Email电子邮件应用分析opb.docx

应用分析析 － Emaail电电子邮件件应用分分析一、 邮件传输输协议简简介1. 邮件传输输概念邮件服务务是Innterrnett上最常常用的服服务之一一，它提提供了与与操作系系统平台台无关的的通信服服务，使使用邮件件服务，用用户可通通过电子子邮件在在网络之之间交换换数据信信息邮邮件传输输包括将将邮件从从发送者者客户端端发往邮邮件服务务器，以以及接收收者从邮邮件服务务器将邮邮件取回回到接收收者客户户端2. SMTPP和POOP3在TCPP/IPP协议簇簇中，一一般使用用SMTTP协议议发送邮邮件，PPOP33协议接接收邮件件SMTPP，全称称Simmplee Meessaage Traansffer Prootoccol，中中文名为为简单邮邮件传输输协议，工工作在TTCP//IP层层次的应应用层SSMTPP采用CClieent//Serrverr工作模模式，默默认使用用TCPP 255端口，提提供可靠靠的邮件件发送服服务POP33，全称称Posst OOffiice Prootoccol 3，中中文名为为第三版版邮局协协议，工工作在TTCP//IP层层次的应应用层PPOP33采用CClieent//Serrverr工作模模式，默默认使用用TCPP 1110端口口，提供供可靠的的邮件接接收服务务。

3. SMTPP和POPP3的工工作原理理发送和接接收邮件件都需要要以下两两个组件件：用户户代理（UUA，常常用的是是Foxxmaiil或OOutllookk）和SSMTPP/POOP3服服务器SMTPP工作原原理：1) 客户端使使用TCCP协议议连接SSMTPP服务器器的255端口；；2) 客户端发发送HEELO报报文将自自己的域域地址告告诉给SSMTPP服务器器；3) SMTPP服务器器接受连连接请求求，向客客户端发发送请求求账号密密码的报报文；4) 客户端向向SMTTP服务务器传送送账号和和密码，如如果验证证成功，向向客户端端发送一一个OKK命令，表表示可以以开始报报文传输输；5) 客户端使使用MAAIL命命令将邮邮件发送送者的名名称发送送给SMMTP服服务器；；6) SMTPP服务器器发送OOK命令令做出响响应；7) 客户端使使用RCCPT命命令发送送邮件接接收者地地址，如如果SMMTP服服务器能能识别这这个地址址，就向向客户端端发送OOK命令令，否则则拒绝这这个请求求；8) 收到SMMTP服服务器的的OK命命令后，客客户端使使用DAATA命命令发送送邮件的的数据9) 客户端发发送QUUIT命命令终止止连接。

POP33工作原原理：1) 客户端使使用TCCP协议议连接邮邮件服务务器的1110端端口；2) 客户端使使用USSER命命令将邮邮箱的账账号传给给POPP3服务器器；3) 客户端使使用PAASS命命令将邮邮箱的账账号传给给POPP3服务务器；4) 完成用户户认证后后，客户户端使用用STAAT命令令请求服服务器返返回邮箱箱的统计计资料；；5) 客户端使使用LIIST命命令列出出服务器器里邮件件数量；；6) 客户端使使用REETR命命令接收收邮件，接接收一封封后便使使用DEELE命命令将邮邮件服务务器中的的邮件置置为删除除状态；；7) 客户端发发送QUUIT命令令，邮件件服务器器将将置为为删除标标志的邮邮件删除除，连接接结束注：客客户端UUA可以以设定将将邮件在在邮件服服务器上上保留备备份，而而不将其其删除二、 跟踪分析析Emaail电电子邮件件通讯过过程1. 分析Emmaill的具体体流程1) 发送邮件件我们使用用科来网网络分析析系统55.0捕捕获并分分析一个个使用SSMTPP协议的的发送邮邮件过程程，客户户端主机机名为“wanngymm”，客户户端用户户代理使使用Fooxmaail 5.00 beeta22，邮件件发送者者tesst1@@m，邮件件接收者者tesst2@@m。

在客户端端主机上上打开科科来网络络分析系系统5..0为为避免数数据干扰扰，设定定一个过过滤器，只只捕获本本机的数数据通讯讯打开客户户端主机机上的FFoxmmaill 5..0 bbetaa2，新新建两个个邮件账账户，ttestt1@ccolaasofft.ccom和和tesst2@@m，设置置好账户户的SMMTP//POPP3服务务器地址址、用户户名、密密码等信信息并测测试成功功在科来网网络分析析系统55.0中中开始数数据捕获获，在FFoxmmaill中使用用tesst1@@m向teest22@coolassoftt.coom发送送一封邮邮件，邮邮件原始始信息如如图1所示示发送送完成后后即可在在科来网网络分析析系统55.0对对刚才的的邮件发发送操作作进行分分析（为为避免数数据包干干扰，分分析时可可停止捕捕获注意：此此文里提提到的发发送邮件件均指使使用TCCP 225端口口的标准准SMTTP通信信，对于于非255端口的的邮件发发送，用用户可在在“工程-->高级级分析模模块->>邮件分分析模块块->SSMTPP设置-->SMMTP端端口”处进行行更改，系系统默认认为255，当SSMTPP服务器器有多个个端口时时，多个个端口之之间用分分号分隔隔，如225;1125。

