如何使用Gophish搭建并高效运营钓鱼邮件平台？

钓鱼邮件平台搭建 一、搭建环境 VM-4-11-centos 3.10.0-1160.95.1.el7.x86_64 Uname -a 查询服务器内核版本 腾讯云域名 公网服务器 二、搭建个人邮件服务器 2.1配置域名解析 选择域名，如abc.com ①.添加MX记录 -记录类型：MX - 主机记录：@ - 记录值：mail.abc.com - MX优先级：1 ②添加A记录 -记录类型：A - 主机记录：mail - 记录值：服务器IP - TTL：10分钟 ③添加SPF记录 -记录类型：TXT - 主机记录：@ - 记录值：v=spf1 mx:mail.abc.com ip4:服务器IP -all - TTL：10分钟 此处使用腾讯云域名 2.2 安装Postfix、Dovecot、cyrus-sasl yum update -y yum -y install postfix dovecot cyrus-sasl 配置Postfix (1). vim /etc/postfix/main.cf # 修改以下项，注释的解开，不要有重复项 # 设置为 mail.域名 myhostname = mail.abc.com # 设置为 域名 mydomain = abc.com # 往外发邮件的邮件域 myorigin = $mydomain #监听的网卡 inet_interfaces = all inet_protocols = ipv4 #服务的对象 mydestination = $myhostname, $mydomain, localhost.$mydomain, localhost #邮件存放的目录 home_mailbox = Maildir/ # 新添加以下配置 #--------自定义（下面可以复制粘贴到文件最后面，用于设置服务器验为主，第一行设置发送附件大小） #message_size_limit = 100000 smtpd_sasl_auth_enable = yes smtpd_sasl_security_options = noanonymous,noplaintext mynetworks = 127.0.0.0/8 smtpd_recipient_restrictions = permit_mynetworks,permit_sasl_authenticated,reject_unauth_destination smtpd_sasl_type = dovecot smtpd_sasl_path = private/auth smtpd_sasl_local_domain = $myhostname smtpd_sasl_tls_security_options = noanonymous broken_sasl_auth_clients = yes relayhost = smtpd_relay_restrictions = permit_mynetworks permit_sasl_authenticated defer_unauth_destination smtpd_use_tls = yes smtpd_tls_cert_file = /etc/ssl/certs/server.crt smtpd_tls_key_file = /etc/ssl/private/server.key smtpd_tls_security_level = may smtp_tls_note_starttls_offer = yes smtpd_tls_loglevel = 1 smtpd_tls_received_header = yes smtpd_tls_auth_only = yes 配置开启smtps (2). 最后检查Postfix配置是否正确 postfix check 配置Dovecot (1). 修改主配置文件 vim /etc/dovecot/dovecot.conf # 注释的解开注释，不要有重复项 protocols = imap pop3 lmtp listen = *, :: # 以下内容添加到文件最后 mail_location = maildir:~/Maildir (2). 设置邮箱目录 vim /etc/dovecot/conf.d/10-mail.conf # 设置mail_location为 mail_location = maildir:~/Maildir (3).配置SSL证书 vim /etc/dovecot/conf.d/10-ssl.conf ==================== ssl_cert = </etc/dovecot/private/dovecot.pem ssl_key = </etc/dovecot/private/dovecot.key 改成 ssl_cert = </etc/ssl/certs/server.crt ssl_key = </etc/ssl/private/server.key (4).