Sécurité : Appareil de sécurité de courriel Cisco

Quel est format de mbox UNIX (boîte aux lettres) ?

18 octobre 2016 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires

Contenu

Contribué par Nasir Shakour et Enrico Werner, ingénieurs TAC Cisco.

Question :

Quel est format de mbox UNIX (boîte aux lettres) ?

Le format de mbox UNIX est utilisé par AsyncOS quand des messages sont archivés (dans la configuration d'anti-Spam et d'antivirus) et connectés (dans l'action de log() de filtre de message).

Le format de Mbox est (c.-à-d.,) un format de fichier non binaire ASCII-formaté qui peut contenir zéro messages ou plus. Des messages sont concaténés dans le fichier de mbox et peuvent être soulevés à part ont basé sur les chaînes spécifiques dans le fichier. Ce format est identique au message car ils transferted entre les passerelles plaintes de messagerie RFC 2821.

Chaque message dans le format de mbox commence par une ligne début avec la chaîne « de » (caractères ASCII F, r, o, m, et espace). «  » Des lignes sont suivis par plusieurs plus de champs : enveloppe-expéditeur, date, et (sur option) plus-données.

Le premier champ après «  » de la chaîne est l'enveloppe-expéditeur du message. Selon quelle application crée le fichier de mbox, l'enveloppe-expéditeur peut être présent comme vraie boîte aux lettres, ou ce peut être un caractère ou une chaîne différent. Le plus généralement, vous trouverez « - » (tiret de caractère unique) remplaçant l'enveloppe-expéditeur si l'enveloppe-expéditeur réel n'est pas disponible ou non connu. Le champ de date inséré par l'ESA est dans le format standard d'asctime() UNIX et est toujours 24 caractères de longueur. Dans des quelques fichiers de mbox écrits par des réalisations de non-AsyncOS, les informations supplémentaires suivront le tampon-date. Ces trois champs sont séparés par un espace simple.

Voici un exemple d'un fichier de mbox avec un message simple dans lui :

Adam@Outside.COM Sun du 17 octobre 12:03:20 2004
Reçu : de mail.outside.com (192.35.195.200)
par smtp.alpha.com avec ESMTP ; Le 17 octobre 2004 12:03:20 -0700
X-IRONPORT-poids du commerce : i="3.85,147,1094454000" ;
v="EICAR-AV-Test'0'v" ;
d="scan'208" ; a="86:adNrHT37924848"
X-IronPort-RCPT-À : alan@mail.example.com
De : Adam@Outside.COM
À : Alan alpha < Alan@mail.example.COM >
Objet : Lecture d'antivirus de l'exercice 7a
Réponse-à : Adam alpha < adam@outside.com >
Date : Sun, le 17 octobre 2004 12:02:39 -0700
Pantomime-version : 1.0
Type de contenu : de liasse multiple/s'est mélangé ; boundary= " IronPort »

--IronPort
Type de contenu : texte/brute ; format=flowed ; charset=us-ascii
Contenu-transfert-codage : 7bit

Blah - fade fade fade
Blah - fade fade fade
Blah - fade fade fade

--IronPort
Type de contenu : texte/brute
Contenu-transfert-codage : 7bit
Contenu-disposition : en ligne

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*">X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

--IronPort--

En analysant les fichiers mbox-formatés, il est desirable de ne pas lire trop de sémantique dans «  » de la ligne séparant des messages. Puisque beaucoup de différents utilitaires écriront des fichiers de mbox, il y a variation considérable de ces lignes. Cependant, «  » de la ligne peut toujours être utilisé comme ligne de séparateur de message pour indiquer sûrement qu'un nouveau message a commencé dans le fichier de mbox. En tout, il y a environ 20 formats connus pour les chaînes après «  » du séparateur de message, qui rend analysant ces derniers dans le cas général très difficile.

Après «  » de la ligne est un message électronique dans le format RFC 2822, avec une gamme d'en-têtes de corps du message suivies d'une ligne vide suivie du contenu supplémentaire de corps du message.

Pour s'assurer que des messages sont correctement séparés, des lignes dont commencez par la chaîne «  » sont toujours ajoutées au début par un simple « > ». Les diverses différentes variantes du traitement de fichiers de mbox raye le début avec le « >From » différemment. Dans des réalisations tôt des applications qui ont écrit des fichiers de mbox, ces lignes elles-mêmes n'ont pas été citées. Les fichiers journal d'AsyncOS ajouteront toujours au début « > » aux lignes des lesquelles commencez par un ou plusieurs « > » des caractères suivis « de ».

Voici un exemple d'un fichier de mbox contenant un message dont a eu des lignes contenant commencer ficelle «  », « >From » et « >>>>From » dans lui :

jtrumbo@example1.com Sun du 12 décembre 12:27:33 2004
X-IronPort-RCPT-À : trumbo@example1.com
De : jtrumbo@example1.com
À : trumbo@example2.com
Objet : Citez ceci, si vous osez
Date : Sun, le 12 décembre 2004 12:28:00 -0700

La ligne suivante est juste de
>D'A de ligne

La ligne suivante a cité le >From
>>De la ligne de >From A

La ligne suivante a beaucoup le >>>>From
>>>>>De cette ligne a 4 > des caractères avant de

Et c'est la dernière ligne

L'extrémité d'un message dans un fichier de format de mbox est traditionnellement signalée par une ligne vide. Cependant, ce n'est pas toujours présent (bien qu'AsyncOS le place là). En analysant un fichier de mbox-format, vous devriez signaler l'extrémité d'un message par le début d'un nouveau message (supprimant la ligne vide si on est présent) ou vers la fin du fichier.

Une autre variante dans le format de mbox nécessité la longueur du message à signaler dans un domaine de « content-length » dans l'en-tête de message. Ce format ne l'a pas utilisé «  » de la ligne citation. AsyncOS n'utilise pas ce format et n'insère pas un champ de content-length.



Document ID: 117912