一、简介
这一部分内容将详细讨论email头的方方面面。主要为用户架设邮件服务器提供理论基础并为管理员在出现电子邮件垃圾骚扰时提供发现垃圾邮件的真正源头。根据邮件头的知识有助于发现伪造的邮件。对于希望了解邮件是如何在网络中传输的用户同样会有帮助。虽然在讨论中尽量有意避免如何伪造一封邮件的讨论,但是在讨论中的内容可能被恶意读者用作创建伪造邮件的基础。因为要在文章中举例说明,因此在文章中有若干虚构的域名和随意分配的IP地址作为示例使用。这些域名和IP都是任意任意选择和伪造的,和Internet上真实的域名和IP没有任何关系。二、Email的传输过程这部分包含一个简单的对一个电子邮件生命周期的分析。这对于理解邮件头能为你提供哪些信息是非常重要的背景信息。从表面上看来邮件似乎是直接从发送者机器传递到接收者地址,但通常情况下事情并不是这样。一个典型的电子邮件在其生命周期中至少要经过四台计算机。这是因为大多数企业或组织都有一个被称为“邮件服务器”专用服务器来处理电子邮件,而这一般并不是用户阅读邮件的计算机。对于ISP来说,用户从家里面的计算机拨号接入ISP网络,这里将用户家中的计算机称为客户机,而将ISP专门处理邮件的计算机称为邮件服务器。当一个用户发送邮件,他一般是在自己的计算机上编辑邮件,然后将邮件发送到ISP的邮件服务器上。客户机就此已经完成了自己的工作,而后面的工作则由ISP的邮件服务器来完成。首先ISP 邮件服务器查找接收者指定的邮件服务器的IP地址,然后将邮件发送给该目的服务器。现在邮件则存储在接收者邮件服务器上等待接收者收取。当接收者从接受邮件服务器取得发送给他的邮件到自己的PC机以后,通常该邮件将被删除。假设若干个虚构的用户
,邮件头将三次被加到邮件中:在编辑时由邮件客户程序加入;当邮件传输到https://www.doczj.com/doc/0e17443542.html,时被 https://www.doczj.com/doc/0e17443542.html,加入;当从https://www.doczj.com/doc/0e17443542.html,传送到https://www.doczj.com/doc/0e17443542.html,时被https://www.doczj.com/doc/0e17443542.html,加入;通常来说客户收取信件时并不添加邮件头。下面我们就仔细看看这些邮件头是如何产生的。当lisi的邮件客户程序编辑邮件并将其发送给https://www.doczj.com/doc/0e17443542.html,时,邮件内容如下。这些内容都是由邮件编辑程序(outlook express)添加的:From: lili@https://www.doczj.com/doc/0e17443542.html, (Li Si)
To: demo@hotmail
Date: Tue, Mar 18 1997 14:36:14 PST
X-Mailer: Outlook Express 5.5
Subject: 明天放假?当邮件从https://www.doczj.com/doc/0e17443542.html,传送到https://www.doczj.com/doc/0e17443542.html,后,邮件内容变为(新添加的内容是由https://www.doczj.com/doc/0e17443542.html,):Received:from https://www.doczj.com/doc/0e17443542.html, (https://www.doczj.com/doc/0e17443542.html, [124.211.3.11]) https://www.doczj.com/doc/0e17443542.html, (8.8.5) id 004A21; Tue, Mar 18 1997 14:36:17 -0800(PST)
From: lili@https://www.doczj.com/doc/0e17443542.html, (Li Si)
To: demo@hotmail
Date: Tue, Mar 18 1997 14:36:14 PST
Message-Id:
X-Mailer: Outlook Express 5.5
Subject: 明天放假?当https://www.doczj.com/doc/0e17443542.html,收到信件并存储等待lili收取时,邮件内容变为,(新添加的内容是由https://www.doczj.com/doc/0e17443542.html,添加的):Received:from https://www.doczj.com/doc/0e17443542.html, (https://www.doczj.com/doc/0e17443542.html, [124.211.3.78]) https://www.doczj.com/doc/0e17443542.html, (8.8.5/8.7.2) with ESMTP id LAA20869 for
