技能 smtp-penetration-testing

📧

smtp-penetration-testing

Name: smtp-penetration-testing
Author: sickn33

高風險 ⚙️ 外部命令🌐 網路存取

測試 SMTP 伺服器安全性

此技能使安全專業人員能夠進行全面的 SMTP 伺服器滲透測試，識別開放轉發、弱驗證和使用者列舉等漏洞。

支援: Claude Codex Code(CC)

⚠️ 55 差

下載技能 ZIP

在 Claude 中上傳

前往設定 → 功能 → 技能 → 上傳技能

開啟並開始使用

測試它

正在使用「smtp-penetration-testing」。在 mail.target.com 上執行 SMTP 橫幅擷取

預期結果:

橫幅分析結果：
- 伺服器：Postfix
- 版本：3.4.5
- 主機名稱：mail.target.com
- 支援的擴展：PIPELINING, SIZE, VRFY, ETRN, STARTTLS, AUTH PLAIN LOGIN
- 安全疑慮：VRFY 命令已啟用（使用者列舉風險）

正在使用「smtp-penetration-testing」。在 mail.target.com 上測試開放轉發

預期結果:

開放轉發測試結果：
- 測試 1（匿名）：通過（存在漏洞）
- 測試 2（已驗證）：已阻止
- 建議：停用匿名轉發；外部投遞需要驗證

安全審計

高風險

v1 • 2/25/2026

This skill teaches legitimate SMTP penetration testing techniques using standard security tools (Nmap, Metasploit, Hydra). Static scanner flagged 181 potential issues including Metasploit usage, network scanning tools, and brute force commands. However, these are FALSE POSITIVES - the flagged patterns are standard penetration testing tools and techniques used by security professionals for authorized assessments. The skill includes legal disclaimers requiring written authorization. Risk level set to HIGH because the skill provides actionable instructions for user enumeration, brute force attacks, and relay testing that could be misused without proper authorization.

已掃描檔案

506

分析行數

發現項

審計總數

高風險問題 (2)

SKILL.md:33-35 SKILL.md:179-187 SKILL.md:221-227 SKILL.md:266-275 SKILL.md:446-451

Metasploit Framework Usage

Skill teaches use of Metasploit auxiliary modules for SMTP enumeration and relay testing. Metasploit is a legitimate penetration testing framework commonly used by security professionals for authorized assessments.

SKILL.md:246-258 SKILL.md:260-264

Brute Force Authentication Testing

Skill teaches brute force attacks against SMTP authentication using Hydra and Medusa tools. These are standard password cracking tools used in authorized penetration tests.

中風險問題 (2)

SKILL.md:163-177

User Enumeration Techniques

Skill documents VRFY, EXPN, and RCPT command enumeration methods to discover valid email addresses. These are standard reconnaissance techniques.

SKILL.md:199-219

Open Relay Testing

Skill teaches testing for open mail relays which can be exploited for spam distribution. Testing for open relays is a legitimate security assessment.

低風險問題 (2)

SKILL.md:72-85

Network Scanning Tools

Skill uses Nmap for service discovery and vulnerability scanning. Nmap is a standard network reconnaissance tool used by security professionals.

SKILL.md:87-117

Banner Grabbing Documentation

Skill documents banner grabbing techniques using Telnet, Netcat, and Nmap. Banner grabbing is basic reconnaissance.

風險因素

⚙️ 外部命令 (1)

SKILL.md:20-486

🌐 網路存取 (1)

SKILL.md:2-502

偵測到的模式

Actionable Attack Instructions

審計者: claude

品質評分

架構

100

可維護性

內容

社群

安全

規範符合性

你能建構什麼

授權安全評估

滲透測試人員對組織擁有的郵件伺服器進行滲透測試，以識別和修復漏洞。

郵件基礎設施強化

系統管理員評估其 SMTP 伺服器配置，以確保符合安全最佳實踐。

安全培訓和教育

安全培訓環境在受控實驗室環境中向學生教授 SMTP 漏洞和測試方法論。

試試這些提示

基本 SMTP 掃描

在 mail.example.com 上執行 SMTP 滲透測試。識別 SMTP 伺服器版本，測試開放轉發漏洞，並檢查 VRFY/EXPN 命令是否已啟用。

使用者列舉評估

使用 VRFY 和 RCPT 方法對 192.168.1.50 的 SMTP 伺服器進行使用者列舉測試。使用提供的字列表測試常見使用者名稱。

完整安全審計

對 example.com 網域進行全面的 SMTP 安全評估，包括橫幅擷取、使用者列舉、開放轉發測試、TLS 配置分析以及 SPF/DKIM/DMARC 驗證。

暴力破解驗證測試

使用 Hydra 和 top-100 密碼字列表在 mail.target.com 上測試 SMTP 驗證安全性。報告發現的任何弱憑證。

最佳實務

始終在測試非您擁有的系統之前取得書面授權
記錄所有測試活動，包括時間戳記、執行的命令和發現
在測試中使用速率限制，以避免對目標系統造成過度負荷
透過正確管道向系統管理員報告漏洞

避免

即使出於教育目的，也永遠不要在沒有明確授權的情況下測試系統
避免在測試期間使用真實密碼或敏感數據
不要在授權測試範圍之外利用發現的漏洞
永遠不要分享或出售收集到的電子郵件地址或憑證

常見問題

SMTP 滲透測試是否合法？

SMTP 滲透測試只有在對您擁有的系統或已獲得明確書面授權進行測試的系統上才是合法的。未經授權的測試是非法的，可能導致刑事指控。

SMTP 測試需要哪些工具？

常用工具包括帶有 SMTP 腳本的 Nmap、smtp-user-enum、用於暴力破解的 Hydra、用於手動測試的 Netcat，以及用於進階模組的 Metasploit。

我可以測試任何發現的 SMTP 伺服器嗎？

不行。找到 SMTP 伺服器並不代表您有權對其進行測試。在進行任何安全測試之前，您必須獲得系統擁有者的書面授權。

要測試的主要 SMTP 漏洞有哪些？

主要漏洞包括開放轉發配置錯誤、啟用的 VRFY/EXPN 命令（使用者列舉）、弱驗證、缺少或弱 TLS 加密，以及缺少郵件驗證記錄（SPF/DKIM/DMARC）。

如何安全地測試開放轉發？

使用 Nmap 的 smtp-open-relay 腳本或使用 test@example.com 作為外部收件人的手動測試。始終使用測試網域並記錄發現的內容，而不實際轉發垃圾郵件。

如果發現關鍵漏洞應該怎麼做？

徹底記錄發現，立即停止任何可能造成損害的進一步測試，並透過遵循負責任揭露實踐的正確管道向系統管理員報告漏洞。

開發者詳情

作者

sickn33

授權

MIT

儲存庫

https://github.com/sickn33/antigravity-awesome-skills/tree/main/skills/smtp-penetration-testing

引用

main

檔案結構

📄 SKILL.md