راه اندازی سرورهای واسط و انتقال‌دهنده ایمیل SMTP Forwarders / Relays

راه‌اندازی سرور Relay Mail Server

قرار است یک سرور ایمیل راه‌اندازی کنیم که در ادامه، به‌عنوان یک سرور SMTP relay مورد استفاده قرار خواهد گرفت. در اولین گام، یک droplet  (سرور مجازی) جدید با سیستم‌عامل Ubuntu در پلتفرم DigitalOcean ایجاد شد.

نصب Postfix به‌عنوان MTA روی droplet

apt-get install postfix

در طول نصب Postfix، دامنه‌ی nodspot.com را به‌عنوان نام ایمیل (mail name) تنظیم کردیم. پس از اتمام نصب، این تنظیم را می‌توان در این مسیر بررسی یا ویرایش کرد:

root@ubuntu-s-1vcpu-1gb-sfo2-01:~# cat /etc/mailname
nodspot.com

رکوردهای DNS

رکوردهای DNS مربوط به دامنه‌ی nodspot.com باید به‌صورت زیر به‌روزرسانی شوند:

آزمایش سرور ایمیل

پس از نصب Postfix و پیکربندی رکوردهای DNS، می‌توانیم با انجام مراحل زیر بررسی کنیم که آیا سرور ایمیل به‌درستی اجرا می‌شود یا خیر:

telnet mail.nodspot.com 25

در صورت موفقیت‌آمیز بودن، باید چیزی مشابه زیر را مشاهده کنید:

برای بررسی بیشتر عملکرد سرور ایمیل، می‌توانیم با ارسال یک ایمیل واقعی آن را آزمایش کنیم.

root@ubuntu-s-1vcpu-1gb-sfo2-01:~# sendmail mantvydo@gmail.com
yolo
,
.

پس از مدت کوتاهی، ایمیل به حساب جیمیل ارسال می‌شود.

…با هدرهای زیر که همگی مطابق انتظار هستند. توجه داشته باشید که در این مرحله، آدرس IP مبدأ که در هدرها مشاهده می‌شود، آدرس IP سرور من (Droplet) به شماره ۲۰۶٫۱۸۹٫۲۲۱٫۱۶۲ است.

Delivered-To: mantvydo@gmail.com
Received: by 2002:a81:1157:0:0:0:0:0 with SMTP id 84-v6csp5026946ywr;
        Tue, 2 Oct 2018 12:22:38 -0700 (PDT)
X-Google-Smtp-Source: ACcGV62oH69fwYnfV1zg+o+jbTpjQIzIzASmjoIsXbbfvdevE0LlkY32jflNS/acOtNBXiwzxYxP
X-Received: by 2002:a62:6547:: with SMTP id z68-v6mr17716388pfb.20.1538508158395;
        Tue, 02 Oct 2018 12:22:38 -0700 (PDT)
ARC-Seal: i=1; a=rsa-sha256; t=1538508158; cv=none;
        d=google.com; s=arc-20160816;
        b=FpEgLAICLn66cI+DDvpIsStUrReQ8fArcreT7FyS8SYcFQXFiK44HDcxwVHXCA8Xxb
         fUl+3HcerQEznHZMttZ4pZIMbN18pJS08wzuZdOlhGKAA2JSTkxGd+1PhJwDe1SFTYZc
         NoARSHL9opemJKg5YqZNjSTDSTfk/QqaCbq7mQL9LAwCKzanGSNR/R/28WymYrdRACOR
         GSmDCVvPaUaoemIP8+GwXkfU5Gkk49+F7t9Jbg23HKKq/YOhwF3ryeOEVfn74bhtZIkM
         QcUzWn5WSL0lIm0nbd2t7677/wcabOg0TCoZj1IHg+I7yLXE7+QZOYX1TguKu16oZeqt
         mTIA==
ARC-Message-Signature: i=1; a=rsa-sha256; c=relaxed/relaxed; d=google.com; s=arc-20160816;
        h=from:date:message-id;
        bh=VSFU9fKoMQMmtQzPFdmefDuA+phTpwZXd9k5xGRzwRs=;
        b=VZ2vHjhPUSs17PXAUDyjYzm0w5sdQYqFx7h9iirh/BF1krrl3MQg4QAgfeo0py9qZH
         Xf8/9HmNe1pIgxnZiiZJeVijXeSHCIB4XkG4HYFJY2m/gQ9oZ4JSMfX/Kiw/CXEmbt71
         YP5S7yQKQNkHw24XnP3WUeDDQ7XvENEfPIS+LlCVtQOPT8fM9TAWQReKz06idynolfhR
         ۷P73wH8igwPea7586wdhSOtDYCURSMKTNVb8yP2eEPNBlP2u2jUrFImG2D2/lke4O6Iu
         ۷zu96tCYEY9FVG11dPFheKlMjvMoL4rqPSAQ3zty4Cbi4Vy2Is6f/VF8AYZ34i0FJooj
         eEkw==
ARC-Authentication-Results: i=1; mx.google.com;
       spf=pass (google.com: domain of root@nodspot.com designates 206.189.221.162 as permitted sender) smtp.mailfrom=root@nodspot.com
Return-Path: <root@nodspot.com>
Received: from ubuntu-s-1vcpu-1gb-sfo2-01 ([206.189.221.162])
        by mx.google.com with ESMTP id 38-v6si3160283pgr.237.2018.10.02.12.22.38
        for <mantvydo@gmail.com>;
        Tue, 02 Oct 2018 12:22:38 -0700 (PDT)
Received-SPF: pass (google.com: domain of root@nodspot.com designates 206.189.221.162 as permitted sender) client-ip=206.189.221.162;
Authentication-Results: mx.google.com;
       spf=pass (google.com: domain of root@nodspot.com designates 206.189.221.162 as permitted sender) smtp.mailfrom=root@nodspot.com
Received: by ubuntu-s-1vcpu-1gb-sfo2-01 (Postfix, from userid 0) id DC6DD3F156; Tue,
  ۲ Oct 2018 19:22:37 +0000 (UTC)
Message-Id: <20181002192237.DC6DD3F156@ubuntu-s-1vcpu-1gb-sfo2-01>
Date: Tue,
  ۲ Oct 2018 19:22:31 +0000 (UTC)
From: root <root@nodspot.com>

