关注给予邮局Winwebmail安全详细的设置，避免跨站；

[重要通告]如您遇疑难杂症,本站支持知识付费业务,扫右边二维码加博主微信,可节省您宝贵时间哦!

大家安装WINWEBMAIL，通常大家都是参照官方的说明，给Winwebmail目录users组甚至是Everyone可写权限。这样设置基本就能满足winwebmail的运行了。但是对于一些服务器上同时存在有其他asp或者asp.net站点，比如做虚拟主机的服务商。这样设置很容易在另外一些站点被黑后，受到跨站攻击的牵连。

好一点的就将Winwebmail的安装目录改的很复杂来躲避黑客的跨站攻击。

就这一点来讲，我觉得WINWEBMAIL官方对于目录权限的设置其实说的太过简单，有点不负责任的感觉。

下午我仔细分析了WINWEBMAIL的目录安全设置。即使按照一些特殊处理过能够防止ASP跨站攻击的设置，其实依然很容易被人ASP.NET跨站攻击 。实际上经过测试，我没有花太多工夫就跑进了一位协助测试的同志服务器的Winwebmail目录。并且可以随意修改里面的东西了。

下面讲下具体操作流程,

1、安装完WINWEBMAIL，基本的东西不详细说了。

2、新建立一个USER，属于GUESTS组，如：mail_vistor。（*注：如果使用iis自带的IUSR_XXX来宾用户，图片中用的是默认用户。那么这一步可以省略）。

3、新建立一个USER，属于IIS_WPG组，如：mail_user。

4、打开IIS，新建立一个进程池，命名， 如：mail_process。启动权限用户设置为：mail_user

5、打开IIS，新建立一个站点，指定主文档目录为WINWEBMAIL目录下WEB目录。并指定进程池为mail_process.
在目录安全性，里编辑匿名访问用户为：mail_vistor（或者默认为IUSR_XXX，二个用户选一即可,图片中用的是默认IIS用户）。

6、给安装WINWEBMAIL的盘符根目录比如：E盘，管理员和mail_vistor(或IUSR_XXX)只读权限。

7、给WINWEBMAIL目录IIS_WPG组、mail_vistor以及管理员三者可读写权限。

添加network service和aspnet
两个用户，权限设置为拒绝访问。

添加运行其他运行ASP网站的用户组为拒绝权限，我这里其他所有ASP网站都是在hostgroup用户组里的用户的权限来分别验证的的，我直接将整个组添加权限为：拒绝访问。（通其他ASP的防止跨站的权限设计，我就简单带过。）

winwebmail目录下各用户的权限为：

winwebmail下的web目录权限最终是:

8、重新启动IIS及WINWEBMAIL服务，即可。

这样草作后已经大体封锁了来自除了邮件WEB程序以外的其他asp,asp.net的程序攻击了。目前我测试各方面正常。具体防止WEB目录程序攻击WINWEBMAIL的详细设置，就各人喜欢再继续深入设置，我就不具体讲了。

结束：如果你不是很了解权限的设置，你还可以简单的这样草作，将WINWEBMAIL安装到一个不容易猜解的目录里,比如：E:\XX73C3DA
这种名字的目录。然后备份c:\windows目录下WEMINSTALL.LOG这个文件并删除。（备份的作用，我是怕以后升级winwebmail需要使用这个log文件。具体是否需要没有测试过。我就是通过这个文件找出了测试服务器的具体安装位置的。），但为了避免其他地方可能还暴露出安装位置，建议你还是按照我的教程进行设置一下吧。

问题未解决？付费解决问题加Q或微信 2589053300 (即Q号又微信号)右上方扫一扫可加博主微信

所写所说，是心之所感，思之所悟，行之所得；文当无敷衍，落笔求简洁。 以所舍，求所获；有所依，方所成！