Webmail攻防實戰(zhàn)(8)_Mail服務(wù)器教程
可見,無論是cookie會話跟蹤還是URL會話跟蹤,都存在著不少的安全問題,所以WebMail系統(tǒng)有必要采取措施加強會話安全:
(1) 靈活使用會話跟蹤技術(shù):客戶端支持cookie時,使用相對比較安全的臨時型cookie會話跟蹤機制,否則,使用URL會話跟蹤,JSP等開發(fā)程序能很容易做到這一點。
(2) 結(jié)合多種會話跟蹤技術(shù):同時結(jié)合cookie、URL會話跟蹤技術(shù)進行會話跟蹤,大大增加攻擊者難度。
(3) 跟客戶端IP地址相結(jié)合:21cn.com、qmail的sqWebMail等WebMail系統(tǒng),就是把當前會話與客戶端IP地址結(jié)合在一起來加強安全的。
(4) 合理設(shè)置會話超時時間:在一定時間內(nèi)客戶端沒有連接請求則認為會話超時(timeout)。太短了,給用戶帶來不便;太長了,給攻擊者帶來方便。
七、WebMail其他安全
如果用戶在WebMail里設(shè)置了自動回復,攻擊者利用這一點,在另一個郵箱里也設(shè)置自動回復,并發(fā)一封郵件給用戶,那么郵件很快就會塞滿用戶的郵箱,迫使用戶不得不取消自動回復,所以,良好的自動回復策略應該是在一定時間內(nèi)來自同一郵件地址的第二封郵件不應該被自動回復。
攻擊者還會在郵件附件中夾帶病毒、木馬等惡性程序來攻擊用戶的電腦,甚至用來竊取WebMail密碼,所以,對于不明郵件,用戶不要奢望那是攻瑰和情書,在對附件進行病毒查殺之前,不要輕易打開它的附件。
為了防止垃圾郵件,WebMail系統(tǒng)應有良好的反垃圾郵件功能,一是系統(tǒng)級的垃圾郵件過濾,對一些被投訴和列入反垃圾郵件組織黑名單的郵件地址進行過濾,二是用戶級的垃圾郵件過濾,使WebMail用戶可以定制自己的郵件過濾規(guī)則,拒絕不受歡迎的郵件,免受垃圾郵件的困擾。
使用一些嗅探監(jiān)聽程序,攻擊者甚至不需要很高深的專業(yè)知識,就能很輕易地嗅探監(jiān)聽到用戶WebMail的密碼、郵件內(nèi)容等。有一個叫“密碼監(jiān)聽器”的黑客程序,幾乎能監(jiān)聽到國內(nèi)所有免費郵箱的密碼。所以,WebMail系統(tǒng)有必要支持SSI,對瀏覽器與服務(wù)器之間傳輸?shù)臄?shù)據(jù)進行加密,防止被嗅探監(jiān)聽。
一些WebMail系統(tǒng)支持數(shù)字簽名和數(shù)字加密,在WebMail內(nèi)可以導入基于公鑰加密機制(如CA認證中心頒發(fā)的數(shù)字證書)產(chǎn)生的公私密鑰對,能有效地保證郵件的保密性、完整性和不可抵賴性,不過,鑒于WebMail在其他方面的安全問題,一旦攻擊者侵入用戶的WebMail,用戶反而得不償失,甚至會導致私鑰的泄漏。
WebMail系統(tǒng)程序上的漏洞也值得關(guān)注,如IMHO WebMail遠程帳戶劫持漏洞、BasiliX WebMail遠程任意文件泄露漏洞、W3Mail WebMail執(zhí)行任意命令漏洞等,甚至21cn.com都曾有過重要路徑泄漏漏洞。
從上面我們可以看到,WebMail的安全問題不容樂觀,如果要較好地解決它,一方面要增強WebMail系統(tǒng)的安全性,另一方面則依賴于用戶對WebMail的正確使用,這些在上面都有討論,在此就不贅述。如果用戶在正確使用WebMail后仍然存在安全問題,那么剩下的,就是去選擇一個好的郵件服務(wù)商,或者通過郵件客戶端軟件來收發(fā)郵件,不過,使用outlook等郵件客戶端軟件又會引發(fā)其它的安全問題,例如愛蟲、求職信等病毒就是利用outlook的漏洞來擴散傳播和危害用戶的。
- qmail+vpopmail+sqwebmail的安裝步驟(1)
- 分布式的Qmail郵件系統(tǒng)(2)
- 以Procmail-Gateway過濾寄出信件病毒(2)
- QMAIL+MH設(shè)計方案(2)
- 用WebEasyMail架構(gòu)Web郵件服務(wù)器(3)
- 分布式的Qmail郵件系統(tǒng)(1)
- 構(gòu)建反病毒反垃圾郵件系統(tǒng)(二)
- 配置你的第一臺e-mail服務(wù)器(4)
- Win2003自帶mail服務(wù)器配置詳細過程
- 用WebEasyMail架構(gòu)Web郵件服務(wù)器(4)
- 電子郵件系統(tǒng)收發(fā)不正常的常見原因
- Webmail攻防實戰(zhàn)(5)
- 相關(guān)鏈接:
- 教程說明:
Mail服務(wù)器教程-Webmail攻防實戰(zhàn)(8)。