先說說國內(nèi)用戶經(jīng)常用到的Foxmail。Foxmail是著名的中文版電子郵件客戶端軟件，因其設(shè)計優(yōu)秀、體貼用戶、使用方便，提供全面而強大的郵件處理功能，具有很高的運行效率等特點，贏得了廣大用戶的青睞。

Foxmail中可以為不同的使用者建立不同的賬戶，每個帳戶可以擁有自己的口令，來保護自己的信箱。但是，這個口令保護并不安全，用下面的方法可以可以輕松繞過口令保護，進入別人的信箱。

1、打開Foxmail，在"帳戶"里邊新建立一個帳戶，用戶名可以任意，我們假設(shè)新建的用戶名為123，完成后退出Foxmail。

2、打開"資源管理器"或"我的電腦"，找到Foxmail文件夾，如果采用默認(rèn)安裝方式，一般在C：ProgramFilesFoxmail下。打開其下的"MAIL"文件夾，你會發(fā)現(xiàn)這里有許多以賬戶名命名的文件夾，打開新建的"123"文件夾后，里邊有個名為"account.stg"的文件，把它復(fù)制到你想侵入的賬戶的目錄里邊，直接覆蓋原來的"account.stg"文件。

3、重新運行Foxmail，點擊原本忘記了密碼的那個信箱，呵呵，不會再向你問口令了!直接就可以打開該帳戶，你會發(fā)現(xiàn)他的郵件靜悄悄地躺在那里!里面的信件可以一覽無余!

其實，我們可以更簡單一點侵入他的信箱，瀏覽他的信件的。方法是：進入MAIL文件夾下你想侵入的賬戶對應(yīng)的文件夾，將其中的account.stg文件更名，然后就可以不需要任何密碼就可以看到被保護的信件!

漏洞防范方法：如果你是在公共環(huán)境下使用Foxmail那就要小心了，最保險的方法是使用Foxmail以后，將你的帳戶所對應(yīng)的文件夾刪除，或者在建立帳戶時，郵箱路徑不要選擇默認(rèn)的，而是輸入一個自己才知道的，如c：windowssystemwindow的路徑，哈哈，在系統(tǒng)文件夾下，誰敢亂動?再保險一點，找到您新建的信箱文件夾后，點擊鼠標(biāo)郵件，在彈出菜單中選擇"屬性"，將文件夾設(shè)為"隱藏"，別人想找你的文件夾也就更費力氣了。除此以外，還可以使用WinZip對該文件夾進行壓縮，對壓縮后的ZIP文件加長一點的訪問口令，使用時將其展開，使用完畢再如法炮制即可。

二、TheBat!口令保護被繞過漏洞

再來看看國內(nèi)用戶使用也較多的TheBat!。許多著名的下載網(wǎng)站將TheBat!歸結(jié)為最高級別的郵件客戶端工具，大都是五星極的推薦強度，人們非常信任這些推薦，于是紛紛下載使用。

該軟件的諸多功能中較為突出的一項是：具有訪問密碼，可以支持多賬號，多人共用一臺計算機時每個人可以憑借個人訪問密碼進入其個人賬戶查看郵件，以此保護個人隱私，從功能設(shè)計上考慮確實是十分周到，這樣給用戶一定的安全感，尤其是那么多網(wǎng)站授予該軟件的推薦級別，該軟件的威信級別極高，這無疑會讓用戶更加放心他的安全性。

然而，該軟件的賬戶安全極為脆弱，只要將賬號目錄下的account.cfg文件更名，即可不需要任何密碼進入該帳號，可以看到被保護賬號中的信件，這樣隱私就被泄漏。這與Foxmail所存在的漏洞一樣，任何人都可以飽覽你的郵件，你給MM或GG寫的信件都暴露嘍!

漏洞防范方法：同F(xiàn)oxmail中的防范方法。

三、OutlookExpress郵件被騙收

你在用OutlookExpress嗎?如果你回答"是"，那么你就要小心了，因為有心人可以通過給你發(fā)一封郵件，使你發(fā)給朋友的信件發(fā)到他那里!不信?好!讓我們來做個實驗，如果你也按我說的去做了，你也可以騙收別人的信件!但請你不要把這個方法用于不正當(dāng)?shù)耐緩?，否則后果自負(fù)。

原理：其實，這是利用了OutlookExpress地址簿的漏洞來實現(xiàn)的。運行你的OutlookExpress，點擊"工具"->"選項"，在彈出的對話框中點擊"發(fā)送"標(biāo)簽，你會發(fā)現(xiàn)其中有這樣一個選項"自動將我的回復(fù)對象添加到通訊簿"(英文版對應(yīng)為"AutomaticallyputpeopleIreplytoinmyaddressbook")(圖1)，此項功能如被激活，OutlookExpress會自動將人名和地址對應(yīng)起來，這就給利用地址簿進行欺騙帶來了可能。不幸的是，這個選項恰恰就是OutlookExpress的默認(rèn)設(shè)置!因此，絕大多數(shù)OutlookExpress用戶都存在這個漏洞!存在被人騙收郵件的可能!明白了嗎?沒有?沒關(guān)系，看完下面的例子你就會明白了。

實驗：假設(shè)你和你友及攻擊者的信箱分別為a@hotmail.com、b@hotmail.com、c@hotmail.com，現(xiàn)在攻擊者要讓你發(fā)給你友的信件發(fā)到他的信箱，他會怎么做呢?首先，他會給你發(fā)一封如下所示信件：

From："b@hotmail.com"

Reply-To："b@hotmail.com"

To：a

Subject：howtocatchyouonFriday?

