Email电子邮件应用分析

一、传输协议简介

1.传输概念

服务是Internet上最常用的服务之一，它提供了与操作系统平台无关的通信服务，使用服务，用户可通过电子在网络之间交换数据信息。传输包括将从发送者客户端发往服务器，以及接收者从服务器将取回到接收者客户端。

2.SMTP和POP3

在TCP/IP协议簇中，一般使用SMTP协议发送，POP3协议接收。

SMTP，全称Simple Message Transfer Protocol，中文名为简单传输协议，工作在TCP/IP 层次的应用层。SMTP采用Client/Server工作模式，默认使用TCP 25端口，提供可靠的发送服务。

POP3，全称Post Office Protocol 3，中文名为第三版邮局协议，工作在TCP/IP层次的应用层。POP3采用Client/Server工作模式，默认使用TCP 110端口，提供可靠的接收服务。

3.SMTP和POP3的工作原理

发送和接收都需要以下两个组件：用户代理（UA，常用的是Foxmail或Outlook）和SMTP/POP3服务器。

SMTP工作原理：

1)客户端使用TCP协议连接SMTP服务器的25端口；

2)客户端发送HELO报文将自己的域地址告诉给SMTP服务器；

3)SMTP服务器接受连接请求，向客户端发送请求账号密码的报文；

4)客户端向SMTP服务器传送账号和密码，如果验证成功，向客户端发送一个OK命令，表

示可以开始报文传输；

5)客户端使用MAIL命令将发送者的名称发送给SMTP服务器；

6)SMTP服务器发送OK命令做出响应；

7)客户端使用RCPT命令发送接收者地址，如果SMTP服务器能识别这个地址，就向客户端

发送OK命令，否则拒绝这个请求；

8)收到SMTP服务器的OK命令后，客户端使用DATA命令发送的数据。

"c":"9)客户端发送QUIT命令终止连接。

POP3工作原理：

1)客户端使用TCP协议连接服务器的110端口；

2)客户端使用USER命令将的账号传给POP3服务器；

3)客户端使用PASS命令将的账号传给POP3服务器；

4)完成用户认证后，客户端使用STAT命令请求服务器返回的统计资料；

5)客户端使用LIST命令列出服务器里数量；

6)客户端使用RETR命令接收，接收一封后便使用DELE命令将服务器中的置为删除状态；

7)客户端发送QUIT命令，服务器将将置为删除标志的删除，连接结束。

（注：客户端UA可以设定将在服务器上保留备份，而不将其删除。）

二、跟踪分析Email电子通讯过程

1.分析Email的具体流程

1)发送

我们使用科来网络分析系统5.0捕获并分析一个使用SMTP协议的发送过程，客户端主机名为“wangym”，客户端用户代理使用Foxmail 5.0 beta2，发送者test1colasoft.，接收者test2colasoft.。

在客户端主机上打开科来网络分析系统5.0。为避免数据干扰，设定一个过滤器，只捕获本机的数据通讯。

打开客户端主机上的Foxmail 5.0 beta2，新建两个账户，test1colasoft.和

test2colasoft.，设置好账户的SMTP/POP3服务器地址、用户名、密码等信息并测试成功。

在科来网络分析系统5.0中开始数据捕获，在Foxmail中使用test1colasoft.向

test2colasoft.发送一封，原始信息如图1所示。发送完成后即可在科来网络分析系统5.0对刚才的发送操作进行分析（为避免数据包干扰，分析时可停止捕获。）。

注意：此文里提到的发送均指使用TCP 25端口的标准SMTP通信，对于非25端口的发送，用户可在“工程->高级分析模块->分析模块->SMTP设置->SMTP端口”处进行更改，系统默认为25，当SMTP服务器有多个端口时，多个端口之间用分号分隔，如25;125。

