技能 smtp-penetration-testing
📧

smtp-penetration-testing

高风险 ⚙️ 外部命令🌐 网络访问

测试 SMTP 服务器安全性

此技能使安全专业人员能够进行全面的 SMTP 服务器渗透测试,识别开放中继、弱身份验证和用户枚举风险等漏洞。

支持: Claude Codex Code(CC)
⚠️ 57
1

下载技能 ZIP

2

在 Claude 中上传

前往 设置 → 功能 → 技能 → 上传技能

3

开启并开始使用

测试它

正在使用“smtp-penetration-testing”。 对 mail.target.com 执行 SMTP 横幅抓取

预期结果:

横幅分析结果:
- 服务器:Postfix
- 版本:3.4.5
- 主机名:mail.target.com
- 支持的扩展:PIPELINING、SIZE、VRFY、ETRN、STARTTLS、AUTH PLAIN LOGIN
- 安全问题:VRFY 命令已启用(用户枚举风险)

正在使用“smtp-penetration-testing”。 测试 mail.target.com 的开放中继

预期结果:

开放中继测试结果:
- 测试 1(匿名):PASS(存在漏洞)
- 测试 2(已认证):BLOCKED
- 建议:禁用匿名中继;外部投递需要身份验证

安全审计

高风险
v1 • 2/25/2026

This skill teaches legitimate SMTP penetration testing techniques using standard security tools (Nmap, Metasploit, Hydra). Static scanner flagged 181 potential issues including Metasploit usage, network scanning tools, and brute force commands. However, these are FALSE POSITIVES - the flagged patterns are standard penetration testing tools and techniques used by security professionals for authorized assessments. The skill includes legal disclaimers requiring written authorization. Risk level set to HIGH because the skill provides actionable instructions for user enumeration, brute force attacks, and relay testing that could be misused without proper authorization.

1
已扫描文件
506
分析行数
8
发现项
1
审计总数

高风险问题 (2)

SKILL.md:33-35SKILL.md:179-187SKILL.md:221-227SKILL.md:266-275SKILL.md:446-451
Metasploit Framework Usage
Skill teaches use of Metasploit auxiliary modules for SMTP enumeration and relay testing. Metasploit is a legitimate penetration testing framework commonly used by security professionals for authorized assessments.
SKILL.md:246-258SKILL.md:260-264
Brute Force Authentication Testing
Skill teaches brute force attacks against SMTP authentication using Hydra and Medusa tools. These are standard password cracking tools used in authorized penetration tests.
中风险问题 (2)
SKILL.md:163-177
User Enumeration Techniques
Skill documents VRFY, EXPN, and RCPT command enumeration methods to discover valid email addresses. These are standard reconnaissance techniques.
SKILL.md:199-219
Open Relay Testing
Skill teaches testing for open mail relays which can be exploited for spam distribution. Testing for open relays is a legitimate security assessment.
低风险问题 (2)
SKILL.md:72-85
Network Scanning Tools
Skill uses Nmap for service discovery and vulnerability scanning. Nmap is a standard network reconnaissance tool used by security professionals.
SKILL.md:87-117
Banner Grabbing Documentation
Skill documents banner grabbing techniques using Telnet, Netcat, and Nmap. Banner grabbing is basic reconnaissance.

风险因素

⚙️ 外部命令 (1)
SKILL.md:20-486
🌐 网络访问 (1)
SKILL.md:2-502

检测到的模式

Actionable Attack Instructions
审计者: claude

质量评分

38
架构
100
可维护性
87
内容
50
社区
5
安全
96
规范符合性

你能构建什么

授权安全评估

安全专业人员对组织拥有的邮件服务器进行渗透测试,以识别和修复漏洞。

邮件基础设施加固

系统管理员评估其 SMTP 服务器配置,确保符合安全最佳实践。

安全培训和教育

安全培训环境在受控实验室设置中向学生教授 SMTP 漏洞和测试方法。

试试这些提示

基本 SMTP 扫描 
对 mail.example.com 执行 SMTP 渗透测试。识别 SMTP 服务器版本,测试开放中继漏洞,并检查是否启用了 VRFY/EXPN 命令。
用户枚举评估 
使用 VRFY 和 RCPT 方法对 192.168.1.50 的 SMTP 服务器执行用户枚举测试。使用提供的字典测试常见用户名。
全面安全审计 
对域 example.com 执行全面的 SMTP 安全评估,包括横幅抓取、用户枚举、开放中继测试、TLS 配置分析和 SPF/DKIM/DMARC 验证。
暴力破解身份验证测试 
使用 Hydra 和 top-100 密码字典测试 mail.target.com 的 SMTP 身份验证安全性。报告发现的任何弱凭据。

最佳实践

  • 测试任何您不拥有的系统之前,始终获取书面授权
  • 记录所有测试活动,包括时间戳、执行的命令和发现
  • 在测试中使用速率限制,避免压垮目标系统
  • 通过适当渠道向系统管理员报告漏洞

避免

  • 切勿在未经明确授权的情况下测试系统,即使是为了教育目的
  • 测试过程中避免使用真实密码或敏感数据
  • 不要利用发现的漏洞超出授权测试范围
  • 切勿分享或出售收集的电子邮件地址或凭据

常见问题

SMTP 渗透测试合法吗?
SMTP 渗透测试仅在对您拥有或具有明确书面授权测试的系统上执行时才是合法的。未经授权进行测试是非法的,可能导致刑事指控。
SMTP 测试需要什么工具?
常用工具包括带有 SMTP 脚本的 Nmap、smtp-user-enum、用于暴力破解的 Hydra、用于手动测试的 Netcat,以及用于高级模块的 Metasploit。
我可以测试我发现的任何 SMTP 服务器吗?
不可以。发现 SMTP 服务器并不意味着您有权测试它。在进行任何安全测试之前,您必须拥有系统所有者的书面授权。
需要测试哪些主要 SMTP 漏洞?
主要漏洞包括开放中继配置错误、启用的 VRFY/EXPN 命令(用户枚举)、弱身份验证、缺失或弱的 TLS 加密,以及缺失的邮件认证记录(SPF/DKIM/DMARC)。
如何安全地测试开放中继?
使用 Nmap 的 smtp-open-relay 脚本或使用 test@example.com 作为外部收件人进行手动测试。始终使用测试域,并在不实际中继垃圾邮件的情况下记录发现。
如果发现严重漏洞该怎么办?
彻底记录发现,立即停止任何可能造成进一步损害的测试,并通过适当渠道向系统管理员报告漏洞,遵循负责任披露实践。

开发者详情

作者

sickn33

许可证

MIT

仓库

https://github.com/sickn33/antigravity-awesome-skills/tree/main/skills/smtp-penetration-testing

引用

main

文件结构

📄 SKILL.md