客观说，winwebmail官方和网上资料提供的权限配置都不是很正确，我们通过分析，采用了一套权限配置方法，可确保winwebmail安全，确保100%功能正常，确保不被同服务器上其他站点跨站winwebmail攻击。
需要的朋友请联系qq 705584607
Email： webmaster#zhiyuanit.com （请将#换为@）

引用:

原帖由 xioxia 于 2008-2-20 09:23 发表
2006年底时我的服务器邮件页面被黑，我花了几天的时间琢磨到了一种方法，可以不让看到D盘的，不然的话有黑客软件可以通过这个权限，直接访问winwebmail的目录所有文件。
其实解决办法，非常简单：
1、在windows里先 ...

问一下您建立的iusr这个帐号是给IIS用的还是只给这个目录用的？如果我把webmail和程序分离了该怎么设置呢？

我kao,来个牛人,就是不知道是不是真的.

给users读权限不会出什么安全问题，别人顶多看到你的目录，又不能搞破坏，其他目录不要继承D盘权限，删除users权限，应该没什么问题了，和server-U的权限要求差不多（主目录的父目录至少有读取权限），另外 重要文件不要放D盘，比如杀毒软件注册码什么的，我曾经就从一个服务器上偷到一个瑞星的注册码，还用了好久

引用:

原帖由 rayer 于 2008-2-21 12:08 发表
我kao,来个牛人,就是不知道是不是真的.

winwebmail的权限我也研究过，确实如11楼所说一样呀，不过官方上的权限没有划分细和严格罢了
要做一下还是很简单的
只要花点心思研究权限，就可以确保winwebmail的安全了

刚刚发现 Winwebmail是以本地系统帐号运行的，那么给它改一个登陆帐号，然后给这个帐号权限不就行了么，那样别人除非拿到你winwenmail的shell，否则无法读取你的目录，此方法没有测试，等我回学校再测试，还请各位朋友帮忙测试啊

晕倒,11楼要收费   期待 Duron大兄弟的研究成果

事实上这个办法非常好解决，还有人说D：给USERS没安全隐患的站出来！
http://www.iis500.com/downinfo/1686.html  下载这样的探针看看。把你的网站数据库配置文件下载下去，就可以看见用户和密码了。有的PHP论坛数据库是在别的服务器的，连接上去一个drop databases; 就完蛋了。
Duron的方法就是最好的。我已经这样运行了。各位大虾！！  此方法有效！
还有个问题，WinWebMail\mail 这个目录要给写入和修改权限，总之WinWebMail下好多文件都要给修改权。用这个webshell又可以修改和删除了。

说了半天等于没说。

主要的原因还是楼主的要求过于bt。

正常情况下 wwm要求安装在独立的一个分区上的。

怎么说他要求BT呢，winwebmail要给修改和写入权才能上传附件。这样的话用webshell就可以把mail目录删除了，用户数据都没了。