"c":"（图1发送的原始信息）

（图2 使用SMTP协议发送的原始数据包）

"c":"图2所示的是科来网络分析系统5.0对上面发送操作的报文跟踪，详细信息如下：A.第1、2、3个数据包是TCP连接的三次握手数据包，连接的双方是本机与域名

ns1.colasoft.对应的IP地址；

B.从第4个数据包开始，客户端开始通过TCP协议连接SMTP服务器，并与SMTP服务

器进行命令的交互，及的发送，具体的交互过程详见图3以及对图3的分析。

（图3 使用SMTP协议发送的原始数据流）

图3所示的是科来网络分析系统5.0对上面发送操作的TCP原始数据流重组信息。具体分析数据流重组信息，可以得到上面发送操作的详细过程如下：

A.客户端使用EHLO（或HELO）命令向SMTP服务器发送HELO报文，启动传输过程，

并同时将客户端地址发送SMTP服务器端，此处为wangym；

B.SMTP服务器接受了客户端的连接请求，并请求输入账号和密码进行认证；

C.客户端向服务器端传送账号和密码；

D.SMTP服务器通过验证，客户端使用MAIL命令将发送者的名称传送给SMTP服务器；

E.客户端使用RCPT命令将接收者的名称传送给SMTP服务器；

F.客户端使用DATA命令传送数据给SMTP服务器；

G.数据传送完毕后，客户端发送QUIT命令关闭连接。

注意：

●SMTP传输使用的是base编码，图4中AUTH LOGIN下的

“dGVzdDFAY29sYXNvZnQuY29t”是当前使用账号对应的base编码；

●图3所示的SMTP数据流中，客户端向SMTP服务器传送了两次发件人名称和收件人

"c":"名称，可能的原因有两种：a.网络的延迟较大，客户端在规定时间内未收到SMTP服务器的响应，认为传送

发件人名称和收件人名称的数据包丢失而进行的重传；

b.客户端主机上的防病毒软件在发送前对进行的检测，如Norton Antivirus就

会进行这种检测，禁用此检测功能即可避免此种情况的发生。

2)接收

我们再使用科来网络分析系统5.0捕获并分析一个使用POP3协议的接收过程，客户端主机名为“wangym”，客户端用户代理使用Foxmail 5.0 beta2，接收者test2colasoft.。

在客户端主机上打开科来网络分析系统5.0。与上面相同，设定一个过滤器，只捕获本机的数据通讯，选择高级分析模块，在分析模块的常规设置中，将保存选择为“是”，并选择好的保存位置，如图1所示。

在科来网络分析系统5.0中开始数据捕获，同时在Foxmail中选中test2colasoft.，并收取。接收完成后即可在科来网络分析系统5.0对刚才的接收操作进行分析（为避免数据包干扰，分析时可停止捕获。）。

注意：此文里提到的接收均指使用TCP 110端口的标准POP3通信，对于非110端口的发送，用户可在“工程->高级分析模块->分析模块->SMTP设置->POP3端口”处进行更改，系统默认为110，当SMTP服务器有多个端口时，多个端口之间用分号分隔，如110;1110。

图4所示的是科来网络分析系统5.0对上面接收操作的报文跟踪。

A.1、2、3数据包是TCP连接的三次握手数据包，连接的双方是本机与域名

ns1.colasoft.对应的IP地址；

B.从第4个数据包开始，客户端开始通过TCP协议连接POP3服务器，并与POP3服务

器进行命令的交互，及的接收，具体的交互过程详见图4以及对图4的分析。

"c":"（图4 使用POP3协议接收的原始数据包）

图5所示的是科来网络分析系统5.0对上面接收操作的TCP原始数据流重组信息。具体分析其数据流重组信息，可以得到上面接收操作的详细过程：

A.客户端使用USER命令向POP3服务器传送用户账号test2colasoft.；

B.客户端使用PASS命令向POP3服务器传送用户密码12345670；

C.POP3服务器通过验证，向客户端发送一个OK报文；

D.客户端使用STAT命令请求POP3服务器返回的统计资料信息，POP3服务器返回当

前有一封；

E.客户端使用LIST命令列出POP3服务器里的数量，当前为1封；

F.客户端使用RETR命令接收，接收后使用DELE命令将POP3服务器中的置为删除状

态；

G.客户端发送QUIT命令，服务器将将置为删除标志的删除，连接结束。

注意：

●POP3直接使用明文传输；

●图5中最后部分（由于篇幅，图5中未列出），直接重组出了接收到的内容，此信

息不经过任何编码或加密处理，直接为明文方式，与图1所示的原始信息一致。

（图5 使用POP3协议接收的原始数据流）

3)SMTP/POP3命令码

通过SMTP/POP3协议进行收发操作时，均通过不同的命令码进行不同的操作，现将其命令码总结如下：

SMTP命令如表1所示：

命令作用

HELO 客户端发送此命令与SMTP服务器建立连接，将发送者地址发送给

SMTP服务器

MAIL 客户端将发送者的名称传送给SMTP服务器

RCPT 客户端将接收者的名称传送给SMTP服务器

DATA 客户端将报文内容传送给SMTP服务器

SEND 用于向指定用户传送

SAML/SOML 用于发送

RSET 取消客户端与SMTP服务器间的当前事务，释放与当前事务相关的内

存

EXPN 标识接收者列表

QUIT 终止客户端与SMTP服务器间的连接

"c":"（表1SMTP协议命令)POP3命令如表2所示：

（表2POP3协议命令)

三、总结

以上简单介绍了SMTP和POP3协议，并使用科来网络分析分析系统5.0跟踪分析了一个基于SMTP/POP3协议的收发操作。据此，用户在遇到不能正常收发（使用SMTP/POP3协议）的问题时，即可结合上述的SMTP/POP3相关知识，使用网络检测分析软件（这儿是科来网络分析系统5.0）对接收和发送的报文进行跟踪分析，以完成对此类故障的快速排查。

XX科来软件XX

.colasoft..

2006年6月