日前，億郵公司第一時間積極響應(yīng)wooyu.org早些時間所提及的“eYou郵箱系統(tǒng)系列產(chǎn)品漏洞”。受影響產(chǎn)品是億郵公司旗下的V4郵件版本（或更早期版本）及反垃圾郵件網(wǎng)關(guān)V3.6-V4.0.1，目前沒有升級至新版仍使用該網(wǎng)關(guān)版本的用戶數(shù)量極少。

據(jù)悉，該公司啟動故障應(yīng)急小組已發(fā)布安全補(bǔ)丁包，并批量聯(lián)系將受影響用戶的系統(tǒng)進(jìn)行補(bǔ)丁包部署；開啟原系統(tǒng)所支持但未使用的系統(tǒng)主動防御功能，自動檢測用戶密碼的復(fù)雜度要求強(qiáng)制更改；結(jié)合防嗅探密碼遍歷功能抵御二次攻擊。

更新的系統(tǒng)具有以下安全性能提升：

* 防 Session token 劫持

支持 Session token 的客戶端IP 綁定，既使劫持了 Session 也無法登入被攻擊者的賬號。

* 防 XSS 跨站攻擊

在 Browers 端對外來數(shù)據(jù)中潛在的惡意Script 進(jìn)行有效過濾（例如讀信功能頁面），徹底杜絕潛在的跨站攻擊。

* 防 URL 資源解析攻擊

在可能引用外來 URL 的功能頁面（例如讀信頁面）默認(rèn)禁止呈現(xiàn) image 和 css 等 URL 資源，如果用戶認(rèn)為安全則可以通過點擊按鈕來解禁并呈現(xiàn) URL 資源。

* 防 Form 偽造攻擊

所有 form 提交都需要驗證內(nèi)部的 zone id，攻擊者無法得到有效的 zone id，從根本上杜絕了 form 攻擊的可能性。

* 防 HTTP 頭信息偽造重定向攻擊

支持配置重定向 allow rule，對郵件 Web 端的重定向做 rule match，不合法的重定向一律 deny。

* 防掛馬

對程序中涉及到文件上傳和 exec 等敏感代碼做安全的 escape，并定期做嚴(yán)格的代碼審查，徹底杜絕潛在的掛馬威脅。

* 防 SQL 注入

對程序中所有 SQL 查詢采用最先進(jìn)的prepare 預(yù)處理機(jī)制的同時外加 SQL Driver 的quote 處理，并定期做嚴(yán)格的代碼審查，從底層截斷了 SQL 注入的可能性。

* 防提權(quán)攻擊

郵件系統(tǒng)的所有服務(wù)全部以普通用戶身份執(zhí)行，并且無任何需要 S 權(quán)限的程序，從根本上杜絕了攻擊者提權(quán)的可能性。

* 防程序庫篡改

支持對服務(wù)器程序的定期 hash 驗證，發(fā)現(xiàn)有被非法修改和添加的程序立即告警。

Web Server 采用純靜態(tài)編譯，杜絕 SSL Lib被非法軟件包篡改導(dǎo)致的潛在 SSL 攻擊。

該公司建議，億郵郵件系統(tǒng)已經(jīng)發(fā)布最新更穩(wěn)定版本五版V8系列郵件和V4.1網(wǎng)關(guān)，終端用戶盡快升級或安裝更新版本，即可在滿足高安全的基礎(chǔ)上享受更多豐富的郵件應(yīng)用功能。