Received: from https://www.doczj.com/doc/0e17443542.html, (https://www.doczj.com/doc/0e17443542.html, [124.211.3.11]) https://www.doczj.com/doc/0e17443542.html, (8.8.5) id 004A21; Tue, Mar 18 1997 14:36:17 -0800(PST)
From: lili@https://www.doczj.com/doc/0e17443542.html, (Li Si)
To: demo@hotmail
Date: Tue, Mar 18 1997 14:36:14 PST
Message-Id:
X-Mailer: Outlook Express 5.5
Subject: 明天放假?最后这封信的内容才是lili收取并阅读的内容。下面是对其中内容的详细分析:Received: from https://www.doczj.com/doc/0e17443542.html,
上面的内容表示该邮件是来自于自称是https://www.doczj.com/doc/0e17443542.html,的服务器。(https://www.doczj.com/doc/0e17443542.html, [124.211.3.78])
这句话表示该服务器的真实名字的确是https://www.doczj.com/doc/0e17443542.html,,也就是说它自称的身份是正确的,其IP地址为124.211.3.78。by https://www.doczj.com/doc/0e17443542.html, (8.8.5/8.7.2)
接收这封邮件的机器是https://www.doczj.com/doc/0e17443542.html,。其运行的邮件程序为sendmail,版本为8.8.5/8.7.2。with ESMTP id LAA20869
接收邮件的服务器为该邮件赋有ID号LAA20869(通常该号码是邮件服务器内部使用的,但是管理员可以根据该ID号在log文件中查找关于该信件的相关信息,但是通常该号都是没有意义的) 。for
该邮件是发送给地址demo@hotmail的。可以看到该邮件头没有To:相关内容。Tue, 18 Mar 1997 14:39:24 -0800 (PST)
这次邮件传输发生时间为:太平洋时间Tuesday, March 18, 1997, at 14:39:24(太平洋时间,因为它比格林威治时间晚8个小时,因此是"-0800")。Received:from https://www.doczj.com/doc/0e17443542.html, (https://www.doczj.com/doc/0e17443542.html, [124.211.3.11]) https://www.doczj.com/doc/0e17443542.html, (8.8.5) id 004A21; Tue, Mar 1
8 1997 14:36:17 -0800(PST) 个简单的对一个电子邮件生命周期的分析。这对于理解邮件头能为你提供哪些信息是非常重要的背景信息。 Mar 18 1997 14:36:14 PST 服务器https://www.doczj.com/doc/0e17443542.html,的。传送发生在太
该邮件头记录了邮件是从https://www.doczj.com/doc/0e17443542.html,(lisi的工作站)传送到到邮件服务器https://www.doczj.com/doc/0e17443542.html,的。传送发生在太平洋时间14:36:17。发送计算机自称是https://www.doczj.com/doc/0e17443542.html,,其真实名经dns查询的确是https://www.doczj.com/doc/0e17443542.html,,其 IP地址为124.211.3.11,邮件服务器软件为sendmailv8.8.5。该信件被邮件服务器的https://www.doczj.com/doc/0e17443542.html,赋给的 ID号为004A21。From: lili@https://www.doczj.com/doc/0e17443542.html, (Li Si)
该邮件是由lili@https://www.doczj.com/doc/0e17443542.html,发送的,其名字为Li Si。To: demo@hotmail
邮件目的地址为:demo@hotmail。 Date: Tue, Mar 18 1997 14:36:14 PST
邮件编辑时间为14:36:14 Pacific Standard Time on Tuesday, March 18, 1997。Message-Id:
该消息是使用Outlook Express发送的,版本号为5.5。Subject: 明天放假?
