当前位置:Linux教程 - Linux - 中小企业服务器配置方案 第四章(3)

中小企业服务器配置方案 第四章(3)

作 者: 汤海京



( E-mail:[email protected] )

第四章 邮件服务器

第三节 三个重要的邮件系统相关协议


3.1 SMTP协议:


SMTP是工作在两种情况下:一是电子邮件从客户机传输到服务器;二是从某一个服务器传输到另一个服务器

SMTP是个请求/响应协议,命令和响应都是基于ASCII文本,并以CR和LF符结束。响应包括一个表示返回状态的三位数字代码

SMTP在TCP协议25号端口监听连接请求

连接和发送过程:
建立TCP连接

客户端发送HELO命令以标识发件人自己的身份,然后客户端发送MAIL命令服务器端正希望以OK作为响应,表明准备接收

客户端发送RCPT命令,以标识该电子邮件的计划接收人,可以有多个RCPT行服务器端则表示是否愿意为收件人接受邮件

协商结束,发送邮件,用命令DATA发送

以.表示结束输入内容一起发送出去

结束此次发送,用QUIT命令退出。



另外两个命令:
VRFY---用于验证给定的用户邮箱是否存在,以及接收关于该用户的详细信息。
EXPN---用于扩充邮件列表。

邮件路由过程:
SMTP服务器基于''域名服务DNS中计划收件人的域名来路由电子邮件。SMTP服务器基于DNS中的MX记录来路由电子邮件,MX记录注册了域名和相关的SMTP中继主机,属于该域的电子邮件都应向该主机发送。
若SMTP服务器mail.abc.com收到一封信要发到[email protected]:
Sendmail请求DNS给出主机sh.abc.com的CNAME记录,如有,假若CNAME到shmail.abc.com,则再次请求shmail.abc.com的CNAME记录,直到没有为止

假定被CNAME到shmail.abc.com,然后sendmail请求@abc.com域的DNS给出shmail.abc.com的MX记录,
shmail  MX 5  shmail.abc.com
       10 shmail2.abc.com

Sendmail最后请求DNS给出shmail.abc.com的A记录,即IP地址,若返回值为1.2.3.4

Sendmail与1.2.3.4连接,传送这封给[email protected]的信到1.2.3.4这台服务器的SMTP后台程序



SMTP基本命令集:
命令   描述
HELO   向服务器标识用户身份
     发送者能欺骗,说谎,但一般情况下服务器都能检测到。
MAIL   初始化邮件传输
     mail from:
RCPT   标识单个的邮件接收人;常在MAIL命令后面
     可有多个rcpt to:
DATA   在单个或多个RCPT命令后,表示所有的邮件接收人已标识,并初始化数据传输,以.结束。
VRFY   用于验证指定的用户/邮箱是否存在;由于安全方面的原因,服务器常禁止此命令
EXPN   验证给定的邮箱列表是否存在,扩充邮箱列表,也常被禁用
HELP   查询服务器支持什么命令
NOOP   无操作,服务器应响应OK
QUIT   结束会话
RSET   重置会话,当前传输被取消

MAIL FROM命令中指定的地址是称作 envelope from地址,不需要和发送者自己的地址是一致的。
RCPT TO 与之等同,指明的接收者地址称为envelope to地址,而与实际的to:行是什么无关。

为什么没有RCPT CC和RCPT BCC:?
所有的接收者协商都通过RCPT TO命令来实现,如果是BCC,则协商发送后在对方接收时被删掉信封接收者

邮件被分为信封部分,信头部分和信体部分
envelope from, envelope to 与message from:, message to:完全不相干。
evnelope是由服务器主机间SMTP后台提供的,而message from/to是由用户提供的。有无冒号也是区别。

怎样由信封部分检查是否一封信是否是伪造的?
received行的关联性。
现在的SMTP邮件传输系统,在信封部分除了两端的内部主机处理的之外,考虑两个公司防火墙之间的部分,若两台防火墙机器分别为A和B,但接收者检查信封received:行时发现经过了C.则是伪造的。

received:行中的主机和IP地址对是否对应如:
Receibed: from galangal.org (turmeric.com [104.128.23.115] by mail .bieberdorf.edu....

