Webmail攻防實戰(8)_Mail服務器教程

瀏覽器的漏洞和惡意腳本程序導致了cookie信息的泄漏，與cookie信息泄漏不同，URL會話信息被泄漏，則是完全出在HTTP協議上，除非修改HTTP協議。雖然RFC2616里指出referer域是敏感信息(Sensitive Information)，建議瀏覽器提供友好界面讓用戶能夠允許或禁用傳輸敏感信息域，不過目前尚未有哪一家瀏覽器提供了這樣的功能界面。

可見，無論是cookie會話跟蹤還是URL會話跟蹤，都存在著不少的安全問題，所以WebMail系統有必要采取措施加強會話安全：

(1) 靈活使用會話跟蹤技術：客戶端支持cookie時，使用相對比較安全的臨時型cookie會話跟蹤機制，否則，使用URL會話跟蹤，JSP等開發程序能很容易做到這一點。

(2) 結合多種會話跟蹤技術：同時結合cookie、URL會話跟蹤技術進行會話跟蹤，大大增加攻擊者難度。

(3) 跟客戶端IP地址相結合：21cn.com、qmail的sqWebMail等WebMail系統，就是把當前會話與客戶端IP地址結合在一起來加強安全的。

(4) 合理設置會話超時時間：在一定時間內客戶端沒有連接請求則認為會話超時(timeout)。太短了，給用戶帶來不便;太長了，給攻擊者帶來方便。

七、WebMail其他安全

如果用戶在WebMail里設置了自動回復，攻擊者利用這一點，在另一個郵箱里也設置自動回復，并發一封郵件給用戶，那么郵件很快就會塞滿用戶的郵箱，迫使用戶不得不取消自動回復，所以，良好的自動回復策略應該是在一定時間內來自同一郵件地址的第二封郵件不應該被自動回復。

攻擊者還會在郵件附件中夾帶病毒、木馬等惡性程序來攻擊用戶的電腦，甚至用來竊取WebMail密碼，所以，對于不明郵件，用戶不要奢望那是攻瑰和情書，在對附件進行病毒查殺之前，不要輕易打開它的附件。

為了防止垃圾郵件，WebMail系統應有良好的反垃圾郵件功能，一是系統級的垃圾郵件過濾，對一些被投訴和列入反垃圾郵件組織黑名單的郵件地址進行過濾，二是用戶級的垃圾郵件過濾，使WebMail用戶可以定制自己的郵件過濾規則，拒絕不受歡迎的郵件，免受垃圾郵件的困擾。

使用一些嗅探監聽程序，攻擊者甚至不需要很高深的專業知識，就能很輕易地嗅探監聽到用戶WebMail的密碼、郵件內容等。有一個叫“密碼監聽器”的黑客程序，幾乎能監聽到國內所有免費郵箱的密碼。所以，WebMail系統有必要支持SSI，對瀏覽器與服務器之間傳輸的數據進行加密，防止被嗅探監聽。

一些WebMail系統支持數字簽名和數字加密，在WebMail內可以導入基于公鑰加密機制(如CA認證中心頒發的數字證書)產生的公私密鑰對，能有效地保證郵件的保密性、完整性和不可抵賴性，不過，鑒于WebMail在其他方面的安全問題，一旦攻擊者侵入用戶的WebMail，用戶反而得不償失，甚至會導致私鑰的泄漏。

WebMail系統程序上的漏洞也值得關注，如IMHO WebMail遠程帳戶劫持漏洞、BasiliX WebMail遠程任意文件泄露漏洞、W3Mail WebMail執行任意命令漏洞等，甚至21cn.com都曾有過重要路徑泄漏漏洞。

從上面我們可以看到，WebMail的安全問題不容樂觀，如果要較好地解決它，一方面要增強WebMail系統的安全性，另一方面則依賴于用戶對WebMail的正確使用，這些在上面都有討論，在此就不贅述。如果用戶在正確使用WebMail后仍然存在安全問題，那么剩下的，就是去選擇一個好的郵件服務商，或者通過郵件客戶端軟件來收發郵件，不過，使用outlook等郵件客戶端軟件又會引發其它的安全問題，例如愛蟲、求職信等病毒就是利用outlook的漏洞來擴散傳播和危害用戶的。