Email Spoofing Тема не нова, но часто забываемая при пентесте веб-апликаций. Email Spoofing - атака на домены, которые не используют или используют криво настроенные SPF и DMARC записи, которая позволяет отправлять письма от лица этого самого домена. Используется при фишинге и спаме, т.к. у человека, который увидел знакомый домен больше доверия к письму. Два сервиса, которые позволяют проверить DMARC и SPF записи: https://dmarcian.com/dmarc-inspector/# https://dmarcian.com/spf-survey/ https://mxtoolbox.com/ Важно добавить, что даже если сервис имеет DMARC и SPF записи, они могут быть настроены со следующими флагами: p=quarantine или p=none для DMARC - означает, что письма будут попадать только в спам ~all для SPF - означает, что письма будут приняты но будут помечены как подозрительное Короче: ты сможешь отправить письмо от лица домена, но оно попадёт в спам. Чем можно отправить письмо в случае уязвимого домена? Два сервиса: Emkei и DMARC-Tester. Чем можно проверить несколько доменов сразу на наличие уязвимости? Ранее упомянутый Spoofy. ./spoofy.py -d bugcrowd.com -o spoof.txt Как защититься? Установи атрибут p=reject для DMARC и -all (тот же тэг all только знак не ~ а -) для SPF. Это запретит отправку из неизвестных источников. #emailspoofing