被人手动添加在最后面的received行:
Received: from galangal.org ([104.128.23.115]) by mail .bieberdorf.edu (8.8.5)
Received: from lemongrass.org by galangal.org (8.7.3)
Received: from graprao.com by lemongrass.org (8.6.4)

3.2 POP3协议规范


简介
对于在网络上的比较小的结点,支持消息传输系统(mts)是不实际的。例如,一台工作站可能不具有充足的资源允许smtp服务器和相当的本地邮件传送系统保持序驻留,并持续运行。同样的,将一台个人计算机长时间连接在ip类型网络上的费用也是可观的(结点缺少的资源被称为""联络性"")。 虽然如此,在这样的小结点上允许管理邮件是十分有用的,并且这些结点经常支持一个用户代理来管理邮件。为解决这一问题,能够支持mts的结点就为这些不能支持的结点提供了邮件存储功能。邮局协议-版本3就是使这样的工作站可以用一种比较实用的方法来访问存储于服务器上的储存邮件。通常,这意味着工作站可以从服务器上取得邮件,而服务器为它暂时保存邮件。在下文中,客户主机指的是利用pop3服务的主机,而服务器主机指的是提供pop3服务的主机。

简单说明
在此文档中不指明客户主机如何将邮件送入到传送系统中去。但这里有一个说明:当用户代理需要将信息送到传送系统时,它在接力主机上建立smtp连接(这些接力主机可以是pop3主机,也可以不是)。

基本操作
初始时,服务器通过侦听tcp端口110开始pop3服务。当客户主机需要使用服务时,它将与服务器主机建立tcp连接。当连接建立后,pop3发送确认消息。客户和pop3服务器相互(分别)交换命令和响应,这一过程一直要持续到连接终止。 pop3命令由一个命令和一些参数组成。所有命令以一个crlf对结束。命令和参数由可打印的ascii字符组成,它们之间由空格间隔。命令一般是三到四个字母,每个参数却可达40个字符长。 pop3响应由一个状态码和一个可能跟有附加信息的命令组成。所有响应也是由crlf对结束。现在有两种状态码,""确定"" (""+ok"")和""失败"" (""-err"")。 对于特定命令的响应是由许多字符组成的。在这些情况中,下面一一表述:在发送第一行响应和一个crlf之后,任何的附加信息行发送,他们也由crlf对结束。当所有信息发送结束时,发送最后一行,包括一个结束字符(十进制码46,也就是""."")和一个crlf对。如果信息中的任何一行以结束字符开始,此行就是通过在那一行预先装入结束而进行字符填充的。因此,多行响应由五个crlf.crlf 结束。当检测多行响应时,客户检测以确认此行是否以结束字符开始。如果是的,而且其后的字符不是crlf,此行的第一个字符(结束字符)将被抛弃;如果其后紧跟crlf,从pop服务器来的响应终止,包括.crlf 的行也不被认为是多行响应的一部分了。 在生命周期中,pop3会话有几个不同的状态。一旦tcp连接被打开,而且pop3服务器发送了确认信息,此过程就进入了""确认""状态。在此状态中,客户必须向pop3服务器确认自己是其的客户。一旦确认成功,服务器就获取与客户邮件相关的资源,此时这一过程进入了""操作""状态。在此状态中,客户提出服务,当客户发出quit命令时,此过程进入了""更新""状态。在此状态中,pop3服务器释放在""操作""状态中取得的资源,并发送消息,终止连接。 pop3服务器可以拥有一个自动退出登录的记时器。此记时器必须至少可以记录10分钟。这样从客户发送的消息才可能刷新此记时器。当记时器失效时,pop3会话并不进入""更新""状态,而是关闭tcp连接,而且不删除任何消息,不向客户发送任何响应。

