基于SMTP数据包分析

1、 摘 要随着信息技术特别是网络技术的不断发展，国际互联网的全球化热潮使人类社会进入了一个新的信息时代。由于互联网具有不受时间、地域限制的特性，一种通过网络实现相互传送和接收信息的现代化通信方式应运而生。电子邮件的产生与发展，使人们的交流方式得到了极大的改变，用户可以用非常低廉的价格，以非常快速的方式，与世界上任何一个角落的网络用户联系。电子邮件（E-mail）是最流行的互联网服务之一，互联网的设计者可能从来不曾想过这个应用程序会如此普及。在互联网出现的初始间断，用电子邮件发送报文很短，并且只包含文本；这些电子邮件能够让人们快事交际，但是今天的电子邮件要发杂的多。它允许报文包括的东西很多，例如：

2、文本、声音和视频。它还允许一个报文发送一个或多个收件人。电子邮件一般体系结构，它包含三个主要构件：用户代理、报文传送代理、报文读取代理。关键词 电子邮件；SMTP；POP3；28第1章 引言4第2章 电子邮件概述52.1电子邮件52.2 电子邮件相关协议62.2.1 SMTP协议62.2.2 POP协议72.2.3 IMAP协议72.3 电子邮件的工作过程82.4.2 WinWebMail10第3章 SMTP及POP3协议103.1 SMTP工作原理及模型103.2 SMTP命令及响应123.3 POP3工作原理及命令143.3.1 工作原理143.3.2 pop3命令列表15第4章 SMTP

3、协议数据包分析164.1 分析Email的具体流程164.1.1 发送邮件16第5章 总结26参考文献28 第1章 引言 电子邮件是Internet资源中使用最广泛的一种。随着互联网的飞速发展，电子邮件的用户数量和业务量的激增，这要求电子邮件系统的种类、容量、技术支持等要求需要提高。邮件服务系统在保留了电子邮件系统最初的收发邮件、邮件存储等基本功能的同时，还融入了更多的计算机与网络技术。随着系统用户的增加，用户邮箱也随着增加，各类电子邮件系统根据用户的不同需求开发邮件系统，邮件系统之间的功能也不尽相同，比较各电子邮件系统的功能，其意义在于能够更全面、更系统地了解电子邮件系统发展现状及其功能特点

4、，分析研究各电子邮件系统的功能，对各电子邮件系统的功能进行比较，从而使用户更方便的选择适合自己的电子邮件系统。 电子邮件由于其最有效、最直接和成本最低的功用成为现在企业最常用的互联网通讯工具。在网络营销活动中，它的地位毋庸置疑，主要体现在下面的几个方面。第一就是企业形象，在商务活动中，发件人的电子邮件地址对企业形象和用户的信任具有重要影响，一定要用收费邮箱或是知名企业（机构）的域名后缀的电子邮件地址，这样才受到收信人的重视，增强可信度。第二在线顾客服务，不仅节约了顾客服务成本，还增进了顾客关系，提高了服务质量，增加了顾客忠诚度等。第三是会员通讯和电子刊物，企业为了获得某些信息和服务，用户可以自

5、愿成为会员通讯与电子刊物的订阅者，当不需要时可以随时提出。第四电子邮件广告，用户反馈率最高的网络广告形式之一，起作用远远高于一般的标志广告和文字广告等形式。第五是网站推广，在这方面电子邮件的优势在于它可以主动向用户推广网站且方式灵活，它本身就是病毒性营销信息的主要载体。第六是产品推广，将产品促销信息通过合理设计作为邮件的内容向用户发送达到产品推广的作用。第2章 电子邮件概述 2.1电子邮件 电子邮件（Electronic Mail，E-Mail），是应用于Internet上的最广泛使用、最受欢迎的网络功能。电子邮件来源于专有电子邮件系统。早在Internet流行以前很久，电子邮件就已经存在了，

6、是在主机-多终端的主从式体系中从一台计算机终端向另一计算机终端传送文本信息的相对简单的方法而发展起来的。经历了漫长的过程之后，它现在已经演变成为一个更加复杂并丰富得多的系统，可以传送声音、图片、图象、文档等多媒体信息，以至于如数据库或帐目报告等更加专业化的文件都可以电子邮件附件的形式在网上分发。现在，电子邮件已成为许多商家和组织机构的生命血脉。用户可以通过电子邮件的讨论会进行项目管理，并且有时要根据快速，或洲际的电子邮件信息交换进行重要的决策行动。但毫无疑问的是，Internet扩展了其应用的范围。过去只能在其局域网上进行交谈的公司现在可以通过网络与他们的客户、竞争伙伴和世界上的任何人进行通信

