使用非对称加密为邮件头和部分正文生成数字签名；DMARC则规定当SPF或DKIM验证失败时应采取的策略（如隔离或拒绝），并要求...此案例凸显了“信任传递”漏洞：一旦高信誉域名被滥用，其所有子域及关联服务（如GCS、Firebase Hosting、Google Sites等）均可能成为攻击载体。...该代理监听SMTP流量或从邮件队列中拉取新邮件，执行以下流程：验证SPF/DKIM/DMARC状态；若全部通过，则提取邮件正文中的所有URL；对每个URL，调用重定向检测函数；若发现可疑重定向，则启动页面相似度分析...同时，推动云服务商加强对其自动化服务的滥用监控，例如限制Application Integration中“Send Email”动作的发件人域名仿冒能力，亦是从源头遏制此类攻击的关键路径。

2221 0

神兵利器 - 域分析器(自动发现域信息)

示例域分析器获取域名并查找有关其的信息，例如DNS服务器，邮件服务器，IP地址，Google上的邮件，SPF信息等。...它使用nmap进行主动主机检测，端口扫描和版本信息（包括nmap脚本）。它搜索SPF记录信息以查找新的主机名或IP地址。它搜索反向DNS名称，并将其与主机名进行比较。...它会自动检测和分析子域！它搜索域电子邮件。它检查DNS服务器中192个最常用的主机名。它检查每个DNS服务器上的区域传输。它找到每个IP地址的/ 24网络范围的反向名称。...它使用我们的crawler.py工具抓取每个Web服务器页面。请参阅下面的说明。它根据主机名过滤掉主机名。它伪随机地搜索Google中的N个域并自动对其进行分析！...如果发现某些区域转移，请从Robtex使用它们来检索更多域！

2.2K1 0

如何使用Photon高效率提取网站数据

数据提取默认情况下，Photon在抓取时会提取以下数据：网址（范围内和范围外的）带参数的网址（example.com/gallery.php?...Ninja模式在Ninja模式中，3个在线服务器用于代表你向目标发出请求。...，默认深度为2，使用示例： python photon.py -u "http://example.com" -l 3 通过该选项，用户可以设置抓取的递归限制，例如，深度为2意思是Photon会从主页和子页...自定义正则表达式模式选项 -r 或 –regex，使用示例： python photon.py -u "http://example.com" --regex "\d{10}" 通过使用此选项指定正则表达式模式...目前不支持目标是子域。

2K2 0

基于邮件安全机制阻断NPM生态钓鱼攻击的实证分析

研究指出，即便攻击邮件通过SPF、DKIM与DMARC等传统验证机制，结合RDAP域情报、品牌仿冒识别、URL动态沙箱及行为渲染检测等多层技术仍可实现早期拦截。...在此基础上，本文提出从开发者平台安全策略、组织内部流程控制到生态系统治理三个层面的纵深防御建议，并辅以可落地的技术实现示例，包括FIDO2强制认证逻辑、CI/CD流水线签名验证脚本及SBOM生成集成方案...3.1 SPF/DKIM/DMARC 的局限性攻击者为其域名npmjs.help正确配置了SPF记录（允许特定IP发送邮件）、DKIM签名（使用私钥对邮件头签名）及DMARC策略（p=none，仅监控）...其核心机制如下：4.1 RDAP 域情报分析BEP查询npmjs.help的RDAP（Registration Data Access Protocol）记录，发现：注册时间：2025-08-28（距攻击仅...当检测到邮件发件域包含这些词但顶级域非.org时，触发仿冒警报。机器学习模型进一步分析邮件正文与模板相似度，确认其与NPM官方通知高度一致，判定为“高置信度仿冒”。

