WebMail是指利用瀏覽器通過(guò)web方式來(lái)收發(fā)電子郵件的服務(wù)或技術(shù)，不需借助郵件客戶端，可以說(shuō)只要能上網(wǎng)就能使用WebMail，極大地方便了用戶對(duì)郵件的收發(fā)。對(duì)于不能熟練使用郵件客戶端， 或者在網(wǎng)吧不便使用郵件客戶端的用戶來(lái)說(shuō)，WebMail更是必不可少的選擇。Email能夠成為當(dāng)今Internet上應(yīng)用最廣泛的網(wǎng)絡(luò)服務(wù)，WebMail可謂功不可沒(méi)。

　　由于用戶的使用不當(dāng)或者WebMail系統(tǒng)的開(kāi)發(fā)不周，都有可能給WebMail的使用帶來(lái)更多的安全威脅。同樣，WebMail系統(tǒng)作為當(dāng)今電子郵件系統(tǒng)的重要組成部份，它的安全性也是不可忽視的。

　　一、郵件地址欺騙

　　郵件地址欺騙是非常簡(jiǎn)單和容易的，攻擊者針對(duì)用戶的電子郵件地址，取一個(gè)相似的電子郵件名，在WebMail的郵箱配置中將“發(fā)件人姓名”配置成與用戶一樣的發(fā)件人姓名（有些WebMail系統(tǒng)沒(méi)有提供此功能），然后冒充該用戶發(fā)送電子郵件，在他人收到郵件時(shí)，往往不會(huì)從郵件地址、郵件信息頭等上面做仔細(xì)檢查，從發(fā)件人姓名、郵件內(nèi)容等上面又看不出異樣，誤以為真，攻擊者從而達(dá)到欺騙的目的。例如某用戶的電子郵件名是wolfe，攻擊者就會(huì)取w0lfe、wo1fe、wolfee、woolfe之類相似的電子郵件名來(lái)進(jìn)行欺騙。雖然免費(fèi)的午餐越來(lái)越難吃，但還是有很多用戶使用的是免費(fèi)電子郵箱，通過(guò)注冊(cè)申請(qǐng)，攻擊者很容易得到相似的電子郵件地址。

　　人們通常以為電子郵件的回復(fù)地址就是它的發(fā)件人地址，其實(shí)不然，在RFC 822中明確定義了發(fā)件人地址和回復(fù)地址可以不一樣，熟悉電子郵件客戶端使用的用戶也會(huì)明白這一點(diǎn)，在配置帳戶屬性或撰寫郵件時(shí)，可以指定與發(fā)件人地址不同的回復(fù)地址。由于用戶在收到某個(gè)郵件時(shí)，雖然會(huì)檢查發(fā)件人地址是否真實(shí)，但在回復(fù)時(shí)，并不會(huì)對(duì)回復(fù)地址做出仔細(xì)的檢查，所以，如果配合smtp欺騙使用，發(fā)件人地址是要攻擊的用戶的電子郵件地址，回復(fù)地址則是攻擊者自已的電子郵件地址，那么這樣就會(huì)具有更大的欺騙性，誘騙他人將郵件發(fā)送到攻擊者的電子郵箱中。

　　所謂害人之心不可有，防人之心不可無(wú)，鑒于郵件地址欺騙的易于實(shí)現(xiàn)和危險(xiǎn)性，我們不得不時(shí)時(shí)提防，以免上當(dāng)受騙。對(duì)于WebMail系統(tǒng)而言，提供郵件信息頭內(nèi)容檢查、smtp認(rèn)證（如果該郵件系統(tǒng)支持smtp的話）等服務(wù)技術(shù)，將郵件地址欺騙帶來(lái)的危害降至最小是非常有必要的。對(duì)郵件用戶而言，認(rèn)真檢查郵件的發(fā)件人郵件地址、發(fā)件人IP地址、回復(fù)地址等郵件信息頭內(nèi)容是很重要的。