配置sasl认证以及SSL端口 vim /etc/dovecot/conf.d/10-master.conf ==================== # Postfix smtp-auth unix_listener /var/spool/postfix/private/auth { mode = 0660 user = postfix group = postfix } ==================== inet_listener imap { #port = 143 } 改成 inet_listener imap { #port = 143 port = 0 } ==================== service pop3-login { inet_listener pop3 { #port = 110 } } 改成 service pop3-login { inet_listener pop3 { #port = 110 port = 0 } } (5).配置认证 vim /etc/dovecot/conf.d/10-auth.conf auth_mechanisms = plain 改成 auth_mechanisms = plain login (6).配置dovecot服务消除master.pid报错 vim /usr/lib/systemd/system/dovecot.service # Type=forking后添加 ExecStartPost=/bin/sh -c 'chown root:dovecot /var/run/dovecot/master.pid' # 加载系统服务 systemctl daemon-reload 启动邮箱服务并新增邮箱用户 (1). 启动并设置开机自启 sudo systemctl start postfix sudo systemctl start dovecot #设置开机自启动 sudo systemctl enable postfix sudo systemctl enable dovecot 后续需要重启命令为 sudo systemctl restart postfix sudo systemctl restart dovecot 查看运行状态命令为 sudo systemctl status postfix sudo systemctlstatus dovecot (2). 查看服务端口启动是否完整 netstat -lntp 如图25 993 995 端口正常启动，支持外部ip访问 7.安装mailx（用于测试发邮件） sudo yum install -y mailx #======测试发件====== echo '搭建邮件服务器成功啦！！！' | mail -s '通知！' xxx@chat.com 收到测试邮件 8.创建邮箱账号 (1). 创建账号 useradd -m 用户名 passwd 用户名 # 输入密码 # 确认密码 (2). 验证账号 sudo doveadm auth test 用户名 三、Gophish平台使用 Gophish官网地址：https://getgophish.com/ Gophish项目地址： https://github.com/gophish/gophish https://github.com/gophish/gophish/releases/ 3.1安装适合自己系统的Gophish mkdir gophish cd gophish wget https://github.com/gophish/gophish/releases/download/v0.11.0/gophish-v0.11.0-linux-64bit.zip unzip gophish-v0.11.0-linux-64bit.zip 3.2修改配置文件config.json： admin_server 是后台管理页面，我们要将 127.0.0.1 改为 0.0.0.0，默认开放的端口为3333。 phishserver是钓鱼网站，默认开放80端口。listenurl 也要是 0.0.0.0，如果 80 端口被占用了可以改为其他端口比如 81。 contact_address 不是一定要加上的，可以加一个。 3.3启动gophish chmod 777 gophish nohup ./gophish & 3.成功启动后，在命令行输出的初始账户密码可以用来登录控制台 4.访问 https://your-ip:3333/ 即可登录管理后台（注意使用https协议）： 3.4Sending Profiles（钓鱼邮箱发送配置） Sending Profiles的主要作用是将用来发送钓鱼邮件的邮箱配置到Gophish。点击 “New Profile” 新建一个策略，依次来填写各个字段： Name：Name字段是为新建的发件策略进行命名，不会影响到钓鱼的实施，建议以发件邮箱为名字，例如使用qq邮箱来发送钓鱼邮件，则Name字段可以写 xxxxxx@qq.com 。 Interface Type：Interface Type 是接口类型，默认为 SMTP类型 且不可修改，因此需要发件邮箱开启SMTP服务 From：From 是发件人，即钓鱼邮件所显示的发件人。（在实际使用中，一般需要进行近似域名伪造）这里为了容易理解，就暂时以qq邮箱为例，所以From字段可以写： test<xxxxxx@qq.com>。 