Exchange服务器漏洞可让黑客被利用来发送垃圾邮件

一位顾问在上周提出警告，采用微软Exchange的电子邮件服务器可能被垃圾邮件业者拿来作为发送垃圾邮件的工具。

哈佛大学三年级学生暨顾问公司Think Computer董事长Aaron Greenspan在上周发行的一份白皮书当中指出，发现了一个客户的服务器被用来寄送垃圾邮件。Greenspan经过研究之后，发现Exchange 5.5和2000可能被垃圾邮件制造者拿来做为寄出匿名垃圾邮件的工具。Greenspan并指出，虽然微软在网站上对该软件的安全做出认证，但是事实上却并非如此。

Greenspan表示，“如果在Exchange 5.5和2000上激活了访客（guest）帐户，即使登录失败，访客还是可以寄出电子邮件。因为访客帐户是属于无限制别名的邮件转发（catchall）的帐户。

访客帐户是系统管理员，作为访客匿名使用邮件服务器之用。不过因为安全考虑，大多数的状况下该功能都关闭。Greenspan表示受到Code Red感染过并进行清除的服务器，访客帐户会维持激活的状况。

在微软Exchange系统管理员的新闻群组当中，有许多信息系统主管没办法阻断垃圾邮件，于是提出了“中继（open relay）困扰”和“我们寄了垃圾邮件？”等主旨的发言。

不过微软指出这个问题相对轻微，微软并没有接到很多客户反映。

微软在回答CNET News.com问询的电子邮件当中表示，“经由这个方式寄出垃圾邮件的服务器，得有很特殊的设定，或者是利用通讯协议本身的漏洞才能进行。微软并没有收到很多像Think Computer描述的客户反映。“此外，微软也指出最新版的Exchange Server 2003并没有受到影响。

Greenspan则表示，这个问题引发许多未经授权的垃圾邮件。Greenspan估计在他修正问题之前，最少有10万封垃圾邮件从中国经由其他客户的服务器寄出。Greenspan表示，这个问题造成Exchange系统管理员的困扰。

Greenspan指出，“对于一个宣称信息安全最优先的公司来说，是没有借口回避问题的。”