创建新列表，在 Mailman 中是如何进行的呢？看看 Python 的邮件列表的新建页面。

• 输入列表名称，以及一系列列表的设置
• 在表单的最后，需要输入口令，即：List creator's (authentication) password

即 Mailman 本身的创建列表的授权，是通过简单的密码检查完成的。这样的实现存在安全问题和管理问题：

• 密码认证在不安全的 http 信道内进行，存在密码泄漏风险
• 只有密码，没有用户名的不完整的认证。知道密码的可能有多个人，无法得知是谁完成的操作
• 密码管理，需要在命令行下执行 mmsitepass 命令重置管理员密码或者列表创建密码

群英汇扩展的Mailman解决这个问题，是通过双因子认证完成的。

访问邮件列表创建页面，必须先经过认证

即访问邮件列表创建的 URL（http://.../mailman/create），首先需要经过认证关。如果没有经过认证是看不到列表创建页面的。 而认证，会跳转到单点登录平台进行双因子认证。

双因子认证，验证用户授权

双因子的含义是：不但要确认你知道什么（口令），还要确认你有什么。如你的指纹，你的虹膜，你的声音，再如你的权限... 群英汇的单点登录平台基于 CoSign 进行了改进，加入了身份何时的双因子认证。在用户管理平台如果给用户分配了 admin_list 授权，则用户成为列表管理员。 只有具有列表管理员身份的用户，才能通过双因子认证。

通过认证后，显示列表创建页面

比照 Mailman 原来的设计，会发现一些变动：

• 没有了列表初始密码设置项 因为列表的管理员认证，不再通过密码认证，而是通过单点登录进行身份认证。
• 没有了列表创建者密码输入项 因为当看到这个页面时，已经通过双因子认证，管理员的身份已经核实了。

下一个博文，我们将介绍“邮件列表安全性改进：订阅策略和存档安全性设置”。