网络扫描：邮件服务

邮件服务器是一种用来负责电子邮件收发管理的软件。它比网络上的免费邮箱更安全和高效，因此一直是企业公司的必备设备。其中，最常见的邮件服务有SMTP、IMAP和POP3。本文介绍对这些邮件服务实施扫描的方法。

1. 邮件IMAP服务

IMAP服务是基于TCP协议工作的，其工作在TCP协议的143和993端口。我们可以借助Nmap的imap-capabilities和imap-ntlm-info脚本实施扫描。下面介绍具体的扫描方法。

（1）使用imap-capabilities脚本

imap-capabilities脚本用来获取IMAP邮件服务支持的功能。语法格式如下：

nmap -p 143 --script=imap-capabilities

使用imap-capabilities脚本实施IMAP邮件服务。执行命令如下：

root@daxueba:~# nmap -p 143 --script=imap-capabilities 95.128.5.127

Starting Nmap 7.70 ( https://nmap.org ) at 2021-08-18 16:47 CST

Nmap scan report for xv200.64bitswebhosting.eu (95.128.5.127)

Host is up (0.34s latency).

PORT  STATE SERVICE

143/tcp  open  imap

|_imap-capabilities: more OK ID LOGIN-REFERRALS listed SASL-IR capabilities

post-login AUTH=PLAINA0001 have STARTTLS LITERAL+ Pre-login ENABLE IDLE IMAP4rev1

Nmap done: 1 IP address (1 host up) scanned in 2.90 seconds

从输出的信息中可以看到目标主机上开放了IMAP服务，并且显示了该服务支持的功能。

（2）使用imap-ntlm-info脚本

imap-ntlm-info脚本用来枚举启用NTLM认证的IMAP服务。语法格式如下：

nmap -p 143,993 --script imap-ntlm-info

使用imap-ntlm-info脚本枚举启用NTLM认证的IMAP服务信息。执行命令如下：

root@daxueba:~# nmap -p 143,993 --script=imap-ntlm-info 95.38.219.130

Starting Nmap 7.70 ( https://nmap.org ) at 2021-08-18 16:49 CST

Nmap scan report for 95.38.219.130

Host is up (0.29s latency).

PORT  STATE SERVICE

143/tcp open imap

| imap-ntlm-info:

|  Target_Name: AR #目标名称

|  NetBIOS_Domain_Name: AR #NetBIOS域名

|  NetBIOS_Computer_Name: KC-MAIL #NetBIOS计算机名

|  DNS_Domain_Name: ar.loc #DNS名称

|  DNS_Computer_Name: kc-mail.ar.loc  #DNS计算机名

|  DNS_Tree_Name: ar.loc #DNS树名

|_ Product_Version: 10.0.14393   #产品版本

993/tcp open imaps

| imap-ntlm-info:

|  Target_Name: AR

|  NetBIOS_Domain_Name: AR

|  NetBIOS_Computer_Name: KC-MAIL

|  DNS_Domain_Name: ar.loc

|  DNS_Computer_Name: kc-mail.ar.loc

|  DNS_Tree_Name: ar.loc

|_ Product_Version: 10.0.14393

Nmap done: 1 IP address (1 host up) scanned in 4.26 seconds

从输出信息中可以看到目标主机上IMAP服务的基本信息。

2. 邮件POP3服务

POP3服务是基于TCP协议工作的，其工作在TCP的110和995端口。我们可以使用Nmap的pop3-capabilities脚本实施扫描，该脚本用来枚举启用NTLM认证的POP3服务器。语法格式如下：

nmap -p 110,995 --script pop3-ntlm-info

扫描POP3服务器。执行命令如下：

root@daxueba:~# nmap -p 110,995 --script=pop3-ntlm-info 180.76.188.46

Starting Nmap 7.70 ( https://nmap.org ) at 2021-08-18 16:57 CST

Nmap scan report for 180.76.188.46

Host is up (0.029s latency).

PORT  STATE SERVICE

110/tcp  open pop3

| pop3-ntlm-info:

|  Target_Name: INSTANCE-DRYC8C

|  NetBIOS_Domain_Name: INSTANCE-DRYC8C

|  NetBIOS_Computer_Name: INSTANCE-DRYC8C

|  DNS_Domain_Name: instance-dryc8c

|  DNS_Computer_Name: instance-dryc8c

|_ Product_Version: 6.1.7601

995/tcp open pop3s

| pop3-ntlm-info:

|  Target_Name: INSTANCE-DRYC8C

|  NetBIOS_Domain_Name: INSTANCE-DRYC8C

|  NetBIOS_Computer_Name: INSTANCE-DRYC8C

|  DNS_Domain_Name: instance-dryc8c

|  DNS_Computer_Name: instance-dryc8c

|_ Product_Version: 6.1.7601

Nmap done: 1 IP address (1 host up) scanned in 1.12 seconds

从输出信息中可以看到，目标主机上启用了POP3服务，并且显示了该服务的相关信息。

3. 邮件SMTP服务

SMTP服务是基于TCP协议工作的，其工作在TCP的25号端口。我们可以使用smtp-ntlm-info脚本实施SMTP服务扫描。smtp-ntlm-info脚本用来枚举启用NTLM认证的SMTP服务信息。语法格式如下：

nmap -p 25 --script=smtp-ntlm-info

实施SMTP服务扫描。执行命令如下：

root@daxueba:~# nmap -p 25 --script=smtp-ntlm-info 90.85.125.180

Starting Nmap 7.70 ( https://nmap.org ) at 2021-08-18 17:02 CST

Nmap scan report for mailhost.wselille.fr (90.85.125.180)

Host is up (0.38s latency).

PORT  STATE SERVICE

25/tcp  open smtp

| smtp-ntlm-info:

|  Target_Name: WSELILLE

|  NetBIOS_Domain_Name: WSELILLE

|  NetBIOS_Computer_Name: SRVEXCHLILLE

|  DNS_Domain_Name: WSELILLE.LOCAL

|  DNS_Computer_Name: SRVEXCHLILLE.WSELILLE.LOCAL

|  DNS_Tree_Name: WSELILLE.LOCAL

|_ Product_Version: 6.3.9600

Nmap done: 1 IP address (1 host up) scanned in 5.08 seconds

从输出的信息中可以看到，目标主机上启用了SMTP服务，并且显示了SMTP服务的相关信息。