前沿拓展：

139郵箱登陸登錄

1、首先打開瀏覽器，然后在百度瀏覽器中輸入139郵箱登錄并點擊搜索。

2、接著找到并點擊139郵箱的官網進入。

3、然后輸入自己的手機號和密碼，點擊登錄。

4、然后按要求填寫相關的文字，點擊驗證。

5、最后通過以上**作，就在電腦中登陸了自己的139郵箱了。

庫克的錦鯉？萬豪的官方道歉？老板的匯款郵件？

IT時報記者 郝俊慧

“Hi，我是Tim Cook，你被選中是Apple的錦鯉，點擊以下鏈接，蘋果將送你一臺iPhone XS”“尊敬的用戶，萬豪國際正在采取措施，調查和處理涉及喜達屋賓客預訂數據庫的安全事件，請登錄以下地址修改您的信息”、“××，你好，剛剛有人在使用您的Apple ID，建議您前往……更改您的密碼”“××，上次說的合同已經簽訂，請往這個賬戶匯款10萬元”……這幾份郵件，最近出現在記者的郵箱里，當然，它們是假的，盡管這些郵箱的地址和真的一模一樣。

近日，一個白帽子團隊向《IT時報》記者爆料，目前全球主流電子郵箱的郵件服務器普遍存在一個漏洞，黑客無需攻入服務器內部，便可以直接偽造一封官方郵件寄給用戶，內容通常是釣魚網站或者木馬**。

與以往郵件**不同，假郵件的地址與真實地址相同，用戶根本無法分辨真偽，可謂防不勝防。據測試，蘋果、萬豪、Gmail、騰訊QQ郵箱、網易163郵箱、139手機郵箱等等國內外主流郵件服務器悉數中招，至少數億用戶的郵箱有安全隱患。

親測：2分鐘炮制一封

“老板郵件”

12月3日，白帽子金科（化名）給記者做了一次演示：在一個只有巴掌大小的盒子里，封裝了一整套“黑客”程序，通過這套軟件，金科可以隨意編寫一封郵件，并設置其郵箱地址，然后將其發送到指定的郵箱里。

2分鐘后，記者的手機QQ郵箱收到了一封來自老板的郵件，發送郵件的地址與真實地址一模一樣，后綴為@it-times.com.cn。隨后，記者的郵箱又陸續收到來自service@apple.com、starwoodhotels@email-marriott.com等郵箱要求修改密碼的郵件，甚至還有一封庫克（tcook@apple.com）發來的錦鯉郵件。當然，這些都是金科發的。

在金科所做的測試中，幾乎所有國內外主流的郵箱都存在同樣漏洞，無論是像Gmail、QQ、163、139這樣的免費郵箱，還是Apple、萬豪等公司的企業公共郵箱，幾乎都可以被仿冒，而更大的風險在于，對這些假郵件，收件郵箱很難識別。

“手機郵件客戶端尤其是重災區，”金科告訴記者，有些郵箱的網頁版對這些仿冒郵件會有一個提示：由×××@×××.com代發，但這個顯示出的代發地址同樣也可以事先設定，手機端App的收件箱則無任何提示，在收件人看來，這就是一封來自官方的正常郵件。

原因：郵件服務器“偷懶”

“安全措施如果沒有正確配置，反而會成為新的漏洞?！苯鹂聘嬖V記者，幾個月前，國外逐漸出現了這種新型郵件**手段，根本原因是原本用于郵件安全的DMARC協議，因為被服務商錯誤配置，不僅防釣魚功能完全失效，其他幾乎所有用于保護收件人不受欺詐電子郵件影響的防范措施，如垃圾郵件過濾器、IP信譽查詢、SPF、DKIM策略也都統統不再起作用。

DMARC（Domain-based Message Authentication, Reporting and Conformance基于域的消息認證、報告和一致性）是2012年1月30日，由Paypal、Google、微軟、雅虎、ReturnPath等聯手推廣的新電子郵件安全協議，此后**的網易、QQ等郵箱服務商也都加入其中。

DMARC的根本原理是，允許域所有者發布一項策略，該策略會告知收件人如果郵件未通過安全驗證，該如何處理。

比如當收件方收到一封可疑郵件時，會向發件方發送一個信令，請求進行DMARC校驗，它會詢問真實的發件方，“我收到一封可疑郵件，請問我該如何處理？”DMARC協議中，對如何回復收件方做了明確說明，處理方式從輕到重依次為：none為不作任何處理；quarantine為將郵件標記為垃圾郵件；reject為拒絕該郵件。DMARC協議的初期建議設置為none，但安全公司一般建議，至少設置為quarantine，保險一點，應該直接reject。

