南大教务邮箱遭入侵的邮件服务器三个漏洞引发的讨论

　　近日，南大邮箱造入侵事件，引起了不少网民的密切关注，然而我们要重视的不是该学生采取何种技术进行入侵，会遭受学校的何种处罚，而是该学生说道“当前很多高校的邮箱系统都存在这样的漏洞……”。

　　总的说来，其安全漏洞主要有一下三个漏洞

　　漏洞一:邮件扫描过滤不严格

　　"南大技术帝"在事前发给教务员的邮件中携带了恶意脚本，但该校邮件服务器在接收到邮件时，却未扫描检测出来。

　　漏洞二:用户验证单一

　　该学生利用从教务邮箱处获得的cookie，就被默认为本人登录直接进入到邮箱，身份验证机制存在缺陷。

　　漏洞三:警报机制响应慢。

　　在入侵时，该校邮件系统未能第一时间发现安全威胁，进行相应的处理，而是该事件曝光后，才发现邮箱被入侵。

　　相对来说，该学生的这种入侵方式还是属于较低级别的技术，但该校邮件服务器却未能成功过滤掉，可见在安全防范上，此邮件服务器软件还有很大的改进空间。或许有人会说，这种入侵依靠的是网页邮箱，如果我们使用邮件客户端软件进行邮件收发，应该就可以避免此类安全威胁。但是我们要知道Webmail邮箱的便捷性与多功能已被大多数人认可，用户使用率在不断提升，所以还是要从Webmail邮件层面来着手解决。针对这个事件中校园邮件服务器所面临的安全威胁，163企业邮箱针对以上三个漏洞提出出了建议补漏方案：

　　一、针对邮件扫描过滤不严格的漏洞：采用邮件内容全面过滤的方式

　　案例中的作案学生通过给教务邮箱发送一封带表情图标的邮件，并在图标中植入了恶意脚本，老师一旦打开阅读，该学生指定的邮箱即可收到通过脚本获取到的对方cookie值，从而轻松登录入侵得程。可以升级邮件系统，将对发件人认证，邮件标题、正文、附件等进行全面扫描验证。对于具有破坏性的邮件，还未进入到用户邮箱，在网络协议层即可被检测出来，从而决定该邮件是直接删除或是进行隔离处理，即使用户采用网页浏览器进行邮箱登陆，也能全面过滤不安全因素。

　　二、针对用户验证单一的漏洞：采用IP转换cookie无效，多重用户身份认证

　　Cookie最典型的应用是判定注册用户是否已经登录网站，在下一次进入此网站时即可保留用户信息以便简化登录流程。该同学正是利用cookie的此项应用成功获取学校邮件系统的认可，进入到邮箱。

　　在网页登录身份认证上采取“IP转换cookie无效”技术，有效防范“有心人士”利用cookie漏洞入侵用户邮箱。

　　三、针对警报机制相应慢的漏洞：增加警报功能模块

　　人的肉眼大多时候是无法第一时间识别威胁所在，但是按程序设定而走的软件系统能在第一时间做出判断。该校教务邮箱被入侵后，管理人员却没有立即得到威胁警报，是以未能及时做出相应的处理。增加警报功能模块后，在威胁出现后，能按设定立即警报通知收/发件人、管理员中的一位或者多位，提醒其威胁所在，以便及时做出应对。