图1发发送邮件件的原始信信息）（图2　　使用SSMTPP协议发发送邮件件的原始始数据包包）图2所示示的是科科来网络络分析系系统5..0对上上面发送送邮件操操作的报报文跟踪踪，详细细信息如如下：A. 第1、22、3个数据据包是TTCP连连接的三三次握手手数据包包，连接接的双方方是本机机与域名名ns11.coolassoftt.coom对应应的IPP地址；；B. 从第4个个数据包包开始，客客户端开开始通过过TCPP协议连接SSMTPP服务器器，并与与SMTTP服务务器进行行命令的的交互，及及邮件的的发送，具具体的交交互过程程详见图图3以及及对图33的分析析 （图3　　使用SSMTPP协议发发送邮件件的原始始数据流流）图3所示示的是科科来网络络分析系系统5..0对上上面发送送邮件操操作的TTCP原原始数据据流重组组信息具具体分析析数据流流重组信信息，可可以得到到上面发发送邮件件操作的的详细过过程如下下：A. 客户端使使用EHHLO（或或HELLO）命命令向SSMTPP服务器器发送HHELOO报文，启启动邮件件传输过过程，并并同时将将客户端端地址发发送SMMTP服服务器端端，此处处为waangyym；B. SMTPP服务器器接受了了客户端端的连接接请求，并并请求输输入账号号和密码码进行认认证；C. 客户端向向服务器器端传送送账号和和密码；；D. SMTPP服务器器通过验验证，客客户端使使用MAAIL命命令将邮邮件发送送者的名名称传送送给SMMTP服服务器；；E. 客户端使使用RCCPT命命令将邮邮件接收收者的名名称传送送给SMMTP服服务器；；F. 客户端使使用DAATA命命令传送送邮件数数据给SSMTPP服务器器；G. 数据传送送完毕后后，客户户端发送送QUIIT命令令关闭连连接。

注意：l SMTPP传输使使用的是是basse644编码，图图4中AUTTH LLOGIIN下的的“dGVVzdDDFAYY29ssYXNNvZnnQuYY29tt”是当前使使用账号号对应的的basse644编码；；l 图3所示示的SMMTP数数据流中中，客户户端向SSMTPP服务器器传送了了两次发发件人名名称和收收件人名名称，可可能的原原因有两两种：a. 网络的延延迟较大大，客户户端在规规定时间间内未收收到SMMTP服服务器的的响应，认认为传送送发件人人名称和和收件人人名称的的数据包包丢失而而进行的的重传；；b. 客户端主主机上的的防病毒毒软件在在邮件发发送前对对邮件进进行的检检测，如如Norrtonn Anntivviruus就会会进行这这种检测测，禁用用此检测测功能即即可避免免此种情情况的发发生2) 接收邮件件我们再使使用科来来网络分分析系统统5.00捕获并并分析一一个使用用POPP3协议议的接收收邮件过过程，客客户端主主机名为为“wanngymm”，客户户端用户户代理使使用Fooxmaail 5.00 beeta22，邮件件接收者者tesst2@@m在客户端端主机上上打开科科来网络络分析系系统5..0。

与与上面相相同，设设定一个个过滤器器，只捕捕获本机机的数据据通讯，选选择高级级分析模模块，在在邮件分分析模块块的常规规设置中中，将保保存邮件件选择为为“是”，并选选择好邮邮件的保保存位置置，如图图1所示示在科来网网络分析析系统55.0中中开始数数据捕获获，同时时在Fooxmaail中中选中ttestt2@ccolaasofft.ccom，并并收取邮邮件接接收完成成后即可可在科来来网络分分析系统统5.00对刚才才的邮件件接收操操作进行行分析（为为避免数数据包干干扰，分分析时可可停止捕捕获注意：此此文里提提到的接接收邮件件均指使使用TCCP 1110端端口的标标准POOP3通通信，对对于非1110端端口的邮邮件发送送，用户户可在“工程-->高级级分析模模块->>邮件分分析模块块->SSMTPP设置-->POOP3端端口”处进行行更改，系系统默认认为1110，当当SMTTP服务务器有多多个端口口时，多多个端口口之间用用分号分分隔，如如1100;11110图4所示示的是科科来网络络分析系系统5..0对上上面接收收邮件操操作的报报文跟踪踪　A. 1、2、33数据包包是TCCP连接接的三次次握手数数据包，连连接的双双方是本本机与域域名nss1.ccolaasofft.ccom对对应的IIP地址址；B. 从第4个个数据包包开始，客客户端开开始通过过TCPP协议连连接POOP3服服务器，并并与POOP3服服务器进进行命令令的交互互，及邮邮件的接接收，具具体的交交互过程程详见图图4以及及对图44的分析析。

图4　　使用PPOP33协议接接收邮件件的原始始数据包包）图5所示示的是科科来网络络分析系系统5..0对上上面接收收邮件操操作的TTCP原原始数据据流重组组信息具具体分析析其数据据流重组组信息，可可以得到到上面接接收邮件件操作的的详细过过程：A. 客户端使使用USSER命命令向PPOP33服务器器传送用用户账号号tesst2@@m；B. 客户端使使用PAASS命命令向PPOP33服务器器传送用用户密码码1233456678990；C. POP33服务器器通过验验证，向向客户端端发送一一个OKK报文；；D. 客户端使使用STTAT命命令请求求POPP3服务务器返回回邮箱的的统计资资料信息息，POOP3服服务器返返回当前前有一封封邮件；；E. 客户端使使用LIIST命命令列出出POPP3服务务器里的的邮件数数量，当当前为11封邮件件；F. 客户端使使用REETR命命令接收收邮件，接接收后使使用DEELE命命令将邮邮件POOP3服服务器中中的邮件件置为删删除状态态；G. 客户端发发送QUUIT命命令，邮邮件服务务器将将置为为删除标标志的邮邮件删除除，连接接结束注意：l POP33直接使使用明文文传输；；l 图5中最最后部分分（由于于篇幅，图5中未列出），直接重组出了接收到的邮件内容，此信息不经过任何编码或加密处理，直接为明文方式，与图1所示的邮件原始信息一致。

图5　　使用PPOP33协议接接收邮件件的原始始数据流流）3) SMTPP/P。