[重要通告]如您遇疑難雜癥,本站支持知識付費業務,掃右邊二維碼加博主微信,可節省您寶貴時間哦!

大家安裝WINWEBMAIL，通常大家都是參照官方的說明，給Winwebmail目錄users組甚至是Everyone可寫權限。這樣設置基本就能滿足winwebmail的運行了。但是對于一些服務器上同時存在有其他asp或者asp.net站點，比如做虛擬主機的服務商。這樣設置很容易在另外一些站點被黑后，受到跨站攻擊的牽連。

好一點的就將Winwebmail的安裝目錄改的很復雜來躲避黑客的跨站攻擊。

就這一點來講，我覺得WINWEBMAIL官方對于目錄權限的設置其實說的太過簡單，有點不負責任的感覺。

下午我仔細分析了WINWEBMAIL的目錄安全設置。即使按照一些特殊處理過能夠防止ASP跨站攻擊的設置，其實依然很容易被人ASP.NET跨站攻擊 。實際上經過測試，我沒有花太多工夫就跑進了一位協助測試的同志服務器的Winwebmail目錄。并且可以隨意修改里面的東西了。

下面講下具體操作流程,

1、安裝完WINWEBMAIL，基本的東西不詳細說了。

2、新建立一個USER，屬于GUESTS組，如：mail_vistor。（*注：如果使用iis自帶的IUSR_XXX來賓用戶，圖片中用的是默認用戶。那么這一步可以省略）。

3、新建立一個USER，屬于IIS_WPG組，如：mail_user。

4、打開IIS，新建立一個進程池，命名， 如：mail_process。啟動權限用戶設置為：mail_user

5、打開IIS，新建立一個站點，指定主文檔目錄為WINWEBMAIL目錄下WEB目錄。并指定進程池為mail_process.
在目錄安全性，里編輯匿名訪問用戶為：mail_vistor（或者默認為IUSR_XXX，二個用戶選一即可,圖片中用的是默認IIS用戶）。

6、給安裝WINWEBMAIL的盤符根目錄比如：E盤，管理員和mail_vistor(或IUSR_XXX)只讀權限。

7、給WINWEBMAIL目錄IIS_WPG組、mail_vistor以及管理員三者可讀寫權限。

添加network service和aspnet
兩個用戶，權限設置為拒絕訪問。

添加運行其他運行ASP網站的用戶組為拒絕權限，我這里其他所有ASP網站都是在hostgroup用戶組里的用戶的權限來分別驗證的的，我直接將整個組添加權限為：拒絕訪問。（通其他ASP的防止跨站的權限設計，我就簡單帶過。）

winwebmail目錄下各用戶的權限為：

winwebmail下的web目錄權限最終是:

8、重新啟動IIS及WINWEBMAIL服務，即可。

這樣草作后已經大體封鎖了來自除了郵件WEB程序以外的其他asp,asp.net的程序攻擊了。目前我測試各方面正常。具體防止WEB目錄程序攻擊WINWEBMAIL的詳細設置，就各人喜歡再繼續深入設置，我就不具體講了。

結束：如果你不是很了解權限的設置，你還可以簡單的這樣草作，將WINWEBMAIL安裝到一個不容易猜解的目錄里,比如：E:\XX73C3DA
這種名字的目錄。然后備份c:\windows目錄下WEMINSTALL.LOG這個文件并刪除。（備份的作用，我是怕以后升級winwebmail需要使用這個log文件。具體是否需要沒有測試過。我就是通過這個文件找出了測試服務器的具體安裝位置的。），但為了避免其他地方可能還暴露出安裝位置，建議你還是按照我的教程進行設置一下吧。

問題未解決？付費解決問題加Q或微信 2589053300 (即Q號又微信號)右上方掃一掃可加博主微信

所寫所說，是心之所感，思之所悟，行之所得；文當無敷衍，落筆求簡潔。 以所舍，求所獲；有所依，方所成！