Foxmail十大安全隐患解决方法

作为最有名的国产电子邮件客户端软件，Foxmail因其设计优秀、体贴用户、使用方便，提供全面而强大的邮件处理功能，以及很高的运行效率等特点，赢得了广大用户的青睐，使用Foxmail的用户非常多。与微软的Outlook Express一样，Foxmail也存在着许多安全隐患!

一、Foxmial帐号转换漏洞解决办法

在Foxmail中可以为不同的使用者建立不同的账户，每个帐户可以拥有自己的口令，来保护自己的信箱。但是，这个口令保护并不安全，用下面的方法可以可以轻松绕过口令保护，进入别人的信箱。

首先，让我们来了解一下Foxmail中设置口令的方法。为进一步保护用户邮件的安全，Foxmail同时提供了对帐户和邮箱的双重口令保护功能。我们在选择自己的帐户之后，只需执行“帐户”菜单的“访问口令”命令，打开“口令”对话框(图1)，然后再输入适当的口令即可为自己的帐户设置密码。另外，Foxmail还允许用户为某个邮箱设置密码(主要是指为用户的自定义邮箱设置密码，Foxmail的系统邮箱如“收件箱”等无法设置密码)，以进一步的保护自己信息的安全。为此，我们只需选择需要加密的邮箱，然后执行“邮箱”菜单的“加密”命令，打开“口令”对话框并输入适当的密码即可。

接下来，开始我们的“工作”。假设我们要侵入的账户名为lucky_test，设有电子邮件地址为lucky_test@263.net，邮箱密码为12345。下面我们就可以开始了。

1、打开Foxmail，在“帐户”里边新建立一个帐户，用户名可以任意，我们假设新建的账户名为123，完成后退出Foxmail。

2、打开“资源管理器”或“我的电脑”，找到Foxmail文件夹，如果采用默认安装方式，一般在C:\ProgramFiles\Foxmail下。打开里面的“Mail”文件夹，你会发现这里有许多以账户名命名的文件夹，打开新建的“123”文件夹，里边有个名为“account.stg”的文件，把它复制到你想侵入的账户的lucky_test目录里，直接覆盖原来的“account.stg”文件。

3、重新运行Foxmail，点击名为lucky_test的账户，呵呵，不会再向你问口令了!直接就可以进入该信箱，里面的信件可以一览无余!

特别说明:如果你是忘记了自己的某个账户口令，则不要向上面那么“暴力”，在新建账户时，你所设置的POP3服务器和SMTP服务器必须和以前的账户是一样的。如果你对新建帐户设置了访问口令，如“abc”，那么当你将新建账户文件夹下的“account.stg”文件，拷贝到忘记了口令的那个账户对应的文件夹下后，则后者现在的访问口令也为“abc”。

其实，我们可以更简单一点侵入设有口令的账户，浏览别人的信件。方法是:进入Mail文件夹下你想侵入的账户对应的文件夹，将其中的account.stg文件更名或删除，然后运行Foxmail，你会发现该信箱上原来的小“锁头”不见了(加有口令的账户会带有红色小“锁头”标志)!此时不需要任何密码就可以看到被保护的信件!

解决方法:如果你是在公共环境下使用Foxmail那就要小心了，最保险的方法是使用Foxmail以后，将你的帐户所对应的文件夹删除。或者在建立帐户时，邮箱路径不要选择默认的，而是输入一个自己才知道的，如C:\windows\system\window的路径，哈哈，在系统文件夹下，谁敢乱动?再保险一点，找到您新建的信箱文件夹后，点击鼠标邮件，在弹出菜单中选择“属性”，将文件夹设为“隐藏”，别人想找你的文件夹也就更费力气了。除此以外，再使用WinZip对该文件夹进行压缩，对压缩后的ZIP文件加上一个长一点的访问口令，使用时将其展开，使用完毕再如法炮制即可。其实用户名帐户管理不是一个很好的办法，建议作者能够参考一下263快信Winbox或OE的帐户管理方法，或许能使软件的安全性更高!

二、Foxmial账户口令明文对比漏洞解决办法

Foxmail在进行账户口令比较时实际上是明文对比，这样，别人就可以用SoftICE、TRW2000等动态调试软件跟踪，得到账户口令简直是易如反掌!实际上，网上流行的Foxmail账户破解工具就是利用此漏洞制作出来的。具体的漏洞发现方法就不多说了，因为需要您懂得一定的汇编知识，并且要使用TRW2000或SoftICE等反汇编软件，不过请相信我，只要是具备上述知识的人，最多只要5分钟就可以得到Foxmail的账户口令明文!这样要入侵我们的账户是不是非常容易!

