1、. ：.；運用分析 Email電子郵件運用分析郵件傳輸協議簡介郵件傳輸概念郵件效力是Internet上最常用的效力之一，它提供了與操作系統平臺無關的通訊效力，運用郵件效力，用戶可經過電子郵件在網絡之間交換數據信息。郵件傳輸包括將郵件從發送者客戶端發往郵件效力器，以及接納者從郵件效力器將郵件取回到接納者客戶端。SMTP和POP3在TCP/IP協議簇中，普通運用SMTP協議發送郵件，POP3協議接納郵件。SMTP，全稱Simple Message Transfer Protocol，中文名為簡單郵件傳輸協議，任務在TCP/IP層次的運用層。SMTP采用Client/Server任務方式，默許運用T

2、CP 25端口，提供可靠的郵件發送效力。POP3，全稱Post Office Protocol 3，中文名為第三版郵局協議，任務在TCP/IP層次的運用層。POP3采用Client/Server任務方式，默許運用TCP 110端口，提供可靠的郵件接納效力。SMTP和POP3的任務原理發送和接納郵件都需求以下兩個組件：用戶代理UA，常用的是Foxmail或Outlook和SMTP/POP3效力器。SMTP任務原理：客戶端運用TCP協議銜接SMTP效力器的25端口；客戶端發送HELO報文將本人的域地址通知給SMTP效力器；SMTP效力器接受銜接懇求，向客戶端發送懇求賬號密碼的報文；客戶端向SMTP

3、效力器傳送賬號和密碼，假設驗證勝利，向客戶端發送一個OK命令，表示可以開場報文傳輸；客戶端運用MAIL命令將郵件發送者的稱號發送給SMTP效力器；SMTP效力器發送OK命令做出呼應；客戶端運用RCPT命令發送郵件接納者地址，假設SMTP效力器能識別這個地址，就向客戶端發送OK命令，否那么回絕這個懇求；收到SMTP效力器的OK命令后，客戶端運用DATA命令發送郵件的數據?？蛻舳税l送QUIT命令終止銜接。POP3任務原理：客戶端運用TCP協議銜接郵件效力器的110端口；客戶端運用USER命令將郵箱的賬號傳給POP3效力器；客戶端運用PASS命令將郵箱的賬號傳給POP3效力器；完成用戶認證后，客戶端

4、運用STAT命令懇求效力器前往郵箱的統計資料；客戶端運用LIST命令列出效力器里郵件數量；客戶端運用RETR命令接納郵件，接納一封后便運用DELE命令將郵件效力器中的郵件置為刪除形狀；客戶端發送QUIT命令，郵件效力器將將置為刪除標志的郵件刪除，銜接終了。注：客戶端UA可以設定將郵件在郵件效力器上保管備份，而不將其刪除。跟蹤分析Email電子郵件通訊過程分析Email的詳細流程發送郵件我們運用科來網絡分析系統5.0捕獲并分析一個運用SMTP協議的發送郵件過程，客戶端主機名為“wangym，客戶端用戶代理運用Foxmail 5.0 beta2，郵件發送者test1colasoft，郵件接納者te

5、st2colasoft。在客戶端主機上翻開科來網絡分析系統5.0。為防止數據干擾，設定一個過濾器，只捕獲本機的數據通訊。翻開客戶端主機上的Foxmail 5.0 beta2，新建兩個郵件賬戶，test1colasoft和test2colasoft，設置好賬戶的SMTP/POP3效力器地址、用戶名、密碼等信息并測試勝利。在科來網絡分析系統5.0中開場數據捕獲，在Foxmail中運用test1colasoft向test2colasoft發送一封郵件，郵件原始信息如圖1所示。發送完成后即可在科來網絡分析系統5.0對剛剛的郵件發送操作進展分析為防止數據包干擾，分析時可停頓捕獲。留意：此文里提到的發送郵

6、件均指運用TCP 25端口的規范SMTP通訊，對于非25端口的郵件發送，用戶可在“工程-高級分析模塊-郵件分析模塊-SMTP設置-SMTP端口處進展更改，系統默以為25，當SMTP效力器有多個端口時，多個端口之間用分號分隔，如25;125。圖1發送郵件的原始信息圖2運用SMTP協議發送郵件的原始數據包圖2所示的是科來網絡分析系統5.0對上面發送郵件操作的報文跟蹤，詳細信息如下：第1、2、3個數據包是TCP銜接的三次握手數據包，銜接的雙方是本機與域名ns1.colasoft對應的IP地址；從第4個數據包開場，客戶端開場經過TCP協議銜接SMTP效力器，并與SMTP效力器進展命令的交互，及郵件的發

7、送，詳細的交互過程詳見圖3以及對圖3的分析。 圖3運用SMTP協議發送郵件的原始數據流圖3所示的是科來網絡分析系統5.0對上面發送郵件操作的TCP原始數據流重組信息。詳細分析數據流重組信息，可以得到上面發送郵件操作的詳細過程如下：客戶端運用EHLO或HELO命令向SMTP效力器發送HELO報文，啟動郵件傳輸過程，并同時將客戶端地址發送SMTP效力器端，此處為wangym；SMTP效力器接受了客戶端的銜接懇求，并懇求輸入賬號和密碼進展認證；客戶端向效力器端傳送賬號和密碼；SMTP效力器經過驗證，客戶端運用MAIL命令將郵件發送者的稱號傳送給SMTP效力器；客戶端運用RCPT命令將郵件接納者的稱號

