[原创]WINWEBMAIL的安全设置方法

xaay

WINWEBMAIL的安全设置方法（本人技术有限，请不要扔砖，谢谢大家）<br>
测试平台WIN2003企业版SP1（WIN2003企业版R2）+WINWEBMAIL3。7。1。1<br>
1、新建个USER组用户WINWEBMAIL<br>
2、安装WINWEBMAIL到D盘（自己选了）下任意目录（最好乱输一通，让别人猜不到的）<br>
3、给D盘（WINWEBMAIL的安装盘）给刚才新建的用户WINWEBMAIL读取权限（不给列表，读取和运行），D盘下其它的文件夹做WINWEBMAIL的拒绝读取权限<br>
4、给WINWEBMAIL（安装目录）再加入USER完全控制权限<br>
5、新建IIS站点，在安全性里选前面新建的用户WINWEBMAIL<br>
6、完工（记得重启一下IIS）<br>
这是本人的一点想法，经过测试安全性还算可以，由于技术有限，请大家不要扔砖，如果错了请批评指正，谢谢！

bmp

1.mailsrv启动用户最好是guests组.<br>
2.目录名无所谓的,有权限就能list出来,没权限告诉你目录名也没折.<br>
3.temp(mailsrv&system)目录需要打开更大权限.<br>
4.不需要,但好像要打开iis启动组(忘记了).<br>
5.一般而言,iis主机头用户应该另外生成一个.<br>
<br>
关于winwebmail的权限控制,我致歉做过一份比较详细的,5dmail已经转载,但图还是连接到我的服务器,但我的服务器先在已经down了,你可以参考一下.

xaay

我找找看你发的文章,这个只是自己模索出来的,水平有限,见笑了

uk101

楼主的配置.只会让木马把整个目录给删了.配置如下.<br>
<br>
新建一个MAIL之类的用户名.权属于guests.(guests默认是关闭的)<br>
<br>
比如你把软件安在D盘.那么.就给D盘.管理员权.系统权.其它用户不要.全部要勾上.然后加上一个mail的用户.应用到:只有该文件夹.也就是说.MAIL这个用户.只是有D盘表面的权.D盘里面的文件没有.其它一切先不管.按确定.然后进去D盘winwebmail 这个文件夹加上MAIL这个用户名.把所有权都勾上.重启就行了.我用了几年.都是这样.只要系统安全.只要WINWEBMAIL没有漏洞.其它站点的用户是无法看到WINWEBMAIL这个文件夹的.<br>
<br>
<br>

rayer

收藏!收藏!<br>
<br>
顶顶顶！

xaay

guest用户是禁止了,可组并没有禁止啊,再说了如果不给USER的权限,WEB登陆能进去吗?能删除邮件和其它的东西吗?附件能打开吗?我这样做的目的只是把WINWEBMAIL给隐藏起来,并不让别人猜到,并没有说用完全可行的方案去做安全,毕竟自己的技术有限.<br>
忘了说我的服务器是用来做虚机的,其它的安全做得差不多了,CMD根本不起作用的,不知道还能用什么办法可以搞到WINWEBMAIL的安装目录!

bmp

uk101和我说的关于guest的那段都是同一个意思,楼主误会了.<br>
<br>
而且我在之前的另一个讨论winwebmail安全的帖里提到过,我属于那种"假设一切*恶"的人,例如我可以假设winwebmail作者恶意,又或者winwebmail有未暴露的重要漏洞(实际并不是特指winwebmail而是范指某个应用服务),如果winwebmail是运行在user权限下,那么风险将是巨大的(有没有cmd都一样),而不给user权限登陆/删除/附件/等操作是完全没有问题的.而且最关键的,你是假设敌方是谋取你的mail目录....嘿嘿,那个东西要来有鸟用,直接直奔主题系统权限,毕竟%winroot%是跑不掉的.

xaay

可问题是要不给USER组的权限,WINWEBMMAIL的WEB使用肯定是不正常的,总不能让用户用SMTP收发邮件吧?当然自己的技术有限,只能通过这种操作了,我也试过用GUEST权限,但WEB不能登陆,如果WINWEBMAIL真的有洞(也假设一下),那怎么给权限都是没用.<br>
还有一点我重申一下,由于我的服务器是用来做虚机的,而且当时没规化好,所以WINWEBMAIL,MYSQL,MSSQL还有虚机管理软件等都在一个盘上,如果用WINWEBMAIL的默认权限,这些东西都是送人了的,所以想出这种办法,如果那位有好的办法,请贴出来一下,楼上的你写的那个我没找到,能不能详细的说明一下,谢谢了!

bmp

思路是没错,事实上无论我还是uk101就是这种思路,只是比你想得更深入一点而已.<br>

xaay

能祥细的说明一下吗？谢谢！