億郵提升網關及舊版郵件系統安全

日前，億郵公司第一時間積極響應wooyu.org早些時間所提及的“eYou郵箱系統系列產品漏洞”。受影響產品是億郵公司旗下的V4郵件版本（或更早期版本）及反垃圾郵件網關V3.6-V4.0.1，目前沒有升級至新版仍使用該網關版本的用戶數量極少。

據悉，該公司啟動故障應急小組已發布安全補丁包，并批量聯系將受影響用戶的系統進行補丁包部署；開啟原系統所支持但未使用的系統主動防御功能，自動檢測用戶密碼的復雜度要求強制更改；結合防嗅探密碼遍歷功能抵御二次攻擊。

更新的系統具有以下安全性能提升：

* 防 Session token 劫持

支持 Session token 的客戶端IP 綁定，既使劫持了 Session 也無法登入被攻擊者的賬號。

* 防 XSS 跨站攻擊

在 Browers 端對外來數據中潛在的惡意Script 進行有效過濾（例如讀信功能頁面），徹底杜絕潛在的跨站攻擊。

* 防 URL 資源解析攻擊

在可能引用外來 URL 的功能頁面（例如讀信頁面）默認禁止呈現 image 和 css 等 URL 資源，如果用戶認為安全則可以通過點擊按鈕來解禁并呈現 URL 資源。

* 防 Form 偽造攻擊

所有 form 提交都需要驗證內部的 zone id，攻擊者無法得到有效的 zone id，從根本上杜絕了 form 攻擊的可能性。

* 防 HTTP 頭信息偽造重定向攻擊

支持配置重定向 allow rule，對郵件 Web 端的重定向做 rule match，不合法的重定向一律 deny。

* 防掛馬

對程序中涉及到文件上傳和 exec 等敏感代碼做安全的 escape，并定期做嚴格的代碼審查，徹底杜絕潛在的掛馬威脅。

* 防 SQL 注入

對程序中所有 SQL 查詢采用最先進的prepare 預處理機制的同時外加 SQL Driver 的quote 處理，并定期做嚴格的代碼審查，從底層截斷了 SQL 注入的可能性。

* 防提權攻擊

郵件系統的所有服務全部以普通用戶身份執行，并且無任何需要 S 權限的程序，從根本上杜絕了攻擊者提權的可能性。

* 防程序庫篡改

支持對服務器程序的定期 hash 驗證，發現有被非法修改和添加的程序立即告警。

Web Server 采用純靜態編譯，杜絕 SSL Lib被非法軟件包篡改導致的潛在 SSL 攻擊。

該公司建議，億郵郵件系統已經發布最新更穩定版本五版V8系列郵件和V4.1網關，終端用戶盡快升級或安裝更新版本，即可在滿足高安全的基礎上享受更多豐富的郵件應用功能。