Host：Host 是SMTP服务器的地址，格式是 smtp.example.com:25，例如qq邮箱的smtp服务器地址为 smtp.qq.com。但这里要注意，如果搭建Gophish平台用的vps是阿里云的话，是不能使用25端口的，因为阿里云禁用25端口，你可以通过提工单解封，但申请通过的难度很大。所以，我们这里可以把25端口改为465端口，即填写 smtp.qq.com:465，这样就可以成功发送邮件了。 Username：Username 是SMTP服务认证的用户名，如果是qq邮箱，Username则是自己的qq邮箱号 xxxx@qq.com。 Password：Password 是SMTP服务认证的密码，例如qq邮箱，需要在登录qq邮箱后，依次点击 “设置”—>“账户”—>“开启SMPT服务”—>“生成授权码”来获取SMTP服务授权码，Password的值则填写我们收到的授权码。 网易邮同样配置 Email Headers（选填）：Email Headers 是自定义邮件头字段，例如邮件头的 X-Mailer 字段，若不修改此字段的值，通过gophish发出的邮件，其邮件头的X-Mailer的值默认为gophish。 设置好以上字段，可以点击 “Send Test Email” 来给自己发送一个测试邮件，以检测SMTP服务器是否认证通过。如下，成功收到测试邮件，说明SMTP服务器是否认证通过： 3.5Email Templates（钓鱼邮件模板） “Email Templates”中编写钓鱼邮件的内容。点击“New Template”新建钓鱼邮件模板，依次介绍填写各个字段： Name：这个字段是对当前新建的钓鱼邮件模板进行命名，可以简单的命名为 “邮件模板一”。 Import Email：Gophish为编辑邮件内容提供了两种方式，第一种就是 “Import Email”。用户可以先在自己的邮箱系统中设计好钓鱼邮件，然后发送给自己或其他伙伴，收到设计好的邮件后，打开并选择“导出为eml文件”或者“显示邮件原文”，然后将内容复制到gophish的“Import Email”中，即可将设计好的钓鱼邮件的导入。 需要注意的是，在点击“Import”之前需要勾选上“Change Links to Point to Landing Page”，该功能实现了当创建钓鱼事件后，会将邮件中的超链接自动转变为钓鱼网站的URL。 Subject：Subject 是邮件的主题，通常为了提高邮件的真实性，需要自己去编造一个吸引人的主题。这里简单填写成 “第一次钓鱼测试”。 内容编辑框：内容编辑框是编写邮件内容的第二种模式，内容编辑框提供了 Text和 HTML两种模式来编写邮件内容，使用方式与正常的编辑器无异。其中HTML模式下的“预览”功能比较常用到，在编辑好内容后，点击预览，就可以清晰看到邮件呈现的具体内容以及格式。 {.URL} 指代钓鱼链接 Add Tracking Image：Add Tracking Image 是在钓鱼邮件末添加一个“跟踪图像”，用来跟踪受害用户是否打开了收到的钓鱼邮件。默认情况下是勾选的，如果不勾选就无法跟踪到受害用户是否打开了钓鱼邮件。 Add Files：Add Files 是在发送的邮件中“添加附件”，一是可以添加相关文件提高邮件真实性，二是可以配合免杀木马诱导受害用户下载并打开。这里我添加了一个带有office宏病毒的word文档。 当填写完以上字段后，点击“Save Template”，就能保存当前编辑好的钓鱼邮件模板 3.6Landing Pages（伪造钓鱼页面） 完成钓鱼邮件的编写后，下一步则需要在Landing Pages中设计由邮件中超链接指向的钓鱼网页，点击 “New Page” 新建页面： Name：Name 是用于为当前新建的钓鱼页面命名，可以简单命名为 “钓鱼页面一”。 Import Site：与钓鱼邮件模板的编辑一样，gophish为钓鱼页面的设计也提供了两种方式，第一种就是 “Import Site”，即克隆目标网站。点击“Import Site”后，填写 被伪造网站的URL，再点击Import，即可通过互联网自动爬取被伪造网站的前端代码。这里以伪造XX集团公司的管理后台登录界面为例，在 “Import Site” 中填写目标网址 导入想要模仿的页面https://www.xxxxxxx.com/backend/account/login.html： 内容编辑框：内容编辑框是编辑钓鱼页面的第二种方法，但是绝大多数情况下，它更偏向于用来辅助第一种方法，即对导入的页面进行源码修改以及预览。由于编码的不同，通常直接通过“Import Site”导入的网站，其中文部分多少存在乱码现象，这时候就需要查看源码并手动修改过来。 Capture Submitted Data（重点）：通常，进行钓鱼的目的往往是捕获受害用户的用户名及密码，因此，在点击Save Page之前，记得一定要勾选左下方的 “Capture Submitted Data” 当勾选了“Capture Submitted Data”后，页面会多出一个“Capture Passwords”的选项，显然是捕获密码，通常可以选择勾选上以验证账号的可用性。如果仅仅是测试并统计受害用户是否提交数据而不泄露账号隐私，则可以不勾选。