yolo
,

راه‌اندازی سرور ارسال‌کننده ایمیل (Originating Mail Server)

برای ارسال ایمیل، لازم است سرور ارسال‌کننده‌ای را پیکربندی کنیم که از سروری که پیش‌تر به‌عنوان سرور رله راه‌اندازی کرده‌ایم، استفاده کند. برای این منظور، بر روی ماشین مهاجم، سرور ایمیل Postfix را نصب کردم.

گام بعدی، ویرایش فایل ‎/etc/postfix/main.cf‎ و تنظیم مقدار ‎relayhost=nodspot.com‎ است. این پیکربندی باعث می‌شود که ایمیل‌های خروجی از سیستم مهاجم ابتدا به سرور ایمیل nodspot.com (همان سروری که در مراحل قبل راه‌اندازی کردیم) ارسال شوند.

پس از اعمال تغییرات و راه‌اندازی مجدد سرور Postfix، می‌توانیم اقدام به ارسال یک ایمیل آزمایشی از سرور مهاجم کنیم.

اگر ایمیل را دریافت نکردید، اطمینان حاصل کنید که سرور رله دسترسی ماشین مهاجم را مسدود نکرده باشد. در صورتی که در ماشین مهاجم خود با پیام زیر مواجه شوید و ایمیل‌ها به حالت معلق (deferred) درآیند، دقیقاً به همین دلیل است.

پس از برطرف شدن مشکل مربوط به سرور رله، می‌توانیم آزمایش را مجدداً انجام داده و مشاهده کنیم که فرآیند رله‌ شدن ایمیل با موفقیت انجام می‌شود.

این‌بار، هدرهای ایمیل به شکل زیر نمایش داده می‌شوند:

هدر ایمیل به شکل زیر می باشد :