而且，由于Foxmail采用明文传送邮件，这使得黑客可以用嗅探软件得到邮箱密码或信件内容。举个例子，在局域网中的任何一台机器上运行NetXRay这个高级分组纠错软件，点击“Capture”面板中的“Capture Setting”按钮，然后选择“Advance Filter”选项卡，点击“IP→TCP”项，将其展开，进行过滤设置，选中的协议NetXRay就会过滤掉。之所有要进行过滤设置，是因为如果不进行那将不利于分析结果，因为NetXRay捕获到的数据包非常多，肯定会让你头痛不已的。由于Foxmail使用POP协议，所以除了POP协议外，其它协议全部选中(图2)。

接着，在局域网内任意机器上用Foxmail收发邮件。之后，回到运行NetXRay的机器，点击“Capture”面板中的“End And View”信息按钮，查看捕获的数据。除了能看到收发邮件双方所使用的IP地址和端口号外，还能发现刚才用Foxmail收发信件用的信箱名及其口令。

解决办法:信箱名和口令会被捕获，是由于POP协议是采用明文传送的结果，不完全是Foxmail的错，其它邮件软件如OE等在嗅探软件面前也会难以“幸免”。因此建议您发现有NetXRay等软件运行时，不要使用Foxmail收发邮件。当然，如果你打算用黑客软件攻击对方，使其“完蛋”^_^，那就是你的事了。而对于逆向软件的跟踪调试，建议博大公司能采取更严格的加密措施。如给软件加壳，对逆向软件采取防范措施，加入花指令，改进软件加密算法不用明文对比等，这些需要软件开放商来解决，不是我们读者的事了。对普通用户来说，如果你是在公共场所上网，使用完Foxmail后建议您删除你的账户，这样就不会有这个问题发生了。

三、Foxmial冒名发信漏洞解决办法

将有口令保护账户对应文件夹下的Account.stg文件删除或改名，虽然可以查看别人的信件，但由于账户的邮件服务器信息也会随之丢失，所以非法访问者无法冒名发信。但要想冒名发信还是有办法的，即便是加有口令的账户也可以。

方法很简单，把那个加密的账户设置为Foxmail的默认账户即可(将某个账户调整到账户列表的最顶端，即成为默认账户)。我们可通过单击“查看”菜单中的“显示账户调节”选项，然后单击账户列表下面的“上移”按钮使之向上移动，直到移动到最顶端。接着在“我的电脑”中随便选择一个盘符，假设是C盘，在C盘下任意一个文件上单击鼠标右键，在弹出菜单中选择“发送到→Foxmail”命令，此时会自动打开该加密账户的“写邮件”窗口，而你选定的C盘下的文件会作为附件加入到附件中。填入收件人地址，编辑好邮件内容，单击“发送”，一封冒名邮件就发出了。是不是太容易了?

解决方法:使用完毕，选中你设定的账户，点击“账户”菜单下的“删除”将该账户删除即可，下次使用可以重新建立账户。

四、地址簿暴露漏洞

　　继续上一步，在“写邮件”窗口中单击“收件人”或“抄送”按钮，可以打开“选择地址”对话框，打开“地址簿”下拉列表，你会发现地址簿里的联系人的地址都在这里了。

　　另外Foxmail在保存地址簿和邮件时，也未做任何加密处理。进入Foxmail\Address目录，其中有很多以.IND和.BOX为扩展名的文件，用记事本任意打开一个.IND文件，虽然有乱码，但仍能清楚地看到其中的E-mail地址。再用记事本打开对应的.BOX文件，你就可以查看联系人的详细资料了。

　　解决方法:同一、三两个漏洞的解决方法。

　　五、Foxmail邮箱密码加密密文不保漏洞解决办法

　　为什么将Account.stg这个文件复制到别人的账户文件夹下，就有这么大的“威力”呢?用“记事本”打开该文件看看就明白了(图3)!

图 3

　　事实上，你在Foxmail的“帐户→属性”菜单中设置的所有内容几乎都包括在其中了(如果你细心的话，会发现“属性”中的“模板”并没有包含在内)，其中也包括了经过加密的信箱密码密文，也就是“POP3Password=”后面的部分。

　　而众所周知，Foxmail的加密密钥是“~draGon~”，Foxmail就是用它来加密我们设定的邮箱密码。那么如何将密文转换为明文呢?只要把~draGon~这个单词对应的ASCII码:7E 64 72 61 47 6F 6E 7E给记下来，再将口令的密文两两分开，经过一番简单的异或运算就可以得到密码明文!具体方法就不多说了，毕竟我们这里不是教大家怎样破解Foxmail的邮箱密码。那么别人怎么会知道我们的信箱的口令长度为几位呢?很简单，只要用密文长度÷2再减去1就可以得到了。