另外，当勾选了 “Capture Submitted Data” 后，页面还会多出一个 “Redirect to”，其作用就是当受害用户点击提交表单后，将页面重定向到指定的URL。 3.7Users & Groups（用户和组） 当完成上面三个功能的内容编辑，钓鱼准备工作就已经完成了80%， Users&Groups 的作用是将钓鱼的目标邮箱导入Gophish中准备发送。点击“New Group”新建一个钓鱼的目标用户组： Name：Name 是为当前新建的用户组命名，这里可以简单命名为 “目标1组”。 Bulk Import Users：Bulk Import Users是批量导入用户邮箱，它通过上传符合特定模板的CSV文件来批量导入目标用户邮箱 点击旁边灰色字体的“Download CSV Template”可以下载特定的CSV模板文件。其中，模板文件的“Email”是必填项，其余的“Frist Name” 、“Last Name”、“Position”皆可选填。 Add：除了批量导入目标用户的邮箱，Gophish也提供了单个邮箱的导入方法，这对于开始钓鱼前，钓鱼组内部测试十分方便，不需要繁琐的文件上传，直接填写“Email”即可，其余的“Frist Name” 、“Last Name”、“Position”皆可选填。 编辑好目标用户的邮箱后，点击“Save Changes”即可保存编辑好的一组目标邮箱保存在Gophish中。 3.8发起Campaigns（钓鱼事件） Campaigns 的作用是将上述四个功能Sending Profiles 、Email Templates 、Landing Pages 、Users & Groups联系起来，并创建钓鱼事件。在Campaigns中，可以新建钓鱼事件，并选择编辑好的钓鱼邮件模板，钓鱼页面，通过配置好的发件邮箱，将钓鱼邮件发送给目标用户组内的所有用户。点击“New Campaign”新建一个钓鱼事件： Name：Name 是为新建的钓鱼事件进行命名，可以简单命名为”第一次钓鱼“。 Email Template：Email Template 即钓鱼邮件模板，这里选择刚刚上面编辑好的钓鱼邮件模板”邮件模板一“。 Landing Page：Landing Page 即钓鱼页面，这里选择刚刚上面编辑好的“钓鱼页面一”。 URL（重点）：URL 是用来替换选定钓鱼邮件模板中超链接的值，该值指向部署了选定钓鱼页面的url地址。简单来说，这里的URL需要填写当前运行Gophish脚本主机的IP。因为启动Gophish后，Gophish默认监听了3333端口和80端口（我们这配置的是81端口），其中3333端口是后台管理系统，而81端口就是用来部署钓鱼页面的。当URL填写了http://主机IP/，并成功创建了当前的钓鱼事件后，Gophish会在主机的81端口部署当前钓鱼事件所选定的钓鱼页面，并在发送的钓鱼邮件里，将其中所有的超链接都替换成部署在81端口的钓鱼页面的url。所以，这里的URL填写我本地当前运行Gophish的vps主机IP和端口，即我这里是 http://47.xxx.xxx.72:81/。 Launch Date：Launch Date 即钓鱼事件的实施日期，通常如果仅发送少量的邮箱，该项不需要修改。如果需要发送大量的邮箱，则配合旁边的“Send Emails By”效果更佳。 Send Emails By（可选）：Send Emails By 配合Launch Date使用，可以理解为当前钓鱼事件下所有钓鱼邮件发送完成的时间。Launch Date作为起始发件时间，Send Emails By 作为完成发件时间，而它们之间的时间将被所有邮件以分钟为单位平分。例如，Launch Date的值为 2020.07.22,09:00，Send Emails By的值为 2020.07.22,09:04，该钓鱼事件需要发送50封钓鱼邮件。那么经过以上设定，从9:00到9:04共有5个发件点，这5个发件点被50封邮件平分，即每个发件点将发送10封，也就是每分钟仅发送10封。这样的好处在于，当需要发送大量的钓鱼邮件，而发件邮箱服务器并未限制每分钟的发件数，那么通过该设定可以限制钓鱼邮件不受约束的发出，从而防止因短时间大量邮件抵达目标邮箱而导致的垃圾邮件检测，甚至发件邮箱服务器IP被目标邮箱服务器封禁。 Sending Profile：Sending Profile 即上文中我们配置的发件邮箱策略，这里选择刚刚编辑好的名为 xxxxxx@qq.com 的发件策略。 Groups：Groups 即接收钓鱼邮件的目标用户组，这里选择刚刚编辑好的名为“目标1组”的目标用户组。 填写完以上字段，点击“Launch Campaign”后将会创建本次钓鱼事件（注意：如果未修改“Launch Date”，则默认在创建钓鱼事件后就立即开始发送钓鱼邮件） 3.8 Dashboard（仪表板） 当创建了钓鱼事件后，Dashboard 会自动开始统计数据。统计的数据项包括邮件发送成功的数量及比率，邮件被打开的数量及比率，钓鱼链接被点击的数量及比率，账密数据被提交的数量和比率，以及收到电子邮件报告的数量和比率。另外，还有时间轴记录了每个行为发生的时间点：