01 寻找目标开放的邮件服务端口和web端邮箱入口

（1）通过扫描c段找到入口

我们拿到目标网站的时候，首先要先从MX记录域名找到他的真实ip地址（某些目标可能是的是第三方邮件服务器，这种情况mx记录没啥用了）；当我们拿到目标网站的时候，首先要先从MX记录域名找到他的真实ip地址（某些目标可能是第三方邮件服务器，这种情况mx记录没啥用了）；然后针对这个ip地址的c段进行扫描（25、109、110、143、465、995、993端口），一般情况下都很容易找到目标的邮件服务器入口。

（2）通过扫描子域名的的方式找到邮件入口

这里扫描子域名的工具有很多，如Sublist3r、TeeMO、LangSrcCurise、挖掘机等不一一举例。

（3）通过搜索引擎爬取

Google hack 搜索；

百度、搜狗、360、bing。

site:target.com intitle:"Outlook Web App"

site:target.com intitle:"mail"

site:target.com intitle:"webmail"

Shodan、fofa、zoomeye搜索等。

02 批量收集目标邮箱的一些常规途径

https://hunter.io/

http://www.skymem.info/

https://www.email-format.com/i/search/

这款提莫工具也具有相关域名邮箱搜集能力。

https://github.com/bit4woo/teemo

还有从搜索引擎、空间搜索引擎、社交、招聘网站等搜邮箱的方式。

https://github.com/laramies/theHarvester

这款工具默认集成了很多 api，通过这些接口我们可以很方便快捷的去批量抓取目标邮箱。因为api都是默认的，有些没有填，所以结果比较少，因此在实战过程中配合其他工具搜索，然后结合汇总最终的查询结果。

python3 theHarvester.py -d xxx.com -l 1000 -b all -f test.html

03 验证邮箱

在收集邮箱之后，我们要对邮箱进行验证，因为有些邮箱目标企业人员已经放弃或不用（离职，职位调动等）。

（1）通过mailtester.com可以查询邮箱地址是否存在。

https://mailtester.com/testmail.php

（2）verifyemail这款工具可批量验证邮箱。

https://github.com/Tzeross/verifyemail

（3）mailtester.py

这款工具可以自动组合邮箱地址再根据组合的结果逐个验证。

脚本的好处在于，它会根据 First / Last Name 中的名字随意拼装组合,然后再对其进行逐个验证。

当我们在对邮箱用户进行枚举的时候，尽量多找一些字典，如中国人姓名拼音、字母缩写top100，1000，10000，此处我们需要更多的鱼叉，多一个邮箱就多一份成功率。

当然可以把搜集到疑似网络管理员、运维人员、安全部门的人员提取出来，这些人单独写邮箱或者不发，因为这些人安全意识相对较高，容易打草惊蛇，我们需要对一些非技术员工安全意识薄弱的人下手，挑软柿子捏。

这里可以配合这个网址https://www.aies.cn/pinyin.htm 根据收集到的目标信息制定对应人名字典进行组合。

04 邮箱爆破

这种方式的弱口令爆破只适用于目标企业自己的邮件服务器如owa等 像百度腾讯阿里网易的邮箱不优先考虑。

用到的工具medusa、hydra、SNETCracker、APT34组织 owa爆破工具等。

另外邮箱用户名与密码往往还会使用公司简称+2019，2020等社工口令，多一个字典就多一份成功率。

原文地址：https://www.secpulse.com/archives/135748.html