Segurança : Cisco Email Security Appliance

Que é formato do mbox de UNIX (caixa postal)?

14 Outubro 2016 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback

Índice

Contribuído por Nasir Shakour e por Enrico Werner, engenheiros de TAC da Cisco.

Pergunta:

Que é formato do mbox de UNIX (caixa postal)?

O formato do mbox de UNIX está usado por AsyncOS quando as mensagens estão arquivadas (no anti-Spam e na configuração anti-vírus) e registradas (na ação do log() do filtro da mensagem).

O formato de Mbox é (isto é,) um formato do arquivo não binário ASCII-formatado que possa conter zero ou mais mensagens do correio. As mensagens são concatenadas no arquivo do mbox e podem ser erguidas distante basearam em cordas específicas no arquivo. Este formato é idêntico com a mensagem porque transferted entre o RFC 2821 se queixaram gateways do correio.

Cada mensagem no formato do mbox começa com uma linha começo com a corda “de” (caracteres ASCII F, r, o, m, e espaço). “” Das linhas são seguidos por diversos mais campos: envelope-remetente, data, e (opcionalmente) mais-DATA.

O primeiro campo após “” da corda é o envelope-remetente da mensagem. Segundo que aplicativo está criando o arquivo do mbox, o envelope-remetente pode esta presente como uma caixa postal real, ou pode ser um outro caráter ou corda. O mais geralmente, você encontrará “-” (único traço do caráter) substituindo o envelope-remetente se o envelope-remetente real não é disponível ou não conhecido. O campo da data introduzido pelo ESA é no formato padrão do asctime() de UNIX e é sempre 24 caráteres de comprimento. Em alguns arquivos do mbox redigidos pelas aplicações NON-AsyncOS, a informação adicional seguirá a data. Estes três campos são separados por um espaço único.

Está aqui um exemplo de um arquivo do mbox com uma única mensagem nele:

Adam@Outside.COM Sun do 17 de outubro 12:03:20 2004
Recebido: de mail.outside.com (192.35.195.200)
por smtp.alpha.com com ESMTP; 17 de outubro de 2004 12:03:20 -0700
X-IronPort-AV: i="3.85,147,1094454000";
v="EICAR-AV-Test'0'v";
d="scan'208"; a="86:adNrHT37924848"
X-IronPort-RCPT-A: alan@mail.example.com
De: Adam@Outside.COM
A: Alan < Alan@mail.example.COM alfa >
Assunto: Exploração anti-vírus do exercício 7a
Resposta-a: Adam < adam@outside.com alfa >
Data: Sun, o 17 de outubro de 2004 12:02:39 -0700
Mimicar-versão: 1.0
Tipo de conteúdo: com várias partes/misturou; boundary= " IronPort”

--IronPort
Tipo de conteúdo: texto/liso; format=flowed; charset=us-ascii
Índice-transferência-codificação: 7bit

Blá - blá blá blá
Blá - blá blá blá
Blá - blá blá blá

--IronPort
Tipo de conteúdo: texto/liso
Índice-transferência-codificação: 7bit
Índice-disposição: inline

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*">X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

--IronPort--

Ao analisar gramaticalmente arquivos mbox-formatados, é desejável não ler demasiada semântica no “” da linha que separa mensagens. Porque muitas utilidades diferentes redigirão arquivos do mbox, há uma variação considerável nestas linhas. Contudo, “” da linha pode sempre ser usado como uma linha do separador da mensagem para indicar confiantemente que uma mensagem nova começou no arquivo do mbox. Em tudo, há aproximadamente 20 formatos conhecidos para as cordas após “” do separador da mensagem, que faz analisando gramaticalmente estes no caso geral muito difícil.

Depois do “” da linha é um mensagem de Email no formato do RFC 2822, com uma série de encabeçamentos do corpo da mensagem seguidos por uma linha em branco seguida pelo índice adicional do corpo da mensagem.

Para assegurar-se de que as mensagens estejam separadas corretamente, as linhas de que comece com a corda “” são sempre PRE-pended por um único “>”. As várias variações diferentes do punho de arquivos do mbox alinham o começo com “>From” diferentemente. Nas implementações precoces dos aplicativos que redigiram arquivos do mbox, estas linhas elas mesmas não foram citadas. Os arquivos de registro de AsyncOS prepend sempre “>” às linhas por que comece com o uns ou vários “>” os caráteres seguidos “de”.

Está aqui um exemplo de um arquivo do mbox que contém uma mensagem de que tenha as linhas que contêm começar amarre “”, “>From” e “>>>>From” nele:

jtrumbo@example1.com Sun do 12 de dezembro 12:27:33 2004
X-IronPort-RCPT-A: trumbo@example1.com
De: jtrumbo@example1.com
A: trumbo@example2.com
Assunto: Cite isto, se você ousa
Data: Sun, o 12 de dezembro de 2004 12:28:00 -0700

A seguinte linha é apenas de
>De A da linha

A seguinte linha citou o >From
>>Da linha do >From A

A seguinte linha tem muito o >>>>From
>>>>>Desta linha tem 4 > caráteres antes de

E esta é a última linha

A extremidade de uma mensagem em um erro de arquivo do mbox é sinalizada tradicionalmente por uma linha em branco. Contudo, isto não está sempre atual (embora AsyncOS o coloca lá). Ao analisar gramaticalmente um arquivo do mbox-formato, você deve sinalizar a extremidade de uma mensagem pelo começo de uma mensagem nova (que suprime da linha em branco se uma esta presente) ou para o fim do arquivo.

Uma outra variação no formato do mbox chamado para o comprimento da mensagem a ser sinalizada em um campo do “Índice-comprimento” dentro do cabeçalho da mensagem. Esse formato não se usou “” da linha citar. AsyncOS não usa este formato e não introduz um campo do Índice-comprimento.



Document ID: 117912