2026-01-14 23:17:07 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 本文介绍了Sentinel-SPF工具，用于检测SPF配置不当引发的邮件伪造风险。该工具通过DNS解析与SMTP协议模拟，评估域名SPF策略强度，支持批量扫描与智能域名提取。文章指出了SPF记录缺失及IP段配置过大等风险，建议企业收敛发信源并采用-all硬拒绝策略，同时配合DKIM和DMARC构建防御闭环，且强调了合规授权测试的重要性。 综合评分： 91 文章分类： 安全工具,网络安全,漏洞分析,渗透测试,安全运营

cover_image

SPF 域名邮件伪造风险深度扫描器

原创

JunYi

毅心安全

2026年1月14日 17:49 广东

🛡️ Sentinel-SPF：SPF 域名邮件伪造风险深度扫描器

在红蓝对抗与日常安全审计中，SPF（Sender Policy Framework） 的配置不当是导致企业遭受钓鱼攻击（Phishing）和邮件欺诈（BEC）的核心诱因。Sentinel-SPF（基于 spf_fake_scan 项目）是一款专为安全研究员设计的自动化工具，旨在通过 DNS 解析分析与 SMTP 协议模拟，精准识别全球域名的 SPF 漏洞。

🧠 核心原理：SPF 是如何防御邮件伪造的？

SPF 的核心逻辑在于验证发信源的合法性。当收信服务器收到一封自称来自 example.com 的邮件时，它会查询该域名的 DNS 记录。如果发信 IP 不在 SPF 记录允许的列表内，该邮件将被标记为垃圾邮件或拒绝。

🚀 核心功能与技术路径

1. 智能域名解析与提取

不同于简单的字符串匹配，该工具内置了针对 二级后缀（Public Suffix List） 的识别逻辑：

• 多格式兼容：自动从 URL (https://www.google.com.cn/path)、邮箱 ([email protected]) 或带端口的链接中提取顶级根域名。
• 二级后缀支持：完美处理 .com.cn、.gov.jp、.net.au 等复合后缀，避免误删导致解析失败。

2. SPF 策略强度深度评估

工具通过 dnspython 实时查询域名的 TXT 记录，并根据终止符（Mechanism）进行风险分级：

🛠️ 实战操作指南

1. 快速单项测试（交互式）

适合对特定目标进行即时评估。

python spf_fake.py
# 输入 1 -> 输入收件箱 -> 输入目标域名 -> 查看 SPF 解析结果

2. 批量扫描模式（SOP 流程）

针对大量域名资产进行“影子资产”探测。

1. 准备清单：将域名放入 targets.txt。
2. 执行静默扫描：

# 仅检查记录而不发送邮件（推荐用于资产审计）
python spf_fake.py -t [email protected] -b targets.txt --check-only

📊 报告输出与风险诊断

当工具显示“❌ 域名无 SPF 保护”或“❌ 使用了允许所有的 +all 策略”时，意味着该域名可以被无视发信人身份直接伪造。

典型风险场景：

• SPF 记录缺失：攻击者可以冒充域名发送任何邮件。
• Include 过多：SPF 允许的递归查询上限为 10 次，超过此限制会导致 SPF 失效。
• IP 段过大：配置了如 ip4:192.168.0.0/16 这种极宽的网段，给了攻击者可乘之机。

🛡️ 专家加固建议

1. 收敛发信源：删除不再使用的 include 或旧服务器 IP。
2. 强制硬拒绝：在确认所有发信渠道（如腾讯云、阿里云发信系统）都已加入记录后，将结尾改为 -all。
3. 协同防御：SPF 无法防御“显示名伪造”，必须配合 DKIM（邮件签名） 和 DMARC（综合策略） 形成防御闭环。

⚠️ 合规性提醒

本工具专为授权渗透测试和企业自检设计。测试过程中发送的伪造邮件可能会被收件服务器记录为攻击指纹。请务必在获得明确授权的环境下运行。

GITHUB

https://github.com/lan1oc/spf_fake_scan

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：毅心安全 JunYi《SPF 域名邮件伪造风险深度扫描器》