소개
이 문서에서는 Unix 사서함(mbox) 형식 및 Cisco ESA(Email Security Appliance)에서 사용하는 방법과 관련된 방법에 대해 설명합니다.
UNIX 사서함(사서함) 형식이란 무엇입니까?
메시지가 아카이브되고 메시지 필터 로그() 작업에 로깅될 때 UNIX mbox 형식은 AsyncOS에서 사용됩니다."Archive Message"는 ESA의 Ironport Anit-spam(IPAS), Anti-virus(Sophos 및 McAfee), AMP(Advanced Malware Protection) 및 Graymail에 대한 추가 컨피그레이션 옵션입니다.
Mbox 형식은 0개 이상의 메일 메시지를 포함할 수 있는 ASCII 형식(즉, 이진 형식이 아님) 파일 형식입니다.메시지는 mbox 파일에 연결되며 파일의 특정 문자열에 따라 별도로 지정할 수 있습니다.이 형식은 RFC 2821 호환 메일 게이트웨이 간에 전송되는 메시지와 동일합니다.
mbox 형식의 각 메시지는 "From" 문자열(ASCII 문자 F, r, o, m 및 공백)로 시작하는 행으로 시작합니다."보낸 사람" 줄 뒤에 여러 필드가 표시됩니다.envelope-sender, date 및 (선택 사항) 추가 데이터.
"From" 문자열 뒤에 오는 첫 번째 필드는 메시지의 봉투 발신자입니다.mbox 파일을 만드는 응용 프로그램에 따라 envelope-sender가 실제 사서함으로 표시되거나 다른 문자나 문자열이 될 수 있습니다.일반적으로 실제 봉투 발신자를 사용할 수 없거나 알 수 없는 경우 "-"(단일 문자 대시)가 봉투 발신자를 대신합니다.ESA에서 삽입한 날짜 필드는 표준 UNIX asctime() 형식이며 항상 24자입니다.비 AsyncOS 구현에서 작성한 일부 mbox 파일에서 자세한 내용은 날짜 스탬프를 따릅니다.이 세 필드는 하나의 공백으로 구분됩니다.
다음은 단일 메시지가 포함된 mbox 파일의 예입니다.
From Adam@Outside.COM Sun Oct 17 12:03:20 2004
Received: from mail.outside.com (192.35.195.200)
by smtp.alpha.com with ESMTP; 17 Oct 2004 12:03:20 -0700
X-IronPort-AV: i="3.85,147,1094454000";
v="EICAR-AV-Test'0'v";
d="scan'208"; a="86:adNrHT37924848"
X-IronPort-RCPT-TO: alan@mail.example.com
From: Adam@Outside.COM
To: Alan Alpha
Subject: Exercise 7a Anti-Virus Scanning
Reply-To: Adam Alpha
Date: Sun, 17 Oct 2004 12:02:39 -0700
MIME-version: 1.0
Content-type: multipart/mixed; boundary="IronPort"
--IronPort
Content-type: text/plain; format=flowed; charset=us-ascii
Content-transfer-encoding: 7bit
Blah blah blah blah blah
Blah blah blah blah blah
Blah blah blah blah blah
...
--IronPort
Content-type: text/plain
Content-transfer-encoding: 7bit
Content-disposition: inline
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*">X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
--IronPort--
mbox 형식의 파일을 구문 분석할 때는 메시지를 구분하는 "From" 줄로 너무 많은 의미를 읽지 않는 것이 좋습니다.여러 유틸리티의 write-box 파일 때문에 이러한 행에는 상당한 변화가 있습니다.그러나 새 메시지가 mbox 파일에서 시작되었음을 안정적으로 나타내기 위해 "보낸 사람" 줄을 항상 메시지 구분 줄로 사용할 수 있습니다.전반적으로 "보낸 사람" 메시지 구분 기호 뒤에 문자열에 대해 알려진 형식이 20개 있는데, 이 경우 일반적으로 구문 분석이 매우 어렵습니다.
"From" 줄 뒤에 RFC 2822 형식의 이메일 메시지가 표시되며 일련의 메시지 본문 헤더가 뒤에 빈 줄 뒤에 추가 메시지 본문 콘텐츠가 옵니다.
메시지가 제대로 분리되도록 하려면 "From" 문자열로 시작하는 줄은 항상 단일 ">"로 앞에 추가됩니다. mbox 파일의 다양한 변형이 ">From"으로 시작하는 줄을 서로 다르게 처리합니다.mbox 파일을 작성한 응용 프로그램의 초기 구현에서는 이러한 행이 직접 인용되지 않았습니다.AsyncOS 로그 파일은 항상 하나 이상의 ">" 문자로 시작하는 줄 뒤에 "From"을 추가합니다.
다음은 시작 문자열 "From", ">From" 및 ">>>>From"이 포함된 줄이 있는 메시지를 포함하는 mbox 파일의 예입니다.
From jtrumbo@example1.com Sun Dec 12 12:27:33 2004
X-IronPort-RCPT-TO: trumbo@example1.com
From: jtrumbo@example1.com
To: trumbo@example2.com
Subject: Quote this, if you dare
Date: Sun, 12 Dec 2004 12:28:00 -0700
The following line is just From
>From A From Line
The following line has quoted >From
>>From A >From Line
The following line has many >>>>From
>>>>>From This line has 4 > characters before From
And this is the last line
mbox 형식 파일의 메시지 끝은 일반적으로 빈 줄로 신호를 받습니다.그러나 AsyncOS가 항상 존재하는 것은 아닙니다. mbox 형식 파일을 구문 분석할 때는 새 메시지의 시작(있는 경우 빈 줄 삭제) 또는 파일의 끝 부분 중 하나를 사용하여 메시지의 끝에 신호를 보내야 합니다.
메시지 헤더 내의 "Content-Length" 필드에서 신호를 받을 메시지의 길이를 위해 mbox 형식의 또 다른 변형입니다.이 형식은 "시작" 라인 견적을 사용하지 않았습니다.AsyncOS는 이 형식을 사용하지 않으며 Content-Length 필드를 삽입하지 않습니다.
피드백