Habilidades smtp-penetration-testing

📧

smtp-penetration-testing

Name: smtp-penetration-testing
Author: sickn33

Riesgo alto ⚙️ Comandos externos🌐 Acceso a red

测试 SMTP 服务器安全性

此技能使安全专业人员能够进行全面的 SMTP 服务器渗透测试，识别开放中继、弱身份验证和用户枚举风险等漏洞。

Soporta: Claude Codex Code(CC)

⚠️ 55 Deficiente

Descargar el ZIP de la skill

Subir en Claude

Ve a Configuración → Capacidades → Skills → Subir skill

Activa y empieza a usar

Pruébalo

Usando "smtp-penetration-testing". 对 mail.target.com 执行 SMTP 横幅抓取

Resultado esperado:

横幅分析结果：
- 服务器：Postfix
- 版本：3.4.5
- 主机名：mail.target.com
- 支持的扩展：PIPELINING、SIZE、VRFY、ETRN、STARTTLS、AUTH PLAIN LOGIN
- 安全问题：VRFY 命令已启用（用户枚举风险）

Usando "smtp-penetration-testing". 测试 mail.target.com 的开放中继

Resultado esperado:

开放中继测试结果：
- 测试 1（匿名）：PASS（存在漏洞）
- 测试 2（已认证）：BLOCKED
- 建议：禁用匿名中继；外部投递需要身份验证

Auditoría de seguridad

Riesgo alto

v1 • 2/25/2026

This skill teaches legitimate SMTP penetration testing techniques using standard security tools (Nmap, Metasploit, Hydra). Static scanner flagged 181 potential issues including Metasploit usage, network scanning tools, and brute force commands. However, these are FALSE POSITIVES - the flagged patterns are standard penetration testing tools and techniques used by security professionals for authorized assessments. The skill includes legal disclaimers requiring written authorization. Risk level set to HIGH because the skill provides actionable instructions for user enumeration, brute force attacks, and relay testing that could be misused without proper authorization.

Archivos escaneados

506

Líneas analizadas

hallazgos

Auditorías totales

Problemas de riesgo alto (2)

SKILL.md:33-35 SKILL.md:179-187 SKILL.md:221-227 SKILL.md:266-275 SKILL.md:446-451

Metasploit Framework Usage

Skill teaches use of Metasploit auxiliary modules for SMTP enumeration and relay testing. Metasploit is a legitimate penetration testing framework commonly used by security professionals for authorized assessments.

SKILL.md:246-258 SKILL.md:260-264

Brute Force Authentication Testing

Skill teaches brute force attacks against SMTP authentication using Hydra and Medusa tools. These are standard password cracking tools used in authorized penetration tests.

Problemas de riesgo medio (2)

SKILL.md:163-177

User Enumeration Techniques

Skill documents VRFY, EXPN, and RCPT command enumeration methods to discover valid email addresses. These are standard reconnaissance techniques.

SKILL.md:199-219

Open Relay Testing

Skill teaches testing for open mail relays which can be exploited for spam distribution. Testing for open relays is a legitimate security assessment.

Problemas de riesgo bajo (2)

SKILL.md:72-85

Network Scanning Tools

Skill uses Nmap for service discovery and vulnerability scanning. Nmap is a standard network reconnaissance tool used by security professionals.

SKILL.md:87-117

Banner Grabbing Documentation

Skill documents banner grabbing techniques using Telnet, Netcat, and Nmap. Banner grabbing is basic reconnaissance.

Factores de riesgo

⚙️ Comandos externos (1)

SKILL.md:20-486

🌐 Acceso a red (1)

SKILL.md:2-502

Patrones detectados

Actionable Attack Instructions

Auditado por: claude

Puntuación de calidad

Arquitectura

100

Mantenibilidad

Contenido

Comunidad

Seguridad

Cumplimiento de la especificación

Lo que puedes crear

授权安全评估

安全专业人员对组织拥有的邮件服务器进行渗透测试，以识别和修复漏洞。

邮件基础设施加固

系统管理员评估其 SMTP 服务器配置，确保符合安全最佳实践。

安全培训和教育

安全培训环境在受控实验室设置中向学生教授 SMTP 漏洞和测试方法。

Prueba estos prompts

基本 SMTP 扫描

对 mail.example.com 执行 SMTP 渗透测试。识别 SMTP 服务器版本，测试开放中继漏洞，并检查是否启用了 VRFY/EXPN 命令。

用户枚举评估

使用 VRFY 和 RCPT 方法对 192.168.1.50 的 SMTP 服务器执行用户枚举测试。使用提供的字典测试常见用户名。

全面安全审计

对域 example.com 执行全面的 SMTP 安全评估，包括横幅抓取、用户枚举、开放中继测试、TLS 配置分析和 SPF/DKIM/DMARC 验证。

暴力破解身份验证测试

使用 Hydra 和 top-100 密码字典测试 mail.target.com 的 SMTP 身份验证安全性。报告发现的任何弱凭据。

Mejores prácticas

测试任何您不拥有的系统之前，始终获取书面授权
记录所有测试活动，包括时间戳、执行的命令和发现
在测试中使用速率限制，避免压垮目标系统
通过适当渠道向系统管理员报告漏洞

Evitar

切勿在未经明确授权的情况下测试系统，即使是为了教育目的
测试过程中避免使用真实密码或敏感数据
不要利用发现的漏洞超出授权测试范围
切勿分享或出售收集的电子邮件地址或凭据

Preguntas frecuentes

SMTP 渗透测试合法吗？

SMTP 渗透测试仅在对您拥有或具有明确书面授权测试的系统上执行时才是合法的。未经授权进行测试是非法的，可能导致刑事指控。

SMTP 测试需要什么工具？

常用工具包括带有 SMTP 脚本的 Nmap、smtp-user-enum、用于暴力破解的 Hydra、用于手动测试的 Netcat，以及用于高级模块的 Metasploit。

我可以测试我发现的任何 SMTP 服务器吗？

不可以。发现 SMTP 服务器并不意味着您有权测试它。在进行任何安全测试之前，您必须拥有系统所有者的书面授权。

需要测试哪些主要 SMTP 漏洞？

主要漏洞包括开放中继配置错误、启用的 VRFY/EXPN 命令（用户枚举）、弱身份验证、缺失或弱的 TLS 加密，以及缺失的邮件认证记录（SPF/DKIM/DMARC）。

如何安全地测试开放中继？

使用 Nmap 的 smtp-open-relay 脚本或使用 test@example.com 作为外部收件人进行手动测试。始终使用测试域，并在不实际中继垃圾邮件的情况下记录发现。

如果发现严重漏洞该怎么办？

彻底记录发现，立即停止任何可能造成进一步损害的测试，并通过适当渠道向系统管理员报告漏洞，遵循负责任披露实践。

Detalles del desarrollador

Autor

sickn33

Licencia

MIT

Repositorio

https://github.com/sickn33/antigravity-awesome-skills/tree/main/skills/smtp-penetration-testing

Ref.

main

Estructura de archivos

📄 SKILL.md