現在提供免費Email服務的網站越來越多，國外著名的有Hotmail、NetAddress和Yahoo等等，國內有凱利、163和新開通的263等等。許多網友都申請了免費Email地址，有的甚至有好幾個，當你在使用免費Email服務傳遞重要信息時，是否考慮到了它的安全性問題？

提供免費Email服務的網站都遵循尊重個人隱私權的原則，因此不必擔心存放在服務器上的信件被免費服務提供商偷偷閱讀。這里所說的安全性問題是指第三方采用各種攻擊手段，侵入受害者的信箱并竊取重要信息。由于大多數免費Email都是以WWW方式提供服務，用戶使用瀏覽器連接免費服務提供商的主頁，輸入用戶名和口令后方能進入自己的信箱，在用戶選擇注銷（Logout）之前，瀏覽器一直可以訪問用戶的信箱，針對這個過程存在著多種攻擊方法。下面以Hotmail為例簡單介紹一下這些攻擊方法，并給出相應的對策供網友們參考。

·當受害者在某臺機器上訪問了Hotmail后卻忘記了注銷，攻擊者只需在瀏覽器的地址欄中鍵入http：／／www．hotmail．com／cgi－bin／start／victimsusername就可直接進入受害者的信箱，其中＂victimsuername＂是受害者的用戶名。如果受害者所在網絡是通過代理服務器連接至Hotmail的話，攻擊者可以在該網絡上的任何一臺機器上訪問受害者的信箱。顯而易見，牢記每次收發完郵件后要注銷，就是對付這種攻擊手段的最好方法。另外，Hotmail已升級了其服務器的軟件，當用戶超過一定時間不訪問信箱后會自動注銷，不過筆者認為不再使用Hotmail時就立即注銷才是良策。

·攻擊者把Hotmail的登錄主頁保存到本地機器，修改其源碼，改變傳回用戶名和口令的方法（此處不介紹具體方法），然后在瀏覽器中打開該頁，在地址欄中鍵入http：／／www．hotmail．com，但不按回車鍵，看起來就好像瀏覽器剛剛打開了Hot?mail的登錄主頁；受害者來使用這臺機器時可能不加思索地鍵入用戶名和口令并按下登錄按鈕，修改過的主頁會把用戶名和口令信息組合在鏈接地址中，瀏覽器則會把這個地址存入到歷史記錄中，攻擊者只需查看歷史記錄就可輕易獲得口令。為了對付這種欺騙手段，每次登錄時都應重新連接Hotmail，調出新的登錄主頁。

·如果受害者在查看自己的信件時從Inbox中直接打開每封信（不是用上一封或下一封打開），那么瀏覽器會把這些信件長期保存在歷史記錄和緩存中，攻擊者可以在脫機方式下查看歷史記錄，找出受害者的信件。因此，當你在公用的機器上連接Hotmail并接收了重要信息后，應該清除瀏覽器的歷史記錄和緩存，以防止別有用心的人查看這些信息。

·另一種類型的攻擊方法是向受害者發送欺騙性郵件來騙取口令，例如：攻擊者在Hotmail申請一個信箱，用戶名取成像Hotmail的技術支持小組一樣，然后向受害者發送一封郵件，說Hotmail正在更換服務器等等之類的話，最后要求受害者回復此信，并把他的用戶名和口令放在Subject中，往往有不少人相信了并輕易給出了口令。實際上，Hotmail一再強調自己絕對不會通過Email或電話向用戶詢問口令，如果你有一天接到了此類郵件，一定不要回信。

·除了上面這些手段外，攻擊者還可用Telnet到Hotmail的110端口上等方法來猜測受害者的口令。為了提高安全性，你還應該定期更換口令，所取口令的長度要大于6個字符，最好能同時包含大寫和小寫字母。

前面討論了使用Hotmail時應注意的安全性問題，這些也基本適用于其它免費Email提供商，所以當網友們使用免費E?mail服務傳遞重要信息時應注意安全，必要時可用PGP對信件內容加密。