另外，如果win2003下WINWEBMAIL登錄老說密碼錯誤的解決方法，也可以如下解決。

 以前安裝WINWEBMAIL，通常大家都是參照官方的說明，給Winwebmail目錄users組甚至是Everyone可寫權限。

好一點的就將Winwebmail的安裝目錄改的很復雜來躲避黑客的跨站攻擊。

就這一點來講，我覺得WINWEBMAIL官方對于目錄權限的設置其實說的太過簡單，有點不負責任的感覺。

下午我仔細分析了WINWEBMAIL的目錄安全設置。即使按照一些特殊處理過能夠防止ASP跨站攻擊的設置，其實依然很容易被人ASP.NET跨站攻擊 。實際上經(jīng)過測試，我沒有花太多工夫就跑進了一位協(xié)助測試的同志服務器的Winwebmail目錄。并且可以隨意修改里面的東西了。

具體“黑”的過程就不講述了。以免被別有用心之人利用。

下面講下具體操作流程,

1、安裝完WINWEBMAIL

2、新建立一個USER，屬于GUESTS組，如：mail_vistor。（*注：如果使用iis自帶的IUSR_XXX來賓用戶。那么這一步可以省略）。

3、新建立一個USER，屬于IIS_WPG組，如：mail_worker。

4、打開IIS，新建立一個進程池，命名， 如：mail_process。啟動權限用戶設置為：mail_worker

5、打開IIS，新建立一個站點，指定主文檔目錄為WINWEBMAIL目錄下WEB目錄。并指定進程池為mail_process.
在目錄安全性，里編輯匿名訪問用戶為：mail_vistor（或者默認為IUSR_XXX，二個用戶選一即可）。

6、給安裝WINWEBMAIL的盤符根目錄比如：E盤，管理員和mail_vistor(或IUSR_XXX)只讀權限。

7、給WINWEBMAIL目錄IIS_WPG組、mail_vistor以及管理員三者可讀寫權限。

    添加network service和aspnet 兩個用戶，權限設置為拒絕訪問。

添加運行ASP用戶組，比如hzhost用戶，可能為hostgroup用戶組，權限為：拒絕訪問。（具體ASP的防止跨站的權限設計網(wǎng)站上大把，我就簡單帶過。）

8、重新啟動IIS及WINWEBMAIL服務，即可。

這樣操作后已經(jīng)大體封鎖了來自除了郵件WEB程序以外的其他asp,asp.net的程序攻擊了。目前我測試各方面正常。具體防止WEB目錄程序攻擊WINWEBMAIL的詳細設置，就各人喜歡再繼續(xù)深入設置，我就不具體講了。

結束：如果你不是很了解權限的設置，你還可以簡單的這樣操作，將WINWEBMAIL安裝到一個不容易猜解的目錄里,比如：E:/XX73C3DA
這種名字的目錄。然后備份c:/windows目錄下WEMINSTALL.LOG這個文件并刪除。（備份的作用，我是怕以后升級winwebmail需要使用這個log文件。具體是否需要沒有測試過。我就是通過這個文件找出了測試服務器的具體安裝位置的。），但為了避免其他地方可能還暴露出安裝位置，建議你還是按照我的教程進行設置一下吧。