Delivered-To: mantvydo@gmail.com
Received: by 2002:a81:1157:0:0:0:0:0 with SMTP id 84-v6csp5048438ywr;
        Tue, 2 Oct 2018 12:48:56 -0700 (PDT)
X-Google-Smtp-Source: ACcGV63RAD6LtVnbie/Kqdj1bHRyM8rNKIS6TY1ZIcHgAtFi/IsrKv9h1TDKA4skX5r4wqy7CFsC
X-Received: by 2002:a62:98d5:: with SMTP id d82-v6mr8196233pfk.97.1538509736553;
        Tue, 02 Oct 2018 12:48:56 -0700 (PDT)
ARC-Seal: i=1; a=rsa-sha256; t=1538509736; cv=none;
        d=google.com; s=arc-20160816;
        b=wYES/0YHmuxw5mZqe5Z53+4t/P+eA18CTZ3+4JCGG3ZfMMlkcZWB6ewT2U3W/BybLu
         kURFu2LYPplWyRwFI3/uqQAxdK67j2SB6hwgVUah2YvE/SWQJpMfSG09spWVvpRciL0i
         SV+WxJ+Mo6+dpWn2W27rjRDC+kCn7eDpwmlLyHvQjCohdBuRv8Xd/9xBaey2OC7b1zjs
         /NZbBFqxiEG2ppy+/9Tcki4i7mmCVhPDC5lcYhncwijY19xy0ZYFUCKW/IDrdOqvbpJw
         Z9r+a94cUnjLV3utAeTcev1l3rZguh6uzuvIrFMINh0Rbom2N6O4Fx7Lo70iWgvfbbc1
         YTKQ==
ARC-Message-Signature: i=1; a=rsa-sha256; c=relaxed/relaxed; d=google.com; s=arc-20160816;
        h=from:date:message-id;
        bh=IXgsblUVNMiBXFF6vPcJNGPsIc8JF5BXk+LADOkT2XY=;
        b=oTH1wYZ7XrcrWUyNngAY1exaietJ2Sm0uM+Z2AHb8fHMnfBF9RaKnJX47JW1zjTG3x
         ۵XBRL2nrAmxGP/5/g+qk8fF0q0VVvOG7HRaZh3hhmoKMS/mKsduqYMUFPbssurWgfxvy
         BLaid3EAMmnqcN1MQ8D8j9YsCiTLmqkuukjrtXF3Zdz0Xcdhrmwl9bC1U4oHcHJj4Nlo
         Fph8UGvtFbvGg8+vGqnW21SN0W1FwhB2KcfSahoRV+b5XQ69nTpL/1MG8Ap8kmsmM1Xh
         ۴sliLVPNL8Qnzlw4ilSj55P0u06+BIoO+f2m2txDhFL90JxSSxlUF0IA3JV5YwilBPcl
         OBLw==
ARC-Authentication-Results: i=1; mx.google.com;
       spf=pass (google.com: domain of root@nodspot.com designates 206.189.221.162 as permitted sender) smtp.mailfrom=root@nodspot.com
Return-Path: <root@nodspot.com>
Received: from ubuntu-s-1vcpu-1gb-sfo2-01 ([206.189.221.162])
        by mx.google.com with ESMTP id 3-v6si17019015pln.324.2018.10.02.12.48.56
        for <mantvydo@gmail.com>;
        Tue, 02 Oct 2018 12:48:56 -0700 (PDT)
Received-SPF: pass (google.com: domain of root@nodspot.com designates 206.189.221.162 as permitted sender) client-ip=206.189.221.162;
Authentication-Results: mx.google.com;
       spf=pass (google.com: domain of root@nodspot.com designates 206.189.221.162 as permitted sender) smtp.mailfrom=root@nodspot.com
Received: from kali (host* [109.146.x.x])
    by ubuntu-s-1vcpu-1gb-sfo2-01 (Postfix) with ESMTP id 280D33F155
    for <mantvydo@gmail.com>; Tue,  2 Oct 2018 19:48:56 +0000 (UTC)
Received: by kali (Postfix, from userid 0)
    id 862A642009E; Tue,  2 Oct 2018 20:48:55 +0100 (BST)
Message-Id: <20181002194855.862A642009E@kali>
Date: Tue,  2 Oct 2018 20:48:48 +0100 (BST)
From: root <root@nodspot.com>

relaying phish like a sir

حذف اطلاعات حساس از هدرهای ایمیل در Postfix

برای حذف هدرهای ایمیل‌های خروجی، لازم است تغییراتی در تنظیمات سرور رله (Relay Server) اعمال شود.

در نخستین گام، باید فایلی بر روی سرور ایجاد کنیم که حاوی الگوهای عبارت منظم (Regular Expressions) باشد. این الگوها برای شناسایی و حذف هدرهای حساس یا ناخواسته در ایمیل‌ها مورد استفاده قرار خواهند گرفت.

/^Received:.*/              IGNORE
/^X-Originating-IP:/    IGNORE
/^X-Mailer:/            IGNORE
/^Mime-Version:/        IGNORE

در گام بعدی، باید فایل پیکربندی /etc/postfix/master.cf را ویرایش کنیم تا خط زیر به آن افزوده شود:

-o header_checks=regexp:/etc/postfix/header_checks

این خط، Postfix را ملزم می‌کند تا بررسی هدرها را با استفاده از عبارات منظم تعریف‌شده در فایل /etc/postfix/header_checks انجام دهد.

این دستور به سرور Postfix اعلام می‌کند که هدرهایی از ایمیل‌های خروجی را که با الگوهای عبارات منظم تعریف‌شده در فایل بالا مطابقت دارند، حذف کند.

پس از اعمال تغییرات، فایل را ذخیره کرده و سرور Postfix را مجدداً بارگذاری (Reload) کنید:

postmap /etc/postfix/header_checks
postfix reload

اکنون یک ایمیل آزمایشی دیگر از ماشین مهاجم ارسال کرده و هدرهای آن ایمیل را بررسی کنید:

توجه کنید که هدرهای “Received” که اطلاعات مربوط به مبدأ (ماشین مهاجم) را فاش می‌کردند، حذف شده‌اند؛ دقیقاً همان نتیجه‌ای که قصد داشتیم به آن دست یابیم.