3201 0

子域名枚举&收集

be present across different domains/applications of the same organization 通常，相同的漏洞往往存在于同一组织的不同域/应用程序中...枚举脚本：https://github.com/0xbharath/censys-enumeration 2.1.2.3 massdns - 提取唯一的可解析子域 https://github.com/...blechschmidt/massdns Massdns 是一个极快的 DNS 解析器，可以在更短的时间内解析大量域名 Massdns 可以与从 CT 日志中提取子域的脚本结合使用，以快速识别唯一的可解析域名...CNAME 记录可用于将一个名称别名为另一个名称。CNAME 记录将具有主机名的值。有时，CNAME 会显示组织的子域或显示有关在域上运行的服务类型的信息。 ?...3.5.2 SPF记录参考：OSINT Through Sender Policy Framework (SPF) Records | Rapid7 Blog 3.6 HTTP 标头下的子域枚举很少有安全头暴露子域名信息

5.6K2 0

内部伪装型钓鱼邮件的攻击机制与防御体系构建

合法账号滥用：通过凭证窃取或会话劫持获得内部账号控制权，直接从企业邮箱发送钓鱼邮件，完全绕过认证检查。...子域或拼写错误域：注册形似主域的域名（如company-support.com vs company.com），配合DMARC策略缺失，实现近似合法发送。...发送方式：A组：外部Gmail账号，仅修改显示名（如“李敏 HR”）B组：通过未配置DMARC的测试子域（test.company-demo.com）发送C组：使用已授权但无SPF记录的第三方邮件服务检测环境...365Proofpoint Email Protection自建Postfix + SpamAssassin网关4.2 结果分析发送方式平均送达率被标记为垃圾邮件比例员工点击率（模拟）A组（显示名欺骗）92%8%68%B组（子域发送...5.2 邮件内容语义异常检测层部署微调后的Transformer模型，识别内部邮件中的异常语义模式：from transformers import AutoTokenizer, AutoModelForSequenceClassificationmodel

2541 0

红队测试之邮箱打点

（2）通过扫描子域名的的方式找到邮件入口这里扫描子域名的工具有很多，如Sublist3r、TeeMO、LangSrcCurise、挖掘机等不一一举例。...另外邮箱用户名与密码往往还会使用公司简称+2019，2020等社工口令，多一个字典就多一份成功率。钓鱼 01 邮箱伪造一般情况下没有SPF可以直接用swaks伪造。...这里简单讲一下spf和dkim 。 SPF: 可以大致理解它的作用是确认邮件的ip地址到底是不是在它域名的spf记录里面，如果在的话，就说明一封正确的邮件，不是的话就会被丢弃。...在有SPF的情况下，就需要绕过SPF,可以使用swaks+smtp2go，需要借助到邮件托管平台来绕过SPF监测。 SMTP2GO的配置：需要建立账户和验证域名。...5）构造DDE钓鱼文档创建一个文档,之后双击打开 dde.docx,直接Ctrl + f9快捷键便可以快速帮助创建一个域,我们则只需要在花括号中添加如下指令(弹出一个计算器),实战过程中可以远程加载我们的木马

1.3K2 0

点击加载更多

邮件路由配置缺陷与域名伪造攻击的防御研究

开源情报收集：技术、自动化和可视化

DNS 记录简介

企业邮件安全防护实践

邮箱安全第10期 | DMARC-识别并拦截钓鱼邮件

SPF、DKIM与DMARC：电子邮件认证技术详解与优化

更新｜现已支持 SPF 记录

在Debian 8上使用Postfix配置SPF和DKIM

电子邮件伪造

披着“可信外衣”的钓鱼陷阱：HubSpot平台如何被黑客变成企业邮箱的“特洛伊木马”？

基于DNS配置缺陷的内部域名钓鱼攻击机理与防御体系研究

复杂邮件路由场景下域名伪造钓鱼的成因与系统性防御研究

在Ubuntu上安装开源邮件服务器-iRedmail

滥用Google Cloud官方域名的高级网络钓鱼攻击分析与防御

神兵利器 - 域分析器(自动发现域信息)

如何使用Photon高效率提取网站数据

基于邮件安全机制阻断NPM生态钓鱼攻击的实证分析

子域名枚举&收集

内部伪装型钓鱼邮件的攻击机制与防御体系构建

红队测试之邮箱打点

相关资讯

热门标签

活动推荐

运营活动

社区

活动

圈层

关于

腾讯云开发者

热门产品

热门推荐

更多推荐