金笛邮件论坛 - 教务邮箱遭入侵引发邮件服务器安全思考

有一则热点事件，引起了不少网民的密切关注，那就是南大软件学院学生利用学校邮件服务器漏洞入侵教务邮箱搜索到期末考卷，并把整个入侵过程在网上进行了公开展示。然而我们要重视的不是该学生采取何种技术进行入侵，会遭受学校的何种处罚，而是该学生说道“当前很多高校的邮箱系统都存在这样的漏洞……”。

针对这个事件，小记访问了市面上为众多高校提供邮件服务的金笛邮件服务器厂商，并向其询问了对于此事件的看法，金笛表示，据事后调查，此事件主要由该校邮件服务器存在较为明显的安全漏洞，才让学生有了可趁之机，总的说来，其安全问题表现如下：

1、邮件扫描过滤不严格。该同学在事前发给教务员的邮件中携带了恶意脚本，但该校邮件服务器在接收到邮件时，却未扫描检测出来。

2、用户验证单一。该学生利用从教务邮箱处获得的cookie，就被默认为本人登录直接进入到邮箱，身份验证机制存在缺陷。

3、警报机制响应慢。在入侵时，该校邮件系统未能第一时间发现安全威胁，进行相应的处理，而是该事件曝光后，才发现邮箱被入侵。
相对来说，该学生的这种入侵方式还是属于较低级别的技术，但该校邮件服务器却未能成功过滤掉，可见在安全防范上，此邮件服务器软件还有很大的改进空间。

或许有人会说，这种入侵依靠的是网页邮箱，如果我们使用邮件客户端软件进行邮件收发，应该就可以避免此类安全威胁。但是我们要知道Webmail邮箱的便捷性与多功能已被大多数人认可，用户使用率在不断提升，所以还是要从Webmail邮件层面来着手解决。针对这个事件中校园邮件服务器所面临的安全威胁，金笛邮件系统提出了以下解决方案：

一、邮件内容全面过滤
案例中的作案学生通过给教务邮箱发送一封带表情图标的邮件，并在图标中植入了恶意脚本，老师一旦打开阅读，该学生指定的邮箱即可收到通过脚本获取到的对方cookie值，从而轻松登录入侵得程。

而金笛邮件系统内嵌有强劲有效的邮件杀毒引擎，将对发件人认证，邮件标题、正文、附件等进行全面扫描验证。对于具有破坏性的邮件，还未进入到用户邮箱，在网络协议层即可被检测出来，从而决定该邮件是直接删除或是进行隔离处理，即使用户采用网页浏览器进行邮箱登陆，也能全面过滤不安全因素。

二、IP转换cookie无效，多重用户身份认证

百度百科介绍：Cookie最典型的应用是判定注册用户是否已经登录网站，在下一次进入此网站时即可保留用户信息以便简化登录流程。该同学正是利用cookie的此项应用成功获取学校邮件系统的认可，进入到邮箱。但金笛在网页登录身份认证上采取“IP转换cookie无效”技术，有效防范“有心人士”利用cookie漏洞入侵用户邮箱。

同时，金笛邮件系统还支持SMTP、ESMTP、LDAP、Active Directory、POP3等多种用户认证方式，不法分子想要伪装正常用户进入邮箱，还得先通过它们的“考核”。

三、金笛具备短信警报功能

人的肉眼大多时候是无法第一时间识别威胁所在，但是按程序设定而走的软件系统能在第一时间做出判断。该校教务邮箱被入侵后，管理人员却没有立即得到威胁警报，是以未能及时做出相应的处理。金笛的短信模块能进行警报设置，在威胁出现后，能按设定立即警报通知管理员中的一位或者多位，提醒其威胁所在，以便及时做出应对。

最后，金笛方还表示道，“除了以上防范，学校还可对一些重要邮箱进行权限设置，比如这个教务邮箱，可设置成只能和某些教师邮箱进行邮件互动，其他邮件地址是不能对该邮箱成功发送邮件的，如此，对于存储重要信息的邮箱安全保护也就更为彻底了。”
__________________