7、和交流。一旦某个组织的电子邮件系统运行在支持TCP/IP协议的网络上或具有支持两个Internet邮件服务协议SMTP(简单邮件传输协议)和POP(邮局协议)之一的Internet网关，它的邮件用户就能够连接到任何具有相似连接的电子邮件地址上了，并且不论其电子邮件帐户在何处。 2.2 电子邮件相关协议当前常用的电子邮件协议有SMTP、POP3、IMAP4，它们都隶属于TCP/IP协议簇，默认状态下，分别通过TCP端口25、110和143建立连接。下面分别对其进行简单介绍。 2.2.1 SMTP协议SMTP的全称是“Simple Mail Transfer Protocol”，即简单邮件传输协议

8、。它是一组用于从源地址到目的地址传输邮件的规范，通过它来控制邮件的中转方式。SMTP 协议属于TCP/IP协议簇，它帮助每台计算机在发送或中转信件时找到下一个目的地。SMTP 服务器就是遵循SMTP协议的发送邮件服务器。SMTP认证，简单地说就是要求必须在提供了账户名和密码之后才可以登录 SMTP 服务器，这就使得那些垃圾邮件的散播者无可乘之机。增加 SMTP 认证的目的是为了使用户避免受到垃圾邮件的侵扰。SMTP目前已是事实上的E-Mail传输的标准。 2.2.2 POP协议POP邮局协议负责从邮件服务器中检索电子邮件。它要求邮件服务器完成下面几种任务之一：从邮件服务器中检索邮件并从服务器中

9、删除这个邮件；从邮件服务器中检索邮件但不删除它；不检索邮件，只是询问是否有新邮件到达。POP协议支持多用户互联网邮件扩展，后者允许用户在电子邮件上附带二进制文件，如文字处理文件和电子表格文件等，实际上这样就可以传输任何格式的文件了，包括图片和声音文件等。在用户阅读邮件时，POP命令所有的邮件信息立即下载到用户的计算机上，不在服务器上保留。POP3(Post Office Protocol 3)即邮局协议的第3个版本,是因特网电子邮件的第一个离线协议标准。 2.2.3 IMAP协议互联网信息访问协议（IMAP）是一种优于POP的新协议。和POP一样，IMAP也能下载邮件、从服务器中删除邮件或询问

10、是否有新邮件，但IMAP克服了POP的一些缺点。例如，它可以决定客户机请求邮件服务器提交所收到邮件的方式，请求邮件服务器只下载所选中的邮件而不是全部邮件。客户机可先阅读邮件信息的标题和发送者的名字再决定是否下载这个邮件。通过用户的客户机电子邮件程序，IMAP可让用户在服务器上创建并管理邮件文件夹或邮箱、删除邮件、查询某封信的一部分或全部内容，完成所有这些工作时都不需要把邮件从服务器下载到用户的个人计算机上。 2.3 电子邮件的工作过程电子邮件的工作过程遵循客户-服务器模式。每份电子邮件的发送都要涉及到发送方与接收方，发送方式构成客户端，而接收方构成服务器，服务器含有众多用户的电子信箱。发送方通

11、过邮件客户程序，将编辑好的电子邮件向邮局服务器（SMTP服务器）发送。邮局服务器识别接收者的地址，并向管理该地址的邮件服务器（POP3服务器）发送消息。邮件服务器识将消息存放在接收者的电子信箱内，并告知接收者有新邮件到来。接收者通过邮件客户程序连接到服务器后，就会看到服务器的通知，进而打开自己的电子信箱来查收邮件。 通常Internet上的个人用户不能直接接收电子邮件，而是通过申请ISP主机的一个电子信箱，由ISP主机负责电子邮件的接收。一旦有用户的电子邮件到来，ISP主机就将邮件移到用户的电子信箱内，并通知用户有新邮件。因此，当发送一条电子邮件给一另一个客户时，电子邮件首先从用户计算机发送到

12、ISP主机，再到Internet，再到收件人的ISP主机，最后到收件人的个人计算机。 ISP主机起着“邮局”的作用，管理着众多用户的电子信箱。每个用户的电子信箱实际上就是用户所申请的帐号名。每个用户的电子邮件信箱都要占用ISP主机一定容量的硬盘空间，由于这一空间是有限的，因此用户要定期查收和阅读电子信箱中的邮件，以便腾出空间来接收新的邮件。 电子邮件在发送与接收过程中都要遵循SMTP、POP3等协议，这些协议确保了电子邮件在各种不同系统之间的传输。其中，SMTP负责电子邮件的发送，而POP3则用于接收Internet上的电子邮件 2.4电子邮件服务器软件简介 2.4 .1 U-Mail 邮件服

