Безопасность : устройства безопасности электронной почты Cisco ESA

Что такое UNIX mbox (почтовый ящик) формат?

20 октября 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв

Содержание

Внесенный Нэзиром Шэкуром и Энрико Вернером, специалистами службы технической поддержки Cisco.

Вопрос:

Что такое UNIX mbox (почтовый ящик) формат?

Когда сообщения заархивированы (в и антивирусной конфигурации для защиты от спама) и зарегистрированы (в журнале фильтра сообщения () действие), UNIX mbox формат используется AsyncOS.

Формат Mbox является отформатированным ASCII (т.е. не двоичные файлы) формат файла, который может содержать нуль или больше сообщений электронной почты. Сообщения связаны в mbox файле и могут быть вырваны независимо на основе определенных строк в файле. Этот формат идентичен с сообщением, поскольку они - transferted между почтовыми шлюзами RFC 2821, на которые жалуются.

Каждое сообщение в формате mbox начинается с линии, начинающейся со строки "От" (ASCII - символы F, r, o, m, и пространство). "От" линий придерживаются еще несколькими полями: отправитель конверта, дата, и (дополнительно) больше-данные.

Первое поле после "От "строки является отправителем конверта сообщения. В зависимости от которого приложение создает mbox файл, отправитель конверта может присутствовать как реальный почтовый ящик, или это может быть другой символ или строка. Обычно, если фактический отправитель конверта не будет доступен или не известный, вы найдете" -" (односимвольная тире) замена отправителя конверта. Поле даты, вставленное ESA, находится в стандартном UNIX asctime (), форматируют, и всегда 24 символа в длине. В некоторых mbox файлах, записанных non-AsyncOS реализациями, дополнительная информация будет придерживаться штампа даты. Эти три поля разделены одним пробелом.

Вот пример mbox файла с одиночным сообщением в нем:

From Adam@Outside.COM Sun Oct 17 12:03:20 2004
Received: from mail.outside.com (192.35.195.200)
by smtp.alpha.com with ESMTP; 17 Oct 2004 12:03:20 -0700
X-IronPort-AV: i="3.85,147,1094454000";
v="EICAR-AV-Test'0'v";
d="scan'208"; a="86:adNrHT37924848"
X-IronPort-RCPT-TO: alan@mail.example.com
From: Adam@Outside.COM
To: Alan Alpha <Alan@mail.example.COM>
Subject: Exercise 7a Anti-Virus Scanning
Reply-To: Adam Alpha <adam@outside.com>
Date: Sun, 17 Oct 2004 12:02:39 -0700
MIME-version: 1.0
Content-type: multipart/mixed; boundary="IronPort"

--IronPort
Content-type: text/plain; format=flowed; charset=us-ascii
Content-transfer-encoding: 7bit

Blah blah blah blah blah
Blah blah blah blah blah
Blah blah blah blah blah
...
--IronPort
Content-type: text/plain
Content-transfer-encoding: 7bit
Content-disposition: inline

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*">X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

--IronPort--

При парсинге mbox-отформатированных файлов выбираемо не считать слишком много семантики в "Из" сообщений разделения линии. Поскольку много других утилит запишут mbox файлы, в этих линиях существует значительное изменение. Однако "От" линии может всегда использоваться в качестве линии разделителя сообщения, чтобы надежно указать, что новое сообщение запустилось в mbox файле. В целом, существует приблизительно 20 известных форматов для строк после "От" разделителя сообщения, который делает парсинг их в общем случае очень трудным.

После "От" линии сообщение электронной почты в формате RFC 2822, с серией заголовков тела сообщения, придерживавшихся пустой строкой, придерживавшейся дополнительным содержанием тела сообщения.

Чтобы гарантировать, что сообщения должным образом разделены, линии, которые начинаются со строки "От, "всегда предварительно ожидаются синглом">". Всевозможные варианты mbox файлов обрабатывают начало линий"> От "по-другому. В первичных развертываниях приложений, которые записали mbox файлы, не были самостоятельно указаны эти линии. Файлы журнала AsyncOS будут всегда предварительно ожидать">" к линиям, которые начинаются один или несколько">" символы, придерживавшиеся "От".

Вот пример mbox файла, содержащего сообщение, которое имело линии, содержащие стартовые строки "От", "> От "и">>>> От" в нем:

From jtrumbo@example1.com Sun Dec 12 12:27:33 2004
X-IronPort-RCPT-TO: trumbo@example1.com
From: jtrumbo@example1.com
To: trumbo@example2.com
Subject: Quote this, if you dare
Date: Sun, 12 Dec 2004 12:28:00 -0700

The following line is just From
>From A From Line

The following line has quoted >From
>>From A >From Line

The following line has many >>>>From
>>>>>From This line has 4 > characters before From

And this is the last line

Конец сообщения в mbox файле формата традиционно сообщен пустой строкой. Однако это не всегда присутствует (невзирая на то, что AsyncOS действительно размещает его туда). При парсинге mbox-файла-формата необходимо сигнализировать конец сообщения любой запуском нового сообщения (удаляющий пустую строку, если вы присутствуете), или к концу файла.

Другой вариант в формате mbox призвал, чтобы длина сообщения была сообщена в поле "Content-Length" в заголовке сообщения. Тот формат не использовал "От" заключения в кавычки линии. AsyncOS не использует этот формат и не вставляет поле Content-Length.



Document ID: 117912