邮件标题。
想了解更进请进https://www.doczj.com/doc/0e17443542.html,标签:电脑 端口 缪斯邮件服务器与企业即时通讯介绍 添加标签>>
[推送到技术圈]
一、简介这一部分内容将详细讨论email头的方方面面。主要为用户架设邮件服务器提供理论基础并为管理员在出现电子邮件垃圾骚扰时提供发现垃圾邮件的真正源头。根据邮件头的知识有助于发现伪造的邮件。对于希望了解邮件是如何在网络中传输的用户同样会有帮助。虽然在讨论中尽量有意避免如何伪造一封邮件的讨论,但是在讨论中的内容可能被恶意读者用作创建伪造邮件的基础。因为要在文章中举例说明,因此在文章
中有若干虚构的域名和随意分配的IP地址作为示例使用。这些域名和IP都是任意任意选择和伪造的,和Internet上真实的域名和IP没有任何关系。二、Email的传输过程这部分包含一从表面上看来邮件似乎是直接从发送者机器传递到接收者地址,但通常情况下事情并不是这样。一个典型的电子邮件在其生命周期中至少要经过四台计算机。这是因为大多数企业或组织都有一个被称为“邮件服务器”专用服务器来处理电子邮件,而这一般并不是用户阅读邮件的计算机。对于ISP来说,用户从家
里面的计算机拨号接入ISP网络,这里将用户家中的计算机称为客户机,而将ISP专门处理邮件的计算机称为邮件服务器。当一个用户发送邮件,他一般是在自
己的计算机上编辑邮件,然后将邮件发送到ISP的邮件服务器上。客户机就此已经完成了自己的工作,而后面的工作则由ISP的邮件服务器来完成。首先ISP
邮件服务器查找接收者指定的邮件服务器的IP地址,然后将邮件发送给该目的服务器。现在邮件则存储在接收者邮件服务器上等待接收者收取。当接收者从接受邮
件服务器取得发送给他的邮件到自己的PC机以后,通常该邮件将被删除。假设若干个虚构的用户<demo@https://www.doczj.com/doc/0e17443542.html,>和<lili@https://www.doczj.com/doc/0e17443542.html,>。demo是263这个
ISP的拨号用户。使用outook
express这个邮件客户程序收发邮件。lisi是中科院的一个虚构用户,他使用工作站通过单位局域网连接进入互联网。如果lisi想给lili发送邮件,他在工作站(假设名字为https://www.doczj.com/doc/0e17443542.html,)上编辑邮件,编辑好的信件从工作站发送到中科院的
邮件服务器:https://www.doczj.com/doc/0e17443542.html,。一旦信件被发送到https://www.doczj.com/doc/0e17443542.html,,以后的信件发送过程就和lisi没有关系了。中
科院的邮件服务器发现这是发送给https://www.doczj.com/doc/0e17443542.html,的某个用户的信件,则和263的邮件服务器-比如说是https://www.doczj.com/doc/0e17443542.html,-通信,并将邮件传送给它。
现在邮件则被存储在https://www.doczj.com/doc/0e17443542.html,之上直到lili在自己的PC机上拨号连接到263网络察看并收取信件,这时https://www.doczj.com/doc/0e17443542.html,将存储
的邮件传送到lili的个人PC机上。在这个过程中,邮件头将三次被加到邮件中:在编辑时由邮件客户程序加入;当邮件传输到https://www.doczj.com/doc/0e17443542.html,时被
https://www.doczj.com/doc/0e17443542.html,加入;当从https://www.doczj.com/doc/0e17443542.html,传送到https://www.doczj.com/doc/0e17443542.html,时被https://www.doczj.com/doc/0e17443542.html,加入;通
常来说客户收取信件时并不添加邮件头。下面我们就仔细看看这些邮件头是如何产生的。当lisi的邮件客户程序编辑邮件并将其发送给https://www.doczj.com/doc/0e17443542.html,时,邮件内容如下。这些内容都是由邮件编辑程序(outlook express)添加的:From: lili@https://www.doczj.com/doc/0e17443542.html, (Li Si)
To: demo@hotmail
Date: Tue,
X-Mailer: Outlook Express 5.5
Subject: 明天放假?当邮件从https://www.doczj.com/doc/0e17443542.html,传送到https://www.doczj.com/doc/0e17443542.html,后,邮件内容变为(新添加的内容是由https://www.doczj.com/doc/0e17443542.html,):Received:from https://www.doczj.com/doc/0e17443542.html, (https://www.doczj.com/doc/0e17443542.html, [124.211.3.11])
https://www.doczj.com/doc/0e17443542.html, (8.8.5) id 004A21; Tue, Mar 18 1997 14:36:17
-0800(PST)
From: lili@https://www.doczj.com/doc/0e17443542.html, (Li Si)
To: demo@hotmail
Date: Tue, Mar 18 1997 14:36:14 PST
Message-Id: <lisi0318********-00000298@https://www.doczj.com/doc/0e17443542.html,>
X-Mailer: Outlook Express 5.5
