网易科技频道--Webmail安全问题莫忽视尚易教你如何保护邮件

1．什么是Webmail?

　　收发邮件有2种方式，一种是通过Outlook Express, Foxmail等客户端软件邮件；另外一种是登陆服务商的站点收发邮件，后者，我们称为Webmail。

　　2．那些服务商提供Webmail服务？　　

　　大部分国内的门户站点都提供Webmail服务，因为只有登陆Webmail才可以修改邮箱密码，设置自动转发，自动回复等。但是各个服务商提供的Webmail质量却大不相同，一般来说，门户站点，专业的邮箱服务商提供的Webmail会比较完善，支持多语言，安全性也较好；随虚拟主机赠送的邮箱的Webmail会比较简陋，中文支持不好，安全漏洞也多。

　　3．Webmail的优点和缺点?

　　Webmail与Outlook Express和Foxmail等客户端软件比较，其优点在于：

　　a.可以随时随地收发邮件，不受PC机环境的影响，适合在公司局域网外收发邮件；

　　b.在Webmail可以修改密码，设置自动转发，自动回复等；

　　c.每次登陆都要求输入账号密码，所以不容易忘记密码；

　　d.在Webmail可以了解邮箱已使用容量，及时清理邮箱，防止爆满；

　　e.可以设定邮件过滤规则，直接在服务器端拒收垃圾邮件；

　　f.邮件发送速度比通过Outlook Express和Foxmail等要快捷。

　　Webmail虽然简单易用，但是它仍然有不少的缺陷：

　　a.大部分服务商Webmail的密码保护能力较弱；

　　b.不可以很方便的管理多个邮箱，集中保存信件；

　　c.缺少第三方软件的支持，邮件备份等功能很难实现；

　　d.如果是免费的Webmail，则不可避免的会比Outlook, Foxmail用户面对更多的广告；

　　e.多语言支持能力不如Outlook (Express)，经常有乱码现象；

　　f. HTML邮件编辑功能较弱。

　　4．Webmail存在哪些安全隐患?

　　现在我们集中来讨论一下Webmail的安全问题，微软的IE浏览器功能非常强大，容错性极高，但是同时也带来了安全方面的隐患，不断的有IE的安全漏洞被公布，随之而来的是针对这些漏洞的邮件病毒，所以Webmail的安全威胁之一来源于HTML邮件，这些邮件里面可能含有病毒代码，也有可能含有能够修改用户的自动转发等属性的黑客代码。

　　早期的门户站点提供的Webmail有一个著名的漏洞，就是可以通过在Email中嵌入JavaScript代码，发送给某人，收件人如果在Webmail阅读此信则JavaScript代码会被执行，执行的效果是修改了收件人的自动转发属性到一个特定的地址。

　　这个漏洞在各大学的BBS公布后，门户站点很快修补了此漏洞，以后在Webmail读信时JavaScript等Script代码会被屏蔽，以确保安全性。

　　尽管如此，黑客们仍然可以利用一些HTML的高级技巧间接的嵌入一些有害的JavaScript代码，例如臭名昭著的蠕虫病毒尼姆达就是利用HTML中的IFrame语法进行传播，当时就有大量的Webmail用户受到感染，所以之后某些站点的Webmail对Iframe,Frameset等代码也进行了过滤。

　　Webmail的安全威胁之二来自非法的网络窃听软件，这些软件会窃听网络上传输的数据，分析其中的网址甚至是包含的账号密码，提留黑客认为用利用价值的数据，然后伺机发送攻击。为了防止黑客截取了用户登陆Webmail后的一些网址(URL)，专业的Webmail服务商都会使用网址(URL)与IP、Cookie绑定的安全登陆方式，从而防止黑客窃取网址后在其他机器登陆；为了确保安全，这些Webmail网址都具有时效性，一般半小时后就会失效，点击"退出"按钮也会让这些网址马上失效，一些粗心的Webmail用户，喜欢通过直接关闭浏览器，而不是点击Webmail的"退出"按钮退出Webmail。这样可能造成一个问题：别人在历史记录找到尚未失效的的网址，进入该用户的Webmail界面。这种问题是经常发生在公用的电脑上的。

　　因为浏览网页最常用的HTTP协议是明文协议，所以黑客有可能在网关或者路由器上获得用户的账号和密码，这个是更大的安全威胁，要避免这个安全隐患就要求使用加密的HTTP协议HTTPS，但目前只有少数收费的Webmail支持这项功能。