当前位置: 首页 > 图文教程 > 服务器 > Web服务器 > Webmail攻防实战(1)

Web服务器
WEB服务器系统盘权限简单设置
Web服务器日志工具点评
Session服务器配置指南与使用经验
快播网吧版 内网环境点播新方案
nginx和squid配合搭建的web服务器前端系统
保障WEB服务器安全的三方面利器
入门:web服务器和应用服务器的区别
当前比较适用的海量小文件系统架构方案
如何让你的Web服务器日志文件更安全
如何授权web服务器提供安全数据库访问
应用:基于Unix的Web服务器安全指南
使用IIS授予对Web内容的Web服务器权限
在Windows 2003中配置ASP.Net环境
保障Web服务器安全的六个步骤
如何解决Web服务器能Ping通但不能访问
windows2008中IIS7详细安装图文教程加fastcgi模式PHP配置教程
提高PHP速度的Windows Cache Extension 1.0安装教程
基于Unix的Web服务器安全指南
IIS6设置网站经常遇到的问题详解
IIS状态代码:IIS详细错误代码以及解释

Web服务器 中的 Webmail攻防实战(1)


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-11-02   浏览: 43 ::
收藏到网摘: n/a

WebMail是指利用浏览器通过web方式来收发电子邮件的服务或技术,不需借助邮件客户端,可以说只要能上网就能使用WebMail,极大地方便了用户对邮件的收发。对于不能熟练使用邮件客户端, 或者在网吧不便使用邮件客户端的用户来说,WebMail更是必不可少的选择。Email能够成为当今Internet上应用最广泛的网络服务,WebMail可谓功不可没。

  由于用户的使用不当或者WebMail系统的开发不周,都有可能给WebMail的使用带来更多的安全威胁。同样,WebMail系统作为当今电子邮件系统的重要组成部份,它的安全性也是不可忽视的。

  一、邮件地址欺骗

  邮件地址欺骗是非常简单和容易的,攻击者针对用户的电子邮件地址,取一个相似的电子邮件名,在WebMail的邮箱配置中将“发件人姓名”配置成与用户一样的发件人姓名(有些WebMail系统没有提供此功能),然后冒充该用户发送电子邮件,在他人收到邮件时,往往不会从邮件地址、邮件信息头等上面做仔细检查,从发件人姓名、邮件内容等上面又看不出异样,误以为真,攻击者从而达到欺骗的目的。例如某用户的电子邮件名是wolfe,攻击者就会取w0lfe、wo1fe、wolfee、woolfe之类相似的电子邮件名来进行欺骗。虽然免费的午餐越来越难吃,但还是有很多用户使用的是免费电子邮箱,通过注册申请,攻击者很容易得到相似的电子邮件地址。

  人们通常以为电子邮件的回复地址就是它的发件人地址,其实不然,在RFC 822中明确定义了发件人地址和回复地址可以不一样,熟悉电子邮件客户端使用的用户也会明白这一点,在配置帐户属性或撰写邮件时,可以指定与发件人地址不同的回复地址。由于用户在收到某个邮件时,虽然会检查发件人地址是否真实,但在回复时,并不会对回复地址做出仔细的检查,所以,如果配合smtp欺骗使用,发件人地址是要攻击的用户的电子邮件地址,回复地址则是攻击者自已的电子邮件地址,那么这样就会具有更大的欺骗性,诱骗他人将邮件发送到攻击者的电子邮箱中。

  所谓害人之心不可有,防人之心不可无,鉴于邮件地址欺骗的易于实现和危险性,我们不得不时时提防,以免上当受骗。对于WebMail系统而言,提供邮件信息头内容检查、smtp认证(如果该邮件系统支持smtp的话)等服务技术,将邮件地址欺骗带来的危害降至最小是非常有必要的。对邮件用户而言,认真检查邮件的发件人邮件地址、发件人IP地址、回复地址等邮件信息头内容是很重要的。