Foxmail4.2安全性测试

网络与通信

郑振涛

最近，著名的国产电子邮件客户端软件Foxmail又出了4.2正式版。本人下载安装后从界面上并没发现有什么改变，于是查看了一下它的帮助文件，发现它增加了直接发送Hotmail邮件等几项功能，还修正了以前版本中存在的若干Bug。但大家最关心的安全性有没有提高却没提，于是本人做了以下实验，结果让人大跌眼睛。

一、破解账户口令

如果有多人共用Foxmail，为了账户的安全，通常我们会为它设置一个口令，以防止其他用户的非法访问，但是Foxmail对这个账户口令的保护很不得力。我想很多人一定都知道破解此口令的简单方法，即删除Foxmail安装目录下Mail\Username\Account.stg文件。此问题在4.1版中依旧存在，那么4.2版是否已做了修正呢？很遗憾，经过本人的实验，4.2版中仍存在此问题。不过在删除Account.stg后，你的POP3服务器和smtp服务器的信息也会随之丢失，所以非法访问者还无法利用你的账户收发邮件。
用这种方法破解的账户只能看到系统默认的四个邮箱，即“收件箱”、“发件箱”、“已发送邮件箱”和“废件箱”。而用户自己创建的新邮箱会随着Account.stg文件的删除而消失，新邮箱里面的邮件当然也看不到了。这为我们保护重要邮件提供了一个好方法：在系统默认邮箱中自行创建新邮箱，然后执行“账户”菜单中的“过滤器”命令，设置电子邮件的过滤规则，将你重要联系人的邮件自动转到新建的邮箱中，在每次收取邮件后自行备份Account.stg，这样即使有人把Account.stg文件删除了，也看不到你的重要邮件。而你要做的，就是把备份的Account.stg复制到你的邮件保存目录下，账户便恢复正常了。

二、绕过口令发送邮件

刚才曾提到删除Account.stg后，账户的邮件服务器信息也会丢失，所以非法访问者无法冒名发信。但很快我就发现其实通过很简单的方法就可以绕过口令发送邮件──把那个加密的账户设置为Foxmail的默认账户。
我们只要将某个账户调整到账户列表的最顶端，即成为默认账户。我们可通过单击“查看”菜单中的“显示账户调节栏”选项，然后单击账户列表下面的“上移”按钮使之向上移动，直到移动到最顶端。，现在，请在任意一个文件上单击鼠标右键，选择“发送到”菜单中的“Foxmail”命令，这时就会自动打开一个Foxmail的“写邮件”窗口，填入收件人地址，编辑好邮件，单击“发送”，一封冒名邮件就发出了。
在“写邮件”窗口中单击“收件人”或“抄送”按钮，可以打开“选择地址”对话框，打开“地址簿”下拉列表，你会发现你地址簿里的联系人的地址都在这里了。单击“新建”按钮，可以往地址簿里添加联系人；单击“属性”，还可以查看联系人的详细资料。
另外Foxmail在保存地址簿和邮件时，也未做任何加密处理。进入Foxmail\Address目录，其中有很多以.IND和.BOX为扩展名的文件，用记事本任意打开一个.IND文件，虽然有乱码，但仍能清楚地看到其中的E-mail地址（图1）。再用记事本打开对应的.BOX文件，你就可以查看联系人的详细资料了。再进入Foxmail\mail\username\目录，用记事本程序打开Account.stg文件，里面除了邮箱口令是经过加密的以外，其他信息全部一目了然（图2）。