Delivered-To: mantvydo@gmail.com
Received: by 2002:a81:1157:0:0:0:0:0 with SMTP id 84-v6csp5668508ywr;
        Wed, 3 Oct 2018 03:47:35 -0700 (PDT)
X-Google-Smtp-Source: ACcGV614wuffoVOsvFkTPPxCiRj0hgFwTIH7y3B4ziIaXfogLFjsoiFyYOdNVChhr+oRcL1axO+a
X-Received: by 2002:a17:902:a9cc:: with SMTP id b12-v6mr988630plr.198.1538563655360;
        Wed, 03 Oct 2018 03:47:35 -0700 (PDT)
ARC-Seal: i=1; a=rsa-sha256; t=1538563655; cv=none;
        d=google.com; s=arc-20160816;
        b=qhbzI+R3vHbkqwp2ALOEQ0ItUXU/fA1kEmYln1dBe0CmLELuIfourst4gZVYiU0tAf
         sRx20Z5Vcqvv9w6s6f2gVp6crlOuoX2cSKJCn/HyRYKiDB5aVKpEYTDjQtGEBRLoL9xm
         /T8+3PgV6CHy/KowoPeLugKg3t5mIh9pq+Ig8gG+VVKZcFyvUBJa9YEgBgVKcMwew8H6
         x8WzIB2zyavpZLnbIi6SrtheYZAeSTMTwXRutqxZl0n4O/iZS4Y+ZVdRlYeXFXFNdtMK
         JFaS1XVLR4hYXOzlQT1IC2yeQlqf+Q3FJukmkDlDTgw91ImfZa0HtQYQoo3LwKotp92Q
         ۱HiQ==
ARC-Message-Signature: i=1; a=rsa-sha256; c=relaxed/relaxed; d=google.com; s=arc-20160816;
        h=from:date:message-id;
        bh=hZH42YPrA1C1YyKkQ/LM0S6pyh9p5LGmoqE/s4CGGts=;
        b=Squ71HtAuuwYHfX+4z63WcgBMoiKbcX5KAQLKwfvlnXuF5QEJNHjfX0GwekViXJIZ5
         D2v03648ni6W3/b6uXVoecrtX0MZ9Z/Ck+LxcJRi16toE4QfjR6fhX5l9OSKFjgqkst3
         Exk9yB1iiX8IAoIvnSaT0pQ5UzOov5Yneti3HO8QbzeCnT1/HieLwIhB/d+znryw1mTQ
         jj/VBlNEGFEJhpXjS7cbQFHQEz3yGl1YTSNB3Kxp9T5a7+ncsW3pOAlfKqNYpVywSlBe
         s6OUSTZ/bEwVYP3dv9aHmbpOIV6rC8uPgUlm+SKYtlj9xiR9uXTtj21IbA0F1esFx+Up
         jAQw==
ARC-Authentication-Results: i=1; mx.google.com;
       spf=pass (google.com: domain of root@nodspot.com designates 206.189.221.162 as permitted sender) smtp.mailfrom=root@nodspot.com
Return-Path: <root@nodspot.com>
Received: from ubuntu-s-1vcpu-1gb-sfo2-01 ([206.189.221.162])
        by mx.google.com with ESMTP id y11-v6si1190446plg.237.2018.10.03.03.47.35
        for <mantvydo@gmail.com>;
        Wed, 03 Oct 2018 03:47:35 -0700 (PDT)
Received-SPF: pass (google.com: domain of root@nodspot.com designates 206.189.221.162 as permitted sender) client-ip=206.189.221.162;
Authentication-Results: mx.google.com;
       spf=pass (google.com: domain of root@nodspot.com designates 206.189.221.162 as permitted sender) smtp.mailfrom=root@nodspot.com
Message-Id: <20181003104734.1871F42006E@kali>
Date: Wed,  3 Oct 2018 11:47:28 +0100 (BST)
From: root <root@nodspot.com>

removing traces like a sir

این آزمایش (Lab) به بررسی علامت‌گذاری ایمیل‌ها به‌عنوان فیشینگ توسط Gmail نمی‌پردازد.
با این حال، این موضوع به پیکربندی‌هایی نظیر DKIM، رکوردهای PTR و موارد مشابه مرتبط است. برای اطلاعات بیشتر، به منابع زیر مراجعه کنید.

منابع

نحوه نصب و پیکربندی DKIM در Postfix روی Debian Wheezy

چگونه می‌توان هدرهای “Received” را از ایمیل‌ها حذف کرد؟

حذف اطلاعات حساس از هدرهای ایمیل با استفاده از Postfix