Webmail攻防實戰_Mail服務器教程

WebMail是指利用瀏覽器通過web方式來收發電子郵件的服務或技術，不需借助郵件客戶端，可以說只要能上網就能使用WebMail，極大地方便了用戶對郵件的收發。對于不能熟練使用郵件客戶端， 或者在網吧不便使用郵件客戶端的用戶來說，WebMail更是必不可少的選擇。Email能夠成為當今Internet上應用最廣泛的網絡服務，WebMail可謂功不可沒。

　　由于用戶的使用不當或者WebMail系統的開發不周，都有可能給WebMail的使用帶來更多的安全威脅。同樣，WebMail系統作為當今電子郵件系統的重要組成部份，它的安全性也是不可忽視的。

　　一、郵件地址欺騙

　　郵件地址欺騙是非常簡單和容易的，攻擊者針對用戶的電子郵件地址，取一個相似的電子郵件名，在WebMail的郵箱配置中將“發件人姓名”配置成與用戶一樣的發件人姓名（有些WebMail系統沒有提供此功能），然后冒充該用戶發送電子郵件，在他人收到郵件時，往往不會從郵件地址、郵件信息頭等上面做仔細檢查，從發件人姓名、郵件內容等上面又看不出異樣，誤以為真，攻擊者從而達到欺騙的目的。例如某用戶的電子郵件名是wolfe，攻擊者就會取w0lfe、wo1fe、wolfee、woolfe之類相似的電子郵件名來進行欺騙。雖然免費的午餐越來越難吃，但還是有很多用戶使用的是免費電子郵箱，通過注冊申請，攻擊者很容易得到相似的電子郵件地址。

　　人們通常以為電子郵件的回復地址就是它的發件人地址，其實不然，在RFC 822中明確定義了發件人地址和回復地址可以不一樣，熟悉電子郵件客戶端使用的用戶也會明白這一點，在配置帳戶屬性或撰寫郵件時，可以指定與發件人地址不同的回復地址。由于用戶在收到某個郵件時，雖然會檢查發件人地址是否真實，但在回復時，并不會對回復地址做出仔細的檢查，所以，如果配合smtp欺騙使用，發件人地址是要攻擊的用戶的電子郵件地址，回復地址則是攻擊者自已的電子郵件地址，那么這樣就會具有更大的欺騙性，誘騙他人將郵件發送到攻擊者的電子郵箱中。

　　所謂害人之心不可有，防人之心不可無，鑒于郵件地址欺騙的易于實現和危險性，我們不得不時時提防，以免上當受騙。對于WebMail系統而言，提供郵件信息頭內容檢查、smtp認證（如果該郵件系統支持smtp的話）等服務技術，將郵件地址欺騙帶來的危害降至最小是非常有必要的。對郵件用戶而言，認真檢查郵件的發件人郵件地址、發件人IP地址、回復地址等郵件信息頭內容是很重要的。