也就是說，那些被仿冒的郵箱服務器，盡管設置了DMARC校驗，但都沒有對初始狀態進行修改，當收件箱“回撥”詢問收到的郵件是否安全時，這些被仿冒的發件服務器直接回復“不做處理”，也即默認安全。收件方便很自然將假郵件放入收件箱，而不會再用其他垃圾郵件工具進行過濾， 這個過程有點像此前流行的“**”，**者用“**”將自己的網絡IP電話顯示為110或者95588等電話號碼，以此獲得接聽者的信任，接聽者最好的辨別辦法就是掛掉電話后回撥。但DMARC校驗時的“none”設置就好像你打電話給110，問我剛才收到一個疑似仿冒110的電話，該怎么處理？而對方告訴你，不用處理，默認接收就好。

當然，如果不做DMARC校驗，風險更大，因為攻擊者可以使用正常的信封地址發送郵件，但是修改信頭地址，這樣收件方的郵件服務器在檢測時，由于沒有做DMARC，只會檢查信封地址，而不檢查信頭的顯示發件人地址，很容易讓偽冒郵件直接進入收件箱。

在金科的測試中，發現Gmail和QQ郵箱都有做Dmarc，但p=none，163郵箱和139郵箱沒做Dmarc。他嘗試偽造發件人來自這些域名，最終仿冒郵件都能進入收件方的收件箱。

之所以如此設置，金科分析，一種可能是這些公司的安全人員“偷懶”，另一方面也可能是企業擔心自己的營銷郵件也被收件方拒收，因此干脆給所有詢問都“開綠燈”。

危害：精準釣“鯨魚”

“這種改名郵件最大的危害在于用戶無法辨別?！鄙虾Ｊ行畔踩袠I協會專家委員會副主任張威告訴《IT時報》記者，黑客用“改名軟件”**的手段通常有兩種：一種是一次性攻擊，目的是騙取你點擊，植入木馬；還有一種是精準攻擊，行話叫“鯨釣”，將目標鎖定一些中高端人群，通過已有的社工庫分析社會關系，然后通過郵件精準釣魚，比如仿冒老板的郵箱地址，給會計發一封要求付款的郵件，或者用仿冒的Apple郵箱，騙用戶點擊釣魚網站，盜取Apple ID和密碼，這種手段因為成功率高，且收獲大，被稱為“釣鯨魚”。

作為一種“古老”的互聯網**手段，釣魚郵件不僅依然大量存在，而且不斷使出新花樣。據不完全統計，全球范圍內被投遞的釣魚郵件每天約達到1億封。

張威認為，從這個漏洞上可以看出，很多公共郵箱和企業機構在安全防范上缺乏專業性，以為花錢就可以買“安全”，殊不知，安全工具如果部署不好，其危害甚至高于沒有工具。

在國外，這個問題已經開始被重視。2017年10月19日，美國國土安全部（DHS）發布《約束性**作指令18-01》（BOD 18-01），要求聯邦機構須在90天內應用兩項協議：DMARC和STARTTLS，而且明確指出，指令發布后一年內，為所有二級域名和郵件發送主機設置DMARC“拒絕”（reject）策略（在郵件服務器端拒絕未經驗證的電郵）。

但張威也指出，除了相關機構意識不強外，這種部署也并不簡單，即使DHS已經明確了時間點，但截至今年9月14日，美國所有.gov域名中DMARC采用率在為83％，而已經使用“p = reject”策略運行的行政部門域名，該數字只有64％，“要在旗下所有域名中部署DMARC，工作量還是很大的，尤其是一些中小企業在QQ郵箱、網易郵箱等公郵上部署了自己的企業郵箱，需要自己修改，但這些企業往往不具有這樣的能力，因此，這些公共郵箱不僅要修改自己的服務器，還要告訴這些企業客戶，該如何**作。”

12月5日，測試后第三天，蘋果修改了它的DMARC校驗策略，假冒蘋果郵件被收入垃圾郵箱，這意味著，它將收件方對于真假郵件的詢問，回答從none改為了quarantine，但依然不拒絕（reject）。

拓展知識：

139郵箱登陸登錄

可以的，如果有該帳號下載郵箱客戶端登錄即可；如果沒有該郵箱帳號在客戶端上立即注冊并完善帳號資料就可以了。

本回答被網友采納

139郵箱登陸登錄

139郵箱屬移動的基礎業務，手機號碼@139.com即為郵箱賬號，瀏覽器打開mail.10086.cn使用手機號碼+短信驗證碼即可登錄，若有任何139郵箱問題可隨時發郵件至service@139.com咨詢

139郵箱登陸登錄

你好。你可以下載網易郵箱**。網易郵箱**包含139郵箱。下載后可以使用手機號碼注冊，也可以使用拼音字母注冊。注冊號碼就是你的139郵箱賬號。