Seguridad : Cisco Email Security Appliance

¿Cuál es formato del mbox de UNIX (buzón)?

17 Octubre 2016 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (22 Agosto 2015) | Comentarios

Contenido

Contribuido por Nasir Shakour y Enrique Werner, ingenieros de Cisco TAC.

Pregunta:

¿Cuál es formato del mbox de UNIX (buzón)?

El formato del mbox de UNIX es utilizado por AsyncOS cuando los mensajes están archivados (en configuración del anti-Spam y del contra virus) y registrados (en la acción del log() del filtro del mensaje).

El formato de Mbox es (es decir,) un formato de archivo no binario ASCII-formatado que puede contener cero o más mensaje del correo. Los mensajes se concatenan en el archivo del mbox y se pueden alzaprimar aparte basaron en las cadenas específicas en el archivo. Este formato es idéntico con el mensaje pues transferted entre el RFC 2821 se quejaron los gatewayes del correo.

Cada mensaje en el formato del mbox comienza con una línea empezando por la cadena “de” (caracteres ASCII F, r, o, m, y espacio). “” De las líneas son seguidos por varios más campos: sobre-remitente, fecha, y (opcionalmente) más-DATA.

El primer campo después del “” de la cadena es el sobre-remitente del mensaje. Dependiendo de qué aplicación está creando el archivo del mbox, el sobre-remitente puede ser presente como buzón real, o puede ser otro carácter o cadena. Lo más comúnmente posible, usted encontrará “-” (sola rociada del carácter) substituyendo el sobre-remitente si el sobre-remitente real no es disponible o no sabido. El campo de la fecha insertado por el ESA es en el formato estándar del asctime() de UNIX y es siempre 24 caracteres de largo. En algunos archivos del mbox escritos por las implementaciones NON-AsyncOS, la Más información seguirá el sello de fecha. Estos tres campos son separados por un único espacio.

Aquí está un ejemplo de un archivo del mbox con un solo mensaje en él:

Adam@Outside.COM Sun del 17 de octubre 12:03:20 2004
Recibido: de mail.outside.com (192.35.195.200)
por smtp.alpha.com con el ESMTP; 17 de octubre de 2004 12:03:20 -0700
X-IRONPORT-AV: el i="3.85,147,1094454000";
el v="EICAR-AV-Test'0'v";
el d="scan'208"; el a="86:adNrHT37924848"
X-IronPort-RCPT-A: alan@mail.example.com
Desde: Adam@Outside.COM
A: Alan < Alan@mail.example.COM alfa >
Tema: Exploración del contra virus del ejercicio 7a
Contestación-a: Adán < adam@outside.com alfa >
Fecha: Sun, el 17 de octubre de 2004 12:02:39 -0700
Imitar-versión: 1.0
Tipo de contenido: de varias partes/se mezcló; boundary= " IronPort”

--IronPort
Tipo de contenido: texto/llano; format=flowed; charset=us-ascii
Contenido-transferencia-codificación: 7bit

Soso - soso soso soso
Soso - soso soso soso
Soso - soso soso soso

--IronPort
Tipo de contenido: texto/llano
Contenido-transferencia-codificación: 7bit
Contenido-disposición: en línea

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*">X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

--IronPort--

Al analizar los archivos mbox-formatados, es deseable no leer demasiada semántica en “” de la línea que separa los mensajes. Porque muchas diversas utilidades escribirán los archivos del mbox, hay considerable variación en estas líneas. Sin embargo, “” de la línea puede ser utilizado siempre como línea del separador del mensaje para indicar confiablemente que un nuevo mensaje ha comenzado en el archivo del mbox. En todos, hay cerca de 20 formatos sabidos para las cadenas después de “” del separador del mensaje, que hace analizando éstos en el caso general muy difícil.

Después del “” de la línea es un correo electrónico en el formato del RFC 2822, con una serie de encabezados del cuerpo del mensaje seguidas por una línea vacía seguida por el contenido adicional del cuerpo del mensaje.

Para asegurarse de que los mensajes estén separados correctamente, las líneas de las cuales comience con la cadena “” son siempre PRE-pended por un solo “>”. Diversas diversas variantes de la manija de archivos del mbox alinean empezando por el “>From” diferentemente. En las implementaciones tempranas de las aplicaciones que escribieron los archivos del mbox, estas líneas ellos mismos no fueron citadas. Los archivos del registro de AsyncOS prepend siempre “>” a las líneas por las cuales comience con uno o más “>” los caracteres seguidos “de”.

Aquí está un ejemplo de un archivo del mbox que contiene un mensaje del cual tenía líneas que contenían comenzar ate “”, “>From” y “>>>>From” en él:

jtrumbo@example1.com Sun del 12 de diciembre 12:27:33 2004
X-IronPort-RCPT-A: trumbo@example1.com
Desde: jtrumbo@example1.com
A: trumbo@example2.com
Tema: Cite esto, si usted se atreve
Fecha: Sun, el 12 de diciembre de 2004 12:28:00 -0700

La siguiente línea es apenas de
>De A de la línea

La siguiente línea ha citado el >From
>>De la línea del >From A

La siguiente línea tiene mucho >>>>From
>>>>>De esta línea tiene 4 > los caracteres antes de

Y ésta es la línea más reciente

El extremo de un mensaje en un archivo con formato del mbox es señalado tradicionalmente por una línea vacía. Sin embargo, esto no está siempre presente (aunque AsyncOS lo coloca allí). Al analizar un archivo del mbox-formato, usted debe señalar el extremo de un mensaje por el comienzo de un nuevo mensaje (que borra la línea vacía si uno está presente) o para el final del archivo.

Otra variante en el formato del mbox pedido la longitud del mensaje que se señalará en un campo de la “Contenido-longitud” dentro del encabezado del mensaje. Ese formato no utilizó “” de la línea el citar. AsyncOS no utiliza este formato y no inserta un campo de la Contenido-longitud.



Document ID: 117912