Навыки smtp-penetration-testing
📧

smtp-penetration-testing

Высокий риск ⚙️ Внешние команды🌐 Доступ к сети

Тестирование безопасности SMTP-сервера

Этот навык позволяет специалистам по безопасности проводить комплексные тесты на проникновение SMTP-серверов, выявляя уязвимости, такие как открытые ретрансляторы, слабая аутентификация и риски перечисления пользователей.

Поддерживает: Claude Codex Code(CC)
⚠️ 55 Плохо
1

Скачать ZIP навыка

2

Загрузить в Claude

Перейдите в Settings → Capabilities → Skills → Upload skill

3

Включите и начните использовать

Протестировать

Использование «smtp-penetration-testing». Выполнить получение баннера SMTP на mail.target.com

Ожидаемый результат:

Результаты анализа баннера:
- Сервер: Postfix
- Версия: 3.4.5
- Имя хоста: mail.target.com
- Поддерживаемые расширения: PIPELINING, SIZE, VRFY, ETRN, STARTTLS, AUTH PLAIN LOGIN
- Проблемы безопасности: команда VRFY включена (риск перечисления пользователей)

Использование «smtp-penetration-testing». Тест на открытый ретранслятор на mail.target.com

Ожидаемый результат:

Результаты теста открытого ретранслятора:
- Тест 1 (анонимный): PASS (уязвимо)
- Тест 2 (аутентифицированный): BLOCKED
- Рекомендация: отключить анонимный ретранслятор; требовать аутентификацию для внешней доставки

Аудит безопасности

Высокий риск
v1 • 2/25/2026

This skill teaches legitimate SMTP penetration testing techniques using standard security tools (Nmap, Metasploit, Hydra). Static scanner flagged 181 potential issues including Metasploit usage, network scanning tools, and brute force commands. However, these are FALSE POSITIVES - the flagged patterns are standard penetration testing tools and techniques used by security professionals for authorized assessments. The skill includes legal disclaimers requiring written authorization. Risk level set to HIGH because the skill provides actionable instructions for user enumeration, brute force attacks, and relay testing that could be misused without proper authorization.

1
Просканировано файлов
506
Проанализировано строк
8
находки
1
Всего аудитов

Проблемы высокого риска (2)

SKILL.md:33-35SKILL.md:179-187SKILL.md:221-227SKILL.md:266-275SKILL.md:446-451
Metasploit Framework Usage
Skill teaches use of Metasploit auxiliary modules for SMTP enumeration and relay testing. Metasploit is a legitimate penetration testing framework commonly used by security professionals for authorized assessments.
SKILL.md:246-258SKILL.md:260-264
Brute Force Authentication Testing
Skill teaches brute force attacks against SMTP authentication using Hydra and Medusa tools. These are standard password cracking tools used in authorized penetration tests.
Проблемы среднего риска (2)
SKILL.md:163-177
User Enumeration Techniques
Skill documents VRFY, EXPN, and RCPT command enumeration methods to discover valid email addresses. These are standard reconnaissance techniques.
SKILL.md:199-219
Open Relay Testing
Skill teaches testing for open mail relays which can be exploited for spam distribution. Testing for open relays is a legitimate security assessment.
Проблемы низкого риска (2)
SKILL.md:72-85
Network Scanning Tools
Skill uses Nmap for service discovery and vulnerability scanning. Nmap is a standard network reconnaissance tool used by security professionals.
SKILL.md:87-117
Banner Grabbing Documentation
Skill documents banner grabbing techniques using Telnet, Netcat, and Nmap. Banner grabbing is basic reconnaissance.

Факторы риска

⚙️ Внешние команды (1)
SKILL.md:20-486
🌐 Доступ к сети (1)
SKILL.md:2-502

Обнаруженные паттерны

Actionable Attack Instructions
Проверено: claude

Оценка качества

38
Архитектура
100
Сопровождаемость
87
Контент
32
Сообщество
5
Безопасность
96
Соответствие спецификации

Что вы можете построить

Авторизованная оценка безопасности

Специалисты по безопасности проводят тесты на проникновение почтовых серверов, принадлежащих организации, для выявления и устранения уязвимостей.

