Нужно заметить, что в Apache вывод содержимого каталога при отсутствии в нем индексного файла по умолчанию запрещен. При попытке доступа к нему будет выведена ошибка «403 Forbidden». Однако при подключенном модуле mod_autoindex возможно построение так называемого автоматического индекса, что достигается включением параметра Indexes в строку Options.

Например, чтобы разрешить автоиндекс для корневого каталога (и всех вложенных), можно использовать следующую запись:

<Directory />

       Options Indexes

</Directory>

При необходимости в этой же строке можно указать и другие опции. Таким образом, в большинстве случаев вам достаточно убедиться, что такая опция не распространяется на «проблемный» каталог. Не забывайте, что она может находиться и в файле .htaccess данного или одного из вышестоящих каталогов.

Кстати, еще один способ избежать указанной выше проблемы с выдачей содержимого каталога – создать в нем любой индексный файл, можно даже пустой.

Кроме того, точно так же можно просмотреть настройки пользователя в каталоге data/users/<адрес_пользователя>/. Действительно интересного здесь не так уж и много (разве что файл key.inc, содержащий переменную $passkey, которая содержит в зашифрованном виде имя пользователя и пароль для доступа к почтовому серверу). Тем не менее даже такая информация, как любимый цвет человека, может рассматриваться как конфиденциальная (особенно если он использует это в «секретном вопросе» в какой-нибудь системе напоминания паролей).

Однако чтобы не искушать судьбу, лучше вынести каталог data за пределы иерархии каталогов, доступных веб-серверу (например, /var/db/ilohamail выглядит подходящим местом). Обеспечьте пользователю www (и только ему) беспрепятственный доступ к этому каталогу и его внутренностям на чтение и запись, а в конфигурационном файле conf/conf.inc измените соответствующие пути к файлам (переменные $UPLOAD_DIR, $CACHE_DIR, $USER_DIR, $SESSION_DIR).