Winwebmail安全详细的设置
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Winwebmail安全详细的设置
阅读:79 时间:2009-8-6 6:50:10
------------------------------------------------------------------
WinWebMail是安全高速的全功能邮件服务器,融合强大的功能与轻松的管理为一体,提供最佳的企业级邮件服务器解决方案。
主要功能:
·支持 SMTP,SSL-SMTP,POP3,SSL-POP3,IMAP4,SSL-IMAP4,WebMail,CA Server,TLS/SSL,S/MIME,Daytime 服务,及其所有相关RFC协议。
·提供高效的邮件防病毒功能,并支持多种杀毒引擎。
以前安装WINWEBMAIL,通常大家都是参照官方的说明,给Winwebmail目录users组甚至是Everyone可写权限。这样设置基本就能满足winwebmail的运行了。但是对于一些服务器上同时存在有其他asp或者站点,比如做虚拟主机的服务商。这样设置很容易在另外一些站点被黑后,受到跨站攻击的牵连。
好一点的就将Winwebmail的安装目录改的很复杂来躲避黑客的跨站攻击。
就这一点来讲,我觉得WINWEBMAIL官方对于目录权限的设置其实说的太过简单,有点不负责任的感觉。
下午我仔细分析了WINWEBMAIL的目录安全设置。即使按照一些特殊处理过能够防止ASP跨站攻击的设置,其实依然很容易被人跨站攻击 。实际上经过测试,我没有花太多工夫就跑进了一位协助测试的同志服务器的Winwebmail目录。并且可以随意修改里面的东西了。
下面讲下具体草作流程,
1、安装完WINWEBMAIL,基本的东西不详细说了。
2、新建立一个USER,属于GUESTS组,如:mail_vistor。(*注:如果使用iis自带的IUSR_XXX来宾用户,图片中用的是默认用户。那么这一步可以省略)。
3、新建立一个USER,属于IIS_WPG组,如:mail_user。
4、打开IIS,新建立一个进程池,命名, 如:mail_process。启动权限用户设置为:mail_user
5、打开IIS,新建立一个站点,指定主文档目录为WINWEBMAIL目录下WEB目录。并指定进程池为mail_process.
在目录安全性,里编辑匿名访问用户为:mail_vistor(或者默认为IUSR_XXX,二个用户选一即可,图片中用的是默认IIS用户)。
6、给安装WINWEBMAIL的盘符根目录比如:E盘,管理员和mail_vistor(或IUSR_XXX)只读权限。
7、给WINWEBMAIL目录IIS_WPG组、mail_vistor以及管理员三者可读写权限。
添加network service和aspnet
两个用户,权限设置为拒绝访问。
添加运行其他运行ASP网站的用户组为拒绝权限,我这里其他所有ASP网站都是在hostgroup用户组里的用户的权限来分别验证的的,我直接将整个组添加权限为:拒绝访问。(通其他ASP的防止跨站的权限设计,我就简单带过。)
winwebmail目录下各用户的权限为:
winwebmail下的web目录权限最终是:
8、重新启动IIS及WINWEBMAIL服务,即可。
这样
草作后已经大体封锁了来自除了邮件WEB程序以外的其他asp,的程序攻击了。目前我测试各方面正常。具体防止WEB目录程序攻击WINWEBMAIL的详细设置,就各人喜欢再继续深入设置,我就不具体讲了。
结束:如果你不是很了解权限的设置,你还可以简单的这样草作,将WINWEBMAIL安装到一个不容易猜解的目录里,比如:E:\XX73C3DA
这种名字的目录。然后备份c:\windows目录下WEMINSTALL.LOG这个文件并删除。(备份的作用,我是怕以后升级winwebmail需要使用这个log文件。具体是否需要没有测试过。我就是通过这个文件找出了测试服务器的具体安装位置的。),但为了避免其他地方可能还暴露出安装位置,建议你还是按照我的教程进行设置一下吧。