　　解决方法:在新建账户时不要选择保存密码，如果已经选择了，可以右击账户，在弹出菜单中选择“属性”，会出现“账户属性”窗口，选择“邮件服务器” (图4)，然后将“密码”栏中的密码清除即可。这样，当别人再打开account.stg文件时，会发现“POP3Password=”后面是空空如也，现在就不怕别人发现你的密码了。

图 4

六、Foxmial已删除邮件存在被恢复的可能

　　在Foxmail中，当我们删除了某个邮件之后，该邮件会转移到“废件箱”中，若用户在“废件箱”中再次执行了删除操作，该邮件就不会再显示出来了。不过，这样做并没有真正地删除这些邮件，它们仍然会保存在硬盘上，之所以不显示出来是因为Foxmail将其打上了删除标记。而实际上只有在执行了“压缩”操作之后，系统才会真正将它们删除。因此，有心人完全可以对这些看似已经被删除了的邮件进行恢复，从而得到您的秘密!

　　要想恢复被删除的邮件，只需右击“废件箱”，然后从弹出的快捷菜单中执行“属性”命令，打开“邮箱属性”对话框，然后单击“工具”选项卡(图5)，在这里我们会发现一个“开始修复”按钮，单击该按钮，删除的邮件就可以得到恢复。

图 5

　　可能是出于方便用户的角度考虑，Foxmail中被删除邮件才存在被恢复的可能，但普通用户又怎么会知道该用“压缩”命令来真正将它们删除呢?!固然有“帮助”文件可以查询，但又有几个人会认认真真地看它呢?!

　　解决方法:要想确保邮件安全，在删除邮件之后一定要记得压缩邮箱(包括废件箱及该邮件的原始邮箱)，这样就不会有问题了。

　　七、利用Foxmail可以发送匿名邮件

　　在用Foxmail发送邮件时，Foxmail会将用户的邮件地址作为发件地址和回复地址发送给收件人，但同时，在撰写新邮件的窗口中Foxmail又提供了“查看→邮件头”功能，利用该功能我们可以发送匿名邮件。如果被人利用的话，也有一定的隐患。只需单击新邮件撰写窗口的工具栏中的“邮件头”按钮，打开“邮件头”下来菜单，然后分别从中选择“发件人地址”或“回复地址”命令，系统的新邮件撰写窗口就会分别多出一个“发件人”和“回复”地址栏(图6)，我们只需在这些工具栏中输入其它的发件人及回复地址，然后就可以匿名发信了!

图 6

　　解决方法:只要在Foxmail中按CTRL+I键就可以发现真正的发信人了。

八、“自动补全”信息会暴露隐私漏洞解决办法

　　解决方法:在Foxmail的安装目录中找到“Foxmail.adc”文件(默认安装目录C:\Program Files\Foxmail)，用记事本程序将其打开，将敏感信息删除，然后存盘关闭记事本程序即可。

　　九、在显示HTML文档时继承IE的所有漏洞解决办法

　　由于HTML文档具有格式优美、表现力强等优点，因而Foxmail也提供了采用HTML格式来处理邮件的功能。但Foxmail在显示HTML文档时是直接调用IE的内核(必须保证已经安装了IE 3.0或以上版本)，因此此时的Foxmail也就间接地“继承”了IE的所有漏洞，此时别人就可以利用HTML文件攻击你了。

　　解决方法:给IE打补丁，使用最新版IE，然后在Foxmail中用鼠标右键点击选定的账户，在弹出菜单中选择“属性”，找到“字体与显示”项，将“使用嵌入式IE浏览器显示HTML邮件”和“预览”签名的“√”取消即可(图7)。

图 7

　　十、Foxmial操作日志全泄露漏洞解决办法

　　打开Foxmail的安装目录，你会看到FoxInfo.log和FoxHot.log两个文件，其中FoxInfo.log记录了你使用Foxmail时的操作日志，而FoxHot.log则记录了你使用Foxmail中自带的Hotmail邮件代理程序时的操作日志。使用记事本打开这两个文件，则我们的所有隐私就会暴露无疑。可以轻易知道你何时往哪一个邮箱发了邮件，还能知道你几时从哪一个邮箱收到了邮件，是不是很吓人?

　　解决办法:在公用电脑上使用Foxmail完毕，把这两个文件彻底删除就可以了。

　　作为拥有庞大用户群的优秀软件，作为国产软件的骄傲，Foxmail存在的种种安全隐患的确令人有些失望，希望软件开放商能尽快解决这些问题。不过，虽然存在着上述的种种问题，但Foxmail的进步也是有目共睹的，因此我们坚信:Foxmail的未来将是一片光明!