AOL郵件服務疑遭駭，用戶帳號被垃圾蟲盜用

AOL郵件用戶近日透過Twitter抱怨，自己的帳號被盜用，有垃圾蟲偽造他們的帳號寄送垃圾信件或惡意郵件給友人。AOL迄今尚未說明伺服器是否被駭，但已祭出補救措施，修改DMARC政策以避免其他郵件服務假冒AOL伺服器發送信件。

AOL在周二（4/22）表示，已將DMARC政策更改為拒絕（p=reject），因此，只要是以AOL郵件用戶名義寄信到其他支援DMARC的郵件服務時，除非該郵件通過SPF或DKIM的認證檢驗，否則便會被拒絕。

此舉除了可杜絕假冒AOL用戶帳號發送垃圾郵件的駭客外，也影響了某些正規的使用者。例如以AOL郵件用戶名義透過非AOL伺服器寄送大量郵件的代理商，或是提供與友人分享功能且以AOL郵件位址寄送郵件的網站，也會影響透過第三方服務寄送郵件的小型企業，或是轉寄郵件的服務與群組郵件功能。 AOL並未說明郵件系統是否遭到入侵，也未公布受影響的規模。

包括AOL、Google、Yahoo、微軟及PayPal在內的15家電子服務與技術供應商在2002年攜手推動DMARC標準，以讓電子郵件接受端更容易判斷訊息是否來自合法的寄送人，藉以防堵垃圾訊息或網釣郵件。 AOL指出，從AOL伺服器之外代替AOL郵件用戶傳遞郵件原本是普遍且合法的行為，但這也替垃圾蟲帶來假冒發送者的機會，修改DMARC政策將可有效阻礙垃圾蟲假冒AOL用戶的行為。（編譯/陳曉莉）