Windows Live Mail近期增加了“使用其他电子邮件地址发送邮件”,这个功能尽管是从Gmail学习而来,但给用户带来的方便是毋庸置疑的.而如果你在WLM中设置了一个并不存在的地址,结果会如何呢?
下面来看如何通过WLM的漏洞来获得nings@guge.com的身份.

1.申请使用nings@guge.com在WLM中发送邮件.WLM会给你申请的邮箱nings@guge.com发送一封邮件作为验证.

2.但是很明显,这个地址是不存在的,所以hotmail无法投递此验证邮件,片刻之后,你WLM邮箱里会收到一封投递失败的通知,而通知邮件中将原邮件内容也附上了.

3.点击通知邮件中附上的——本来应为nings@guge.com接收查看的——激活链接,成功激活该身份.

4.下面就可以以nings@guge.com身份发邮件了.对于gmail用户,如果收到这类邮件还好,有个mailed-by msn.com的提示,对于其他邮件系统,也许接收者就没有这么幸运了.

5.一点说明.

对于这个垃圾邮件泛滥的年代,伪造一个身份是如此的容易,fisker告诉我,用任何语言都可以简单地伪造出任何电子邮件身份.别有用心者可以利用这个身份发推广邮件,发色情政治信息,发一个恶意网址来钓取你的银行帐号.

这是一个如此常见的问题,但不管如何,WLM不能纵容这种方式,他应当尽快把这个途径堵上.