Укрепление инфраструктуры электронной почты

Системные администраторы оценивают конфигурации своих SMTP-серверов для обеспечения соответствия лучшим практикам безопасности.

Обучение и образование по безопасности

Средства обучения безопасности, обучающие студентов уязвимостям SMTP и методологиям тестирования в контролируемых лабораторных условиях.

Попробуйте эти промпты

Базовое сканирование SMTP 
Выполните тест на проникновение SMTP на mail.example.com. Определите версию SMTP-сервера, протестируйте уязвимости открытого ретранслятора и проверьте, включены ли команды VRFY/EXPN.
Оценка перечисления пользователей 
Проведите тестирование перечисления пользователей против SMTP-сервера по адресу 192.168.1.50, используя методы VRFY и RCPT. Используйте предоставленный список слов для тестирования распространенных имен пользователей.
Полный аудит безопасности 
Проведите комплексную оценку безопасности SMTP, включая получение баннера, перечисление пользователей, тестирование открытого ретранслятора, анализ конфигурации TLS и проверку SPF/DKIM/DMARC для домена example.com.
Тест аутентификации перебором 
Протестируйте безопасность аутентификации SMTP на mail.target.com с помощью Hydra, используя топ-100 паролей из списка слов. Сообщите о любых обнаруженных слабых учетных данных.

Лучшие практики

  • Всегда получайте письменное разрешение перед тестированием любой системы, которой вы не владеете
  • Документируйте все действия по тестированию, включая временные метки, выполненные команды и выводы
  • Используйте ограничение скорости при тестировании, чтобы не перегружать целевые системы
  • Сообщайте об уязвимостях системным администраторам через надлежащие каналы

Избегать

  • Никогда не тестируйте системы без явного разрешения, даже в образовательных целях
  • Избегайте использования реальных паролей или конфиденциальных данных во время тестирования
  • Не эксплуатируйте обнаруженные уязвимости за рамками авторизованного тестирования
  • Никогда не передавайте и не продавайте собранные адреса электронной почты или учетные данные

Часто задаваемые вопросы

Является ли тестирование SMTP на проникновение законным?
Тестирование SMTP на проникновение является законным только при выполнении на системах, которыми вы владеете, или при наличии явного письменного разрешения на тестирование. Несанкционированное тестирование является незаконным и может привести к уголовному преследованию.
Какие инструменты требуются для тестирования SMTP?
Распространенные инструменты включают Nmap со скриптами SMTP, smtp-user-enum, Hydra для перебора, Netcat для ручного тестирования и Metasploit для расширенных модулей.
Могу ли я тестировать любой найденный SMTP-сервер?
Нет. Обнаружение SMTP-сервера не дает вам разрешения на его тестирование. Вы должны иметь письменное разрешение от владельца системы перед проведением любого тестирования безопасности.
Какие основные уязвимости SMTP нужно тестировать?
Ключевые уязвимости включают неправильную конфигурацию открытого ретранслятора, включенные команды VRFY/EXPN (перечисление пользователей), слабую аутентификацию, отсутствующее или слабое TLS-шифрование и отсутствующие записи аутентификации электронной почты (SPF/DKIM/DMARC).
Как безопасно тестировать открытые ретрансляторы?
Используйте скрипт smtp-open-relay в Nmap или ручное тестирование с test@example.com в качестве внешнего получателя. Всегда используйте тестовые домены и документируйте выводы без фактической пересылки спама.
Что делать, если я обнаружил критическую уязвимость?
Тщательно задокументируйте находку, немедленно прекратите любое дальнейшее тестирование, которое может нанести ущерб, и сообщите об уязвимости системному администратору через надлежащие каналы, следуя практикам ответственного раскрытия.

Сведения для разработчиков

Автор

sickn33

Лицензия

MIT

Репозиторий

https://github.com/sickn33/antigravity-awesome-skills/tree/main/skills/smtp-penetration-testing

Ссылка

main

Структура файлов

📄 SKILL.md