一家咨询公司本星期发出警告称,基于微软Exchange软件的电子邮件系统的管理人员将发现,垃圾邮件制造者将利用他们的服务器在他们的鼻子底下发送大量的垃圾电子邮件。
咨询公司Think Computer的总裁、哈佛大学三年级学生Aaron Greenspan在11月13日发表的白皮书中详细地说明了这个问题。Greenspan的研究结论称,Exchange 5.5和2000版能够被垃圾邮件制造者用来发送匿名电子邮件。他说,虽然微软在其网站上提供认证,认为服务器是安全的,但是,服务器还是不安全。
Greenspan说,如果在Exchange 5.5和2000允许存在游客帐户,即使你登录失败了,你还可以发送电子邮件,因为游客帐户作为一个包罗万象的帐户还在那里。即使你采取了一切措施保证服务器安全,你的服务器仍对垃圾邮件制造者敞开了大门。
游客帐户是系统管理员允许访问者匿名使用邮件服务器的一种方法。但是,由于安全的原因,这个功能一般都是关闭的。Greenspan说,受到红色代码蠕虫感染过的Exchange服务器即使后来清除了蠕虫,游客帐户功能仍是打开的。
微软表示,这个问题不太严重。微软还没有接到很多投诉。微软对于CNET News.com提出的问题作出答复说,这种发送垃圾电子邮件的方式依赖于服务器的具体配置或者利用了协议本身存在的弱点。事实是微软还没有接到许多用户投诉,说他们遇到了Think Computer所说的问题。不过,微软表示,最新版本的Exchange Server 2003不受这个问题的影响。
Greenspan争辩说,这个问题造成了大量的垃圾电子邮件。他预计,在他阻止这个问题发生之前,他的客户的服务器至少发送了10万封垃圾邮件。他补充说,这个问题使许多Exchange系统管理员感到头疼