基于邮箱的域名欺骗攻击（利用解析器绕过访问控制）

0x01 前言

每年blackhat总是会有一些新奇的攻击思路值得大家学习，在2024年blackhat的议题中发现一篇很有意思的文章，作者提出了一套基于邮箱的欺骗攻击思路，利用RFC标准中对SMTP协议中邮箱地址的特性，提供一系列绕过技巧，我们从中挑选一些实用性较高的思路分享。

0x02 邮箱欺骗

1）邮箱地址注释

在RFC2822规范中规定了邮件数据格式标准，其中3.2.3章节提到可以对消息头中的内容进行注释，邮件地址属于消息头的一部分，也支持注释，注释符是单括号。

zhangsan@webray.com.cn  #正常目标收件箱zhangsan(xxxxx)@webray.com.cn  #使用括号进行注释zhangsan(test@gmail.com)@webray.com.cn   #注释中支持任意其它字符zhangsan@(test@gmail.com)webray.com.cn   #支持在任意未知进行注释

在上面表格中的邮箱地址是属于添加了注释的邮件地址，本质上都是代表zhangsan@webray.com.cn。可以使用python的smtplib库复现了邮件发送过程中的注释功能，如下所示。

import smtplibfrom email.mime.text import MIMETextfrom email.utils import formataddr
#发送邮件def send_mail(html,mails_to,tit