13、务器系统 U-Mail是安全高速的全功能电子邮件服务器系统，融合强大的功能与简易高效的管理为一体，提供最佳的企业级邮箱服务器系统解决方案。内嵌卡巴斯基的杀毒引擎;基于行为识别和热点等专利技术的反垃圾过滤引擎;终身免费升级;纯WEB管理;提供一站式全程服务!全球收发保证！即使您服务器的IP在对方的垃圾邮件黑名单中，邮件照发不误。邮件监控、收发审核!企业管理层可以根据实际的需要进行相关监控审核条件的设定。业界最先进反病毒、反垃圾系统!百分百过滤所有邮件病毒，病毒代码库实时更新，三大安全技术的反垃圾系统，确保98%以上的垃圾邮件过滤率。 系统全自动化自管理!系统根据内置的策略动态调整运行状态，邮件系

14、统管理极其简单。 支持 SMTP，SSL SMTP，POP3，SSL POP3，IMAP4，SSL IMAP4，WebMail，CA Server，TLS/SSL，S/MIME，Daytime 全功能服务。 支持数字证书服务并提供强大的管理功能，可直接在WebMail中撰写或阅读经过数字签名或数字加密的安全邮件(S/MIME)。提供军事级别的高安全强度(4096位DH/DSS加密或2048位RSA加密)。 使用TLS/SSL标准安全套接字层通讯协议(1024位RSA加密)，支持包括 SSL SMTP, SSL POP3, SSL IMAP4 安全通讯服务，防止网络侦听，使得通信更安全。 2.4

15、.2 WinWebMail WinWebMail邮件服务器是一款稳定高效的电子邮件系统，提供专业的企业邮件系统解决方案。支持 WebMail，数字签名及数字加密 S/MIME(4096位DH/DSS加密或2048位RSA加密)，SMTP，SSL-SMTP，POP3，SSL-POP3，IMAP4，SSL-IMAP4，LDAP，证书服务(CA Server)，安全加密通讯(TLS/SSL)，防垃圾邮件(Anti-Spam)，防病毒邮件(Anti-Virus)，讨论组(BBS)，日程管理，灰名单，聚类分析算法(Cluster Analysis)防垃圾邮件等功能。WinWebMail在最新的 3.8.

16、0.1 版本中行业内首创将聚类分析算法(Cluster Analysis)应用于垃圾邮件防治，系统通过对比所收到的邮件与反垃圾库中的数据相似程度来进行垃圾邮件判断，在实际应用中此功能已获得卓越的反垃圾邮件效果。 第3章 SMTP及POP3协议3.1 SMTP工作原理及模型 SMTP是工作在两种情况下：一是电子邮件从客户机传输到服务器：二是从某一个服务器传输到另一个服务器。SMTP也是个请求/响应协议，命令和响应都是基于ASC文本，并以CR和LF符结束。响应包括一个表示返回状态的三位数字代码。SMTP在TCP协议25号端口监听连续请求 SMTP提供了一种邮件传输的机制，当收件方和发件方都在一个网

17、络上时，可以把邮件直传给对方；当双方不在同一个网络上时，需要通过一个或几个中间服务器转发。SMTP首先由发件方提出申请，要求与接收方SMTP建立双向的通信渠道，收件方可以是最终收件人也可以是中间转发的服务器。收件方服务器确认可以建立连接后，双发就可以开始通信。下面是SMTP的模型示意图。 图3-1 SMTP模型3.2 SMTP命令及响应 表 3-2 SMTP 命令列表SMTP 响应SMTP 响应是从服务器发送到客户端的三位十进制数字，后面可以跟着附加的文本信息，第一位数字的意义如下：2yz：正面完成应答。若第一位数字是 2（数字 1 现在已不使用），表示所请求的命令已经成功完成，新的命令可以开

18、始；3yz：正面中间应答。若第一位数字是 3，表示所请求的命令已被接受，但在完成请求的命令之前，收件人需要更多的一些信息。4yz：暂时负面完成应答。若第一位数字是 4，表示所请求的命令已被拒绝，但差错条件是暂时的，这个命令可以重新发送。计算机网络协议原理实验教程5yz：永久负面完成应答。若第一位数字是 5，表示所请求的命令已被拒绝，且这个命令不能重新发送。 表 3-3 SMTP 应答码列表3.3 POP3工作原理及命令 3.3.1 工作原理POP 协议允许工作站动态访问服务器上的邮件，目前已发展到第三版，称为 POP3。POP 协议采用客户/服务器工作模式，允许工作站检索邮件服务器上的邮件。P

