亿邮提升网关及旧版邮件系统安全

日前，亿邮公司第一时间积极响应wooyu.org早些时间所提及的“eYou邮箱系统系列产品漏洞”。受影响产品是亿邮公司旗下的V4邮件版本（或更早期版本）及反垃圾邮件网关V3.6-V4.0.1，目前没有升级至新版仍使用该网关版本的用户数量极少。

据悉，该公司启动故障应急小组已发布安全补丁包，并批量联系将受影响用户的系统进行补丁包部署；开启原系统所支持但未使用的系统主动防御功能，自动检测用户密码的复杂度要求强制更改；结合防嗅探密码遍历功能抵御二次攻击。

更新的系统具有以下安全性能提升：

* 防 Session token 劫持

支持 Session token 的客户端IP 绑定，既使劫持了 Session 也无法登入被攻击者的账号。

* 防 XSS 跨站攻击

在 Browers 端对外来数据中潜在的恶意Script 进行有效过滤（例如读信功能页面），彻底杜绝潜在的跨站攻击。

* 防 URL 资源解析攻击

在可能引用外来 URL 的功能页面（例如读信页面）默认禁止呈现 image 和 css 等 URL 资源，如果用户认为安全则可以通过点击按钮来解禁并呈现 URL 资源。

* 防 Form 伪造攻击

所有 form 提交都需要验证内部的 zone id，攻击者无法得到有效的 zone id，从根本上杜绝了 form 攻击的可能性。

* 防 HTTP 头信息伪造重定向攻击

支持配置重定向 allow rule，对邮件 Web 端的重定向做 rule match，不合法的重定向一律 deny。

* 防挂马

对程序中涉及到文件上传和 exec 等敏感代码做安全的 escape，并定期做严格的代码审查，彻底杜绝潜在的挂马威胁。

* 防 SQL 注入

对程序中所有 SQL 查询采用最先进的prepare 预处理机制的同时外加 SQL Driver 的quote 处理，并定期做严格的代码审查，从底层截断了 SQL 注入的可能性。

* 防提权攻击

邮件系统的所有服务全部以普通用户身份执行，并且无任何需要 S 权限的程序，从根本上杜绝了攻击者提权的可能性。

* 防程序库篡改

支持对服务器程序的定期 hash 验证，发现有被非法修改和添加的程序立即告警。

Web Server 采用纯静态编译，杜绝 SSL Lib被非法软件包篡改导致的潜在 SSL 攻击。

该公司建议，亿邮邮件系统已经发布最新更稳定版本五版V8系列邮件和V4.1网关，终端用户尽快升级或安装更新版本，即可在满足高安全的基础上享受更多丰富的邮件应用功能。