8、傳送給SMTP效力器；客戶端運用DATA命令傳送郵件數據給SMTP效力器；數據傳送終了后，客戶端發送QUIT命令封鎖銜接。留意：SMTP傳輸運用的是base64編碼，圖4中AUTH LOGIN下的“dGVzdDFAY29sYXNvZnQuY29t是當前運用賬號對應的base64編碼；圖3所示的SMTP數據流中，客戶端向SMTP效力器傳送了兩次發件人稱號和收件人稱號，能夠的緣由有兩種：網絡的延遲較大，客戶端在規定時間內未收到SMTP效力器的呼應，以為傳送發件人稱號和收件人稱號的數據包喪失而進展的重傳；客戶端主機上的防病毒軟件在郵件發送前對郵件進展的檢測，如Norton Antivirus就會進展

9、這種檢測，禁用此檢測功能即可防止此種情況的發生。接納郵件我們再運用科來網絡分析系統5.0捕獲并分析一個運用POP3協議的接納郵件過程，客戶端主機名為“wangym，客戶端用戶代理運用Foxmail 5.0 beta2，郵件接納者test2colasoft。在客戶端主機上翻開科來網絡分析系統5.0。與上面一樣，設定一個過濾器，只捕獲本機的數據通訊，選擇高級分析模塊，在郵件分析模塊的常規設置中，將保管郵件選擇為“是，并選擇好郵件的保管位置，如圖1所示。在科來網絡分析系統5.0中開場數據捕獲，同時在Foxmail中選中test2colasoft，并收取郵件。接納完成后即可在科來網絡分析系統5.0對剛

10、剛的郵件接納操作進展分析為防止數據包干擾，分析時可停頓捕獲。留意：此文里提到的接納郵件均指運用TCP 110端口的規范POP3通訊，對于非110端口的郵件發送，用戶可在“工程-高級分析模塊-郵件分析模塊-SMTP設置-POP3端口處進展更改，系統默以為110，當SMTP效力器有多個端口時，多個端口之間用分號分隔，如110;1110。圖4所示的是科來網絡分析系統5.0對上面接納郵件操作的報文跟蹤。1、2、3數據包是TCP銜接的三次握手數據包，銜接的雙方是本機與域名ns1.colasoft對應的IP地址；從第4個數據包開場，客戶端開場經過TCP協議銜接POP3效力器，并與POP3效力器進展命令的交

11、互，及郵件的接納，詳細的交互過程詳見圖4以及對圖4的分析。圖4運用POP3協議接納郵件的原始數據包圖5所示的是科來網絡分析系統5.0對上面接納郵件操作的TCP原始數據流重組信息。詳細分析其數據流重組信息，可以得到上面接納郵件操作的詳細過程：客戶端運用USER命令向POP3效力器傳送用戶賬號test2colasoft；客戶端運用PASS命令向POP3效力器傳送用戶密碼1234567890；POP3效力器經過驗證，向客戶端發送一個OK報文；客戶端運用STAT命令懇求POP3效力器前往郵箱的統計資料信息，POP3效力器前往當前有一封郵件；客戶端運用LIST命令列出POP3效力器里的郵件數量，當前為1

12、封郵件；客戶端運用RETR命令接納郵件，接納后運用DELE命令將郵件POP3效力器中的郵件置為刪除形狀；客戶端發送QUIT命令，郵件效力器將將置為刪除標志的郵件刪除，銜接終了。留意：POP3直接運用明文傳輸；圖5中最后部分由于篇幅，圖5中未列出，直接重組出了接納到的郵件內容，此信息不經過任何編碼或加密處置，直接為明文方式，與圖1所示的郵件原始信息一致。圖5運用POP3協議接納郵件的原始數據流SMTP/POP3命令碼經過SMTP/POP3協議進展郵件收發操作時，均經過不同的命令碼進展不同的操作，現將其命令碼總結如下：SMTP命令如表1所示：命令作用HELO客戶端發送此命令與SMTP效力器建立銜接

13、，將發送者郵件地址發送給SMTP效力器MAIL客戶端將郵件發送者的稱號傳送給SMTP效力器RCPT客戶端將郵件接納者的稱號傳送給SMTP效力器DATA客戶端將郵件報文內容傳送給SMTP效力器SEND用于向指定用戶傳送郵件SAML/SOML用于發送郵件RSET取消客戶端與SMTP效力器間的當前事務，釋放與當前事務相關的內存EXPN標識郵件接納者列表QUIT終止客戶端與SMTP效力器間的銜接表1SMTP協議命令)POP3命令如表2所示：命令作用USER客戶端向POP3效力器傳送賬號PASS客戶端向POP3效力器傳送密碼STAT客戶端懇求POP3效力器前往郵箱的統計信息UIDL客戶端懇求POP3效力器前往郵件的獨一標識符 LIST客戶端懇求POP3效力器前往郵件數量和每封郵件的大小RETR客戶端懇求POP3效力器前往由參數標識的郵件的全部文本DELEPOP3效力器將由參數標識的郵件標志為刪除RSETPOP3效力器重置一切標志為刪除的郵件，用于吊銷DELE命令NOOPPOP3效力器前往一個一定的呼應QUIT終止客戶端POP3效力器間的銜接表2POP3協議命令)總結以上