Open in app

Sign in

Write

Sign in

[ BUG BOUNTY ] Improper Authentication SPF Records ( Medium Severity )

Danang Tri Atmaja
2 min readJul 12, 2019

Hallo teman-teman researcher selamat malam, bagaimana kabarnya ? semoga senantiasa sehat selalu dan diberikan kelancaran dalam aktifitasnya.

Disclaimer : Tulisan ini dibuat sebagai bahan edukasi

Saya ingin sharing bagaimana mendapat sebuah bugs sederhana dalam pencariannya dan dinyatakan valid oleh pemilik program $$$

Bug ini dapat dikatakan sebagai “Server Security Misconfiguration > Mail Server Misconfiguration > No Spoofing Protection on Email Domain” menurut Bugcrowd VRT yaitu terdapat pada SPF (Sender Policy Framework) records yang missing.

Sedikit penjelasan tentang SPF :

SPF merupakan kependekan dari Sender Policy Framework, suatu mekanisme suatu email yang berasal dari domain tertentu hanya bisa dikirim lewat suatu mail server yang ditunjuk. Dengan adanya record ini, maka pengiriman email yang berasal dari domain tertentu hanya diperbolehkan dari mail server yang telah ditentukan. Jika ada email yang berasal dari domain tersebut, tetapi tidak berasal dari mail server yang telah ditentukan, maka email tersebut akan ditolak. Dengan mekanisme ini maka akan mengurangi spam.

Nah, yang terjadi pada umumnya adalah masih banyak website yang tidak aware terhadap SPF records ini, lalu apa dampaknya ?

  1. Email spoofing terhadap victim ( korban )
  2. Dapat melakukan manipulasi email dengan menyamar sebagai domain tertentu dan dikirimkan kepada victim ( korban )

Berikut adalah STR ( Step to Reproduce ) dari temuan, sebagai berikut :

1.Check in https://www.kitterman.com/spf/validate.html
2.Go https://emkei.cz/?reCAPTCHAv2
3.Set email from with official domain : redacted.com
4.Send to victim
5.Email will sending to victim

Apa ciri SPF yang memiliki kerentanan ? Berikut :

Lalu bagimana ciri SPF yang baik dan benar ? Berikut :

Nah terlihat akan perbedaanya kan, berikut ada rangkuman dari https://servernesia.com terkait SPF :

  • +all (Pass) – Semua email diperbolehkan.
  • -all (Fail) – Bahwa kiriman email yang tidak sesuai verifikasi (MX Record, Alamat IP, dan sebagainya) akan otomatis ditolak.
  • ~all (SoftFail) – Ijinkan email walaupun gagal saat dicocokkan dengan parameternya dan nanti akan ditandai oleh sistem.
  • ?all (Neutral) – Tidak ada kebijakan yang digunakan.

Reward : $$$

Sekian, semoga bermanfaat.

Keep learn and share

Danang TA.

--

--

Danang Tri Atmaja

Written by Danang Tri Atmaja

426 Followers

IT Security { enthusiast } — Penetration Tester PT. ITSEC Asia

Help

Status

About

Careers

Blog

Privacy

Terms

Text to speech

Teams