然后，他將此信發(fā)到你的信箱a@hotmail.com。在你看來，收到的這封信，就是你友從b@hotmail.com這個信箱發(fā)來的，看到來信你當(dāng)然要立即回信了，此時，OutlookExpress地址簿會將b@hotmail.com作為名字和c@hotmail.com地址對應(yīng)起來，如果你在"收件人"欄中直接敲進地址b@hotmail.com，OutlookExpress會將地址解釋成"b@hotmail.com"，并因此將此信發(fā)給他!最可悲的是，在整個過程中你一直被蒙在鼓里，并不清楚發(fā)給朋友的信件并沒有發(fā)到朋友的信箱中，當(dāng)你還在傻等朋友的回信時，那個攻擊者已經(jīng)在那里飽覽你的回信，思量進一步騙你的招數(shù)了!現(xiàn)在你知道這個漏洞有多么恐怖了吧。

漏洞解決：現(xiàn)在要說說如何防止郵件被騙收了。其實這個漏洞只存在于OutlookExpress中，并且只對OutlookExress5.5SP1及其之前版本起作用。因此如果你不使用OutlookExpress或使用OutlookExpress5.5SP1以上版本就不會有事。再不然，你可以將"自動將我的回復(fù)對象添加到通訊簿"(英文版對應(yīng)為"AutomaticallyputpeopleIreplytoinmyaddressbook")選項禁止(把它前面的"√"去掉)，就可以放心大膽的使用OutlookExpress了。

四、OutlookExpress標(biāo)識不安全漏洞

大家知道，利用OutlookExpress的"標(biāo)識"功能，可以添加、管理與切換標(biāo)識，以達到多用戶之間郵件互相保密的目的。即多個用戶可以使用一套OutlookExpress，在其中分別建立自己的標(biāo)識，并通過"切換標(biāo)識"來進入各自的郵件收發(fā)界面。如果在標(biāo)識上加有密碼，就可阻止他人進入而保護自己的信件。但這一功能的安全性真的這么可靠嗎?看過下面的幾行文字后馬上你就會找到答案了。

首先，給每一用戶建立一個標(biāo)識，設(shè)置好訪問密碼。然后，我們來做個小小的試驗：打開"我的電腦"或"資源管理器"，按照下面這個路徑(假設(shè)你的操作系統(tǒng)安裝在C盤Windows文件夾下)：C：WINDOWSApplicationDataIdentities\MicrosoftOutlookExpress，一層層地打開文件夾，這就是OutlookExpress默認(rèn)的存儲郵件的文件夾，在該文件夾下，你可以看到"收件箱.dbx"、"發(fā)件箱.dbx"、"已發(fā)送郵件.dbx"、"已刪除郵件.dbx"、"草稿.dbx"等文件清清楚楚的展現(xiàn)在我們眼前(圖2)!請注意，在你的電腦中，你看到的OutlookExpress默認(rèn)的存儲郵件的路徑可能與我的稍有不同，具體說來就是那個"{}"里面的內(nèi)容有可能不相同。OutlookExpress建立了幾個標(biāo)識就有幾個名稱為一串?dāng)?shù)字并帶有"{}"的文件夾，默認(rèn)情況下這些標(biāo)識對應(yīng)的文件夾都在C：WINDOWSApplicationDataIdentities下。

既然我們可以看到C：WINDOWSApplicationDataIdentities下各個標(biāo)識對應(yīng)文件夾下的文件，那么就應(yīng)該可以把別的標(biāo)識下的文件拷貝到自己的OutlookExpress標(biāo)識下。比方說，把別人的"收件箱.bdx"文件拷貝出來，并覆蓋掉你這里的"收件箱.dbx"(圖3)，再打開OutlookExpress試試，天，他(她)收到的信件都到我的收信箱里了!要提醒你注意的是，既然你可以用這個方法看到別人的信件，別人當(dāng)然也可以用同樣的辦法看到你的信件，所以要保護好你自己的郵件哦，具體的方法我們在下面會提到。

上面我們主要利用了拷貝別人標(biāo)識下的文件的方法，還有個更簡單的方法可以讓你在兩分鐘內(nèi)破了別人的標(biāo)識!具體步驟是：在"開始"→"設(shè)置"→"控制面板"→"用戶"中增加一個新用戶，然后在"開始/注銷×××"中將當(dāng)前的用戶注銷，并以新用戶登錄Windows。然后運行OutlookExpress，切換標(biāo)識試試，密碼框全變成了灰色，現(xiàn)在你想進哪個標(biāo)識都可以了!

除了上面所說的危險，在公用環(huán)境下共用OutlookExpress還存在另外的危險--郵件聯(lián)系人地址暴露!雖然不如上面提到的郵件泄漏那么嚴(yán)重，但是自己的郵件聯(lián)系人地址被別人得到也不好吧?萬一他利用這份郵件聯(lián)系人地址干壞事那影響可就大了!

請和我一起做這么個實驗：在OutlookExpress的主窗口中，點擊"文件→導(dǎo)入→通訊簿"(圖4)，會彈出文件對話框，從中找到C：WindowsApplicationDataMicrosoftAddressBook，會看到幾個WAB文件(圖5)，選中其中一個，選擇"打開"，這個通訊簿文件中的內(nèi)容就全在OutlookExpress的窗口中顯示出來。如果重復(fù)這一操作，把AddressBook文件夾中的所有后綴名為WAB的文件全導(dǎo)入，則本機的所有聯(lián)系人的地址就全在掌握之中了。