Subject: 明天放假?当https://www.doczj.com/doc/0e17443542.html,收到信件并存储等待lili收取时,邮件内容变为,(新添加的内容是由https://www.doczj.com/doc/0e17443542.html,添加的):Received:from https://www.doczj.com/doc/0e17443542.html, (https://www.doczj.com/doc/0e17443542.html, [124.211.3.78])
https://www.doczj.com/doc/0e17443542.html, (8.8.5/8.7.2) with ESMTP id LAA20869
for
Received: from https://www.doczj.com/doc/0e17443542.html, (https://www.doczj.com/doc/0e17443542.html, [124.211.3.11])
https://www.doczj.com/doc/0e17443542.html, (8.8.5) id 004A21; Tue, Mar 18 1997 14:36:17
-0800(PST)
From: lili@https://www.doczj.com/doc/0e17443542.html, (Li Si)
To: demo@hotmail
Date: Tue, Mar 18 1997 14:36:14 PST
Message-Id: <lisi0318********-00000298@https://www.doczj.com/doc/0e17443542.html,>
X-Mailer: Outlook Express 5.5
Subject: 明天放假?最后这封信的内容才是lili收取并阅读的内容。下面是对其中内容的详细分析:Received: from https://www.doczj.com/doc/0e17443542.html,
上面的内容表示该邮件是来自于自称是https://www.doczj.com/doc/0e17443542.html,的服务器。(https://www.doczj.com/doc/0e17443542.html, [124.211.3.78])
这句话表示该服务器的真实名字的确是https://www.doczj.com/doc/0e17443542.html,,也就是说它自称的身份是正确的,其IP地址为124.211.3.78。by https://www.doczj.com/doc/0e17443542.html, (8.8.5/8.7.2)
接收这封邮件的机器是https://www.doczj.com/doc/0e17443542.html,。其运行的邮件程序为sendmail,版本为8.8.5/8.7.2。with ESMTP id LAA20869
接收邮件的服务器为该邮件赋有ID号LAA20869(通常该号码是邮件服务器内部使用的,但是管理员可以根据该ID号在log文件中查找关于该信件的相关信息,但是通常该号都是没有意义的) 。for
该邮件是发送给地址demo@hotmail的。可以看到该邮件头没有To:相关内容。Tue, 18 Mar 1997 14:39:24 -0800 (PST)
这次邮件传输发生时间为:太平洋时间Tuesday, March 18, 1997, at 14:39:24(太平洋时间,因为它比格林威治时间晚8个小时,因此是"-0800")。Received:from https://www.doczj.com/doc/0e17443542.html, (https://www.doczj.com/doc/0e17443542.html, [124.211.3.11])
https://www.doczj.com/doc/0e17443542.html, (8.8.5) id 004A21; Tue, Mar 18 1997 14:36:17
-0800(PST)
该邮件头记录了邮件是从https://www.doczj.com/doc/0e17443542.html,(lisi的工作站)传送到到邮件
平洋时间14:36:17。发送计算机自称是https://www.doczj.com/doc/0e17443542.html,,其真实名经dns查询的确是https://www.doczj.com/doc/0e17443542.html,,其
IP地址为124.211.3.11,邮件服务器软件为sendmailv8.8.5。该信件被邮件服务器的https://www.doczj.com/doc/0e17443542.html,赋给的
ID号为004A21。From: lili@https://www.doczj.com/doc/0e17443542.html, (Li Si)
该邮件是由lili@https://www.doczj.com/doc/0e17443542.html,发送的,其名字为Li Si。To: demo@hotmail
邮件目的地址为:demo@hotmail。 Date: Tue, Mar 18 1997 14:36:14 PST
邮件编辑时间为14:36:14 Pacific Standard Time on Tuesday, March 18, 1997。Message-Id: <lisi0318********-00000298@https://www.doczj.com/doc/0e17443542.html,
https://www.doczj.com/doc/0e17443542.html,给该邮件分配了这个号码来标识它。它和Received头中的SMTP机ESMTPID号是不一样的。因为该号码是一
直伴随整个邮件的。而其它ID则仅仅在特定的邮件服务器上的邮件传输阶段相关联。因此该机器ID号对其它机器来说没有任何意义。有时候Message-
ID包含了发送者邮件地址在其中。X-Mailer: Outlook Express 5.5
该消息是使用Outlook Express发送的,版本号为5.5。Subject: 明天放假?
邮件标题。
发表于 08-07-25 16:58 (固定链接 )