这取决于您的用户经常成为受害者的网络钓鱼攻击类型。如果他们成为“请通过电子邮件向我发送您的凭据”而不是“单击此链接”的受害者，那么您就有一些非常奇怪的用户。

否则，如果它们都属于两者，或者它们只是属于精心制作的链接，您可以设置本地服务器并设置网络钓鱼站点。这将保证没有凭据离开您的网络，同时仍然允许最终目标：找出谁爱上了它。这也意味着您可以更好地控制一切，因为一切都在本地发生。

但是，有几点引起了人们的注意：

• 如果您的某些用户使用外部 SMTP 服务器，则意味着您没有邮箱所在域的 SPF 记录，或者您的 SPF 记录过于宽松。这是一个主要问题，因为它使网络钓鱼电子邮件看起来“好”变得微不足道 - 网络钓鱼者需要找到的只是一个开放的中继。考虑添加限制性 SPF 记录并告诉您的用户使用您的 SMTP 服务器（+ TLS 或 GTFO）
• 你为什么要羞辱你的用户？绘制统计数据可以更好地利用数据。点名和羞辱会导致人们因为一些相对微不足道的事情（或者我们都可能犯的错误）而被挑出来，导致人们离开去寻找更绿色的牧场。

不要羞辱你的用户。羞耻很容易被忽视。为了有效，你必须报复你的用户。如果他们屈服于虚假网络钓鱼，殴打他们，鞭打他们，然后解雇他们。此外，在网络钓鱼电子邮件中询问他们的信用卡号或银行详细信息，并掠夺被误导的用户的帐户。一定要在他们的桌面系统中上传儿童色情图片，然后向 FBI 举报。请记住，一个好的用户是一个心怀不满的用户，会因恐惧而颤抖，充满怨恨，并处于精神崩溃的边缘。只有这样，他才会富有成效和效率。

...

尽管具有讽刺意味，但通过虚假网络钓鱼来羞辱自己的用户，除了在大多数国家/地区在道德上可疑且非法之外，首先看起来也是一件非常愚蠢的事情。

如果您真的有意扮演攻击者的角色，那么您将不得不像成功的攻击者那样进行操作——这将需要与僵尸网络运营商等可疑的个人建立联系，他们向垃圾邮件发送者出售大量电子邮件发送服务。

对我来说，这个想法更像是一个潘多拉盒子：
- 抛开良好的意图不谈，它可能最终会出现在法庭上的陷阱/诱惑（除非您是某种政府/监管实体，您可以将其覆盖）。例如，用户可以声称他的银行帐户在您的“反网络钓鱼活动”之后被清空；
- 它会让用户感到无法修复 - 你做测试，他们咬了一口，你用“你真丢脸”回复他们，他们会下意识地记下这个“啊，如果这是一封网络钓鱼邮件，那么它来自我们的 IT 人员”，然后真正的网络钓鱼尝试带有巧妙的措辞，“例如，您好，这是您的 IT 部门正在检查最近的帐户违规行为，请单击...”

如果被问到，我可能会考虑解决此问题的唯一方法是从非官方服务器发送一封漂亮的电子邮件，该服务器将链接到非标准 URL 并在第三方注册，但仍连接到非常用的由正确组织控制的服务器上的 IP。

这样，成为它的受害者的人就不会泄露任何信息，而是可以与他们一起解释什么是网络钓鱼以及如何最好地避免它。我也不会试图羞辱他们。我什至可能不会明确表示他们在连接时遭受了网络钓鱼攻击，而是让客户服务打电话给他们并与他们讨论。

获得好评的唯一方法是，流程的每一步都保护他们的信息，并将其作为一种教育服务来帮助他们，而不是“测试”。如果他们将其视为一种测试，那么与提供有用的教育服务相比，它会引起更多的不满。

另一种方法可能是简单地从虚假电子邮件地址发送电子邮件，并在电子邮件本身中实际披露这是一封网络钓鱼电子邮件，并解释他们应该在电子邮件中查找的一些内容。真实信息就在您发送的虚假信息中。它更容易实施，并且可能会更好地被接受并且同样有效。