19、OP3 传输的是数据消息，这些消息可以是指令，也可以是应答。POP 协议是一个脱机协议，支持“离线”邮件处理。其具体过程是：邮件发送到接收方的服务器上，接收方用户代理连接到服务器，发送用户名和口令，访问邮箱，下载所有未阅读的电子邮件。这种离线访问模式是一种存储转发服务，将邮件从邮件服务器端拉取到个人终端机器上。POP3 收取邮件有 2 种方式，删除方式和保存方式。删除方式就是在每一次收取邮件后把邮箱中的这个邮件删除，而保存方式则是在用户收取邮件后仍然在邮箱中保存这个邮件。POP3 使用 TCP 作为传输协议。用户代理在 TCP 端口 110 打开到服务器的连接。 图 3-4 pop3工作原理

20、3.3.2 pop3命令列表 图3-5命令列表第4章 SMTP协议数据包分析4.1 分析Email的具体流程 4.1.1 发送邮件我们使用科来网络分析系统2010技术交流版捕获并分析一个使用SMTP协议的发送邮件过程，客户端用户代理使用Outlook Express，邮件接收者liu624334166。在客户端主机上打开科来网络分析系统2010技术交流版。为避免数据干扰，设定一个过滤器，只捕获本机的数据通讯。在科来网络分析系统2010技术交流版中开始数据捕获，使用Outlook Express发送一封邮件，邮件原始信息如图4-1所示。发送完成后即可在科来网络分析系统2010技术交流版对刚才的邮

21、件发送操作进行分析（为避免数据包干扰，分析时可停止捕获。）。 图4-1发送邮件的原始信息 图4-2 使用SMTP协议发送邮件的原始数据包图4-2所示的是科来网络分析系统2010技术交流版对上面发送邮件操作的报文跟踪数据包。图4-3 使用SMTP协议发送邮件的原始数据包全部信息图4-3所示的是科来网络分析系统2010技术交流版对上面发送邮件操作的报文跟踪全部信息，详细信息如下：数据包编号的前三条（编号27；编号40；编号41）是客户端和服务器通过TCP连接的三次握手数据包，服务器端口为25；编号63为服务器发送响应，应答码为220，表示服务器准备就绪，如图4-4所示； 图4-4 编号64为客户端

22、发送EHLO命令，表示开始SMTP会话，如图4-5所示； 图4-5编号66为服务器给客户机发送的一条确认信息；编号67为服务器给客户机返回的一条响应，应答码为250，表示请求建立的邮件服务会话已经就绪，如图4-6所示； 图4-6编号68，出于安全考虑，SMTP服务器要求发送邮件时，对发送者进行身份认证，客户端发送AUTH LOGIN,如图4-7所示；图4-7编号72，服务器返回应答,应答码为334，还可以看到一些用base64编码的字符串文本，该字符串的意思为username，如图4-8所示；图4-8编号73，客户机将base64编码的用户名给服务器，如图4-9所示； 图4-9编号83，服务器

23、返回应答,应答码为334，还可以看到一些用base64编码的字符串文本，该字符串的意思为password，如图4-10所示； 图4-10编号84，客户机将base64编码的密码给服务器如图4-11所示；图4-11编号87，服务器返回代码235表示认证成功可以发送邮件了，如图4-12所示；图4-12编号88，客户端发送“MAIL FORM:”命令用来告诉服务器发送者的邮件地址，如图4-13所示；图4-13编号94，服务器返回一个SMTP响应，应答码为250，表示操作成功，服务请求就绪，如图4-14所示； 图4-14编号95，客户端“RCPT TO:”命令来指定邮件接收者的邮件地址，如图4-15所

24、示； 图4-15编号96，服务器返回250代码，表示操作成功，如图4-16所示； 图4-16编号98，客户端发送DATA命令，表示将要发送邮件正文了，如图4-17所示； 图4-17编号112，服务器对DATA命令返回一个应答，应答码为354，表示服务器准备接受数据，数据报文以,的行结束，如图4-18所示； 图4-18编号113，客户机给服务器发送数据，如图4-19所示； 图4-19编号122，服务器发送TCP确认，收到的数据进行确认；编号123，客户端发送传输数据结束信息；编号134，服务器发送TCP确认；编号135，服务器返回SMTP响应，应答码为250，表示操作成功收到的数据进行确认，如图4-20所示； 图4-20编号136，客户机给服务器发送QUIT命令来结束连接，如图4-21所示； 图4-21编号143，服务器返回SMTP响应，应答码为221，表示服务关闭，如图4-22所示； 图4-22数据包编号的最后4条（编144；编号145；编号146；编号150）是客户端和服务器通过TCP连接的四次挥手数据包第5章 总结本论文介绍邮件传输协议SMT