安全 : Cisco IronPort Email 安全设备

什么是UNIX mbox (邮箱)格式?

2016 年 10 月 24 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 8 月 22 日) | 反馈

目录

贡献用Nasir Shakour和恩里科沃纳, Cisco TAC工程师。

问题:

什么是UNIX mbox (邮箱)格式?

UNIX AsyncOS使用mbox格式,当归档消息(在反垃圾邮件和抗病毒配置方面)时并且被记录(在消息过滤器log()操作)。

Mbox格式是能包含零个的一种ASCII格式化的(即,不二进制)文件格式或更多邮件消息。消息在mbox文件被连接,并且可以分开被撬起根据在文件的特定字符串。因为他们transferted在RFC 2821之间抱怨邮件网关,此格式是完全相同和消息。

在mbox格式的每个消息用线路开始从字符串开始“从” (ASCII字符F、r、o、m和空间)。“从”线路由几个更多字段跟随:信封发送方、日期和(或者)更多数据。

在以后的第一个字段“从”字符串是消息的信封发送方。根据哪应用程序创建mbox文件,信封发送方可能是存在作为一个实时邮箱,或者它可能是另一个字符或字符串。通常,您将查找“-” (单个字符破折号)替换信封发送方,如果实际信封发送方不是可用或没已知。ESA插入的日期领域是在标准的UNIX asctime()格式并且总是长度24个字符。在非AsyncOS实施写入的一些mbox文件中,更多信息将跟随日期标记。这三个字段由一个空格分隔。

这是一个mbox文件的示例有单个消息的在它:

从Adam@Outside.COM Sun十月17 12:03:20 2004年
已接收:从mail.outside.com (192.35.195.200)
与ESMTP的smtp.alpha.com;17十月2004年12:03:20 -0700
X IronPort AV :i="3.85,147,1094454000";
v="EICAR-AV-Test'0'v";
d="scan'208";a="86:adNrHT37924848"
X IronPort RCPT对:alan@mail.example.com
从:Adam@Outside.COM
到:阿伦阿尔法< Alan@mail.example.COM >
主题:练习7a抗病毒扫描
回复:亚当阿尔法< adam@outside.com >
伊达市:Sun, 17十月2004年12:02:39 -0700
MIME版本:1.0
内容类型:几部分/混合了;boundary= " IronPort”

--IronPort
内容类型:文本/纯文本;format=flowed;charset=us-ascii
内容转移编码:7bit

瞎说瞎说
瞎说瞎说
瞎说瞎说
...
--IronPort
内容类型:文本/纯文本
内容转移编码:7bit
内容处理:线型

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*">X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

--IronPort--

当解析mbox格式化的文件时,不读许多语义到“从”分离消息的线路是理想的。由于许多不同的工具将写入mbox文件,有在这些线路上的严重的变化。然而, “从”线路可能总是用于,当消息分隔符线路可靠表明一个新的消息在mbox文件开始。总计,有大约字符串的20个已知格式在以后“从”消息分隔符,使解析这些一般情况非常困难。

在之后“从”线路是在RFC 2822格式的一个电子邮件消息,当一系列的消息主题报头跟随由另外的消息主题内容跟随的空行。

要保证消息适当地被分离,请开始与字符串“”的线路由单个总是加在前面“>”。mbox从“>From开始的”文件处理线路多种不同的变形不同地。在写入mbox文件应用程序的早期实施,未引述这些线路他们自己。AsyncOS日志文件永远将加在前面“>”到请开始与一个或更多“>”字符跟随“从”的线路。

这是包含有包含开始的字符串“”, “>From”和“>>>>From的”线路在它的消息的mbox文件的示例:

从jtrumbo@example1.com Sun十二月12 12:27:33 2004年
X IronPort RCPT对:trumbo@example1.com
从:jtrumbo@example1.com
到:trumbo@example2.com
主题:如果敢,引述此
伊达市:Sun, 12十二月2004年12:28:00 -0700

以下线路从
>从从线路的A

以下线路引述了>From
>>从A >From线路

以下线路有许多>>>>From
>>>>>从此线路有4 >字符以前从

并且这是最后一行

一个消息的末端在mbox格式文件的由空行传统上发信号。然而,这总是不存在(虽然AsyncOS放置它那里)。当解析mbox格式文件时,您应该发信号消息的末端由一个新的消息的开始(删除空行,如果一个存在)或在文件以前。

在为在信息标题内的一个“内容长度”字段将发信号的消息的长度呼叫的mbox格式的另一变量。该格式没有从”线路引述使用“。AsyncOS不使用此格式,并且不插入内容长度字段。



Document ID: 117912