""确认""状态  
一时tcp连接由pop3客户打开,pop3服务器发送一个单行的确认。这个消息可以是由crlf结束的任何字符。例如,它可以是: s: +ok pop3 server ready   注意:这个消息是一个pop3应答。pop3服务器应该给出一个""确定""响应作为确认。 此时pop3会话就进入了""确认""状态。此时,客户必须向服务器证明它的身份。在文档中介绍两种可能的处理机制,一种是user和pass命令,另一种是在后面要介绍的apop命令。 用user和pass命令进行确认过程,客户必须首先发送user命令,如果pop3服务器以""确认""状态码响应,客户就可以发送pass命令以完成确认,或者发送quit命令终止pop3会话。如果pop3服务器返回""失败""状态码,客户可以再发送确认命令,或者发送quit命令。 当客户发送了pass命令后,服务器根据user和pass命令的附加信息决定是否允许访问相应的存储邮件。 一旦服务器通过这些数据决定允许客户访问储存邮件,服务器会在邮件上加上排它锁,以防止在进入""更新""状态前对邮件的改变。如果成功获得了排它锁,服务器返回一个""确认""状态码。会话进入""操作状态"",同时没有任何邮件被标记为删除。如果邮件因为某种原因不能打开(例如,排它锁不能获得,客户不能访问相应的邮件或者邮件不能进行语法分析),服务器将返回""失败""状态码。在返回""失败""状态码后,服务器会关闭连接。如果服务器没有关闭连接,客户可以重新发送确认命令,重新开始,或者发送quit命令。 在服务器打开邮件后,它为每个消息指定一个消息号,并以八进制表示每个消息的长度。第一个消息被指定为1,第二个消息被指定为2,以此类推,第n个消息被指定为n。在pop3命令和响应中,所以的消息号和长度以十进制表示。
下面是对上述三条命令的总结:  
命令
格式
参数
限制
响应
user name
指定邮箱的字符串,这对服务器至关重要仅在user和pass命令失败后或在""确认""状态中使用
+ok:有效邮箱;
-err:无效邮箱
c: user mrose
s: +ok mrose is a real hoopy frood
...
c: user frated
s: -err sorry, no mailbox for frated here
pass string
口令仅在""确认""状态中user命令成功后使用(因为此命令只有一个参数,因此空格不再作为分隔符,而作为口令的一部分)
+ok:邮件锁住并已经准备好;
-err无效口令或无法锁住邮件
c: user mrose
s: +ok mrose is a real hoopy frood
c: pass secret
s: +ok mrose''s maildrop has 2 messages (320 octets)
...
c: user mrose s: +ok mrose is a real hoopy frood
c: pass secret
s: -err maildrop already locked
quit
(无)
(无)
+ok
c: quit
s: +ok dewey pop3 server signing off
5. ""操作""状态  
一旦客户向服务器成功地确认了自己的身份,服务器将锁住并打开相应的邮件,这时pop3会话进入""操作""状态。现在客户可以重复下面的pop3命令,对于每个命令服务器都会返回应答。最后,客户发送quit命令,会话进入""更新""状态。 下面是在""操作""状态中可用的命令:
命令
参数
限制
说明
响应
stat
(无)
仅在""操作""状态下可用。
服务器以包括邮件信息的响应做为""确认""。为简化语法分析,所有的服务器要求使用邮件列表的特定格式。""确认""响应由一个空格,以八进制表示的邮件数目,一个空格和邮件大小。这是最小实现,高级的实现还需要别的信息。 注意:被标记为删除的信件不在此列。
+ok: nn mm
c: stat
s: +ok 2 320
list [msg]
信件数目(可选),如果出现,不包括标记为删除的信件。
仅在""操作""状态下可用。
如果给出了参数,且pop3服务器返回包括上述信息的""确认"",此行称为信息的""扫描表""。 如果没有参数,服务器返回""确认""响应,此响应便以多行给出。在初的+ok后,对于每个信件,服务器均给出相应的响应。 为简化语法分析,所有服务器要求使用扫描表的特定格式。它包括空格,每个邮件的确切大小。这是最小实现,高级的实现还需要别的信息。 注意:被标记为删除的信件不在此列。
+ok:其后跟扫描表;
-err:无扫描。
c: list
s: +ok 2 messages (320 octets)
s: 1 120
s: 2 200
s: .
...
c: list 2
s: +ok 2 200
...
c: list 3
s: -err no such message, only 2 messages in maildrop
retr msg
不包括标记为删除的信件数目。
仅在""操作""状态下可用。
如果服务器返回""确认"",给出的响应是多行的。在初始的+ok后,服务器发送与给定信息号对应的信息,对于多行响应,注意字节填充终止符。
+ok:消息在其后;
-err:其后无消息。
c: retr 1
s: +ok 120 octets
s: the pop3 server sends the entire message here>
s: .
dele msg
不包括标记为删除的信件数目。
仅在""操作""状态下可用。
服务器将此信件标记为删除,以后任何关于此信件的操作就会产生错误。服务器在会话进入""更新""状态前不会真正删除此信件。
+ok:信件被删除;
-err:无此信件。
c: dele 1
s: +ok message 1 deleted
...
c: dele 2
s: -err message 2 already deleted
noop
(无)
仅在""操作""状态下可用。服务器仅返回""确认""。
+ok
c: noop
s: +ok
rset
(无)
仅在""操作""状态下可用。
所有被标记为删除的信件复位,服务器返回""确认""。
+ok
c: rset
s: +ok maildrop has 2 messages (320个字符)
6.""更新""状态  
当客户在""操作""状态下发送quit命令后,会话进入""更新""状态。(注意:如果客户在""确认""状态下发送quit后,会话并不进入""更新""状态。) 如果会话因为quit命令以外的原因中断,会话并不进入""更新""状态,也不从服务器中删除任何信件。
命令
参数
限制
说明
响应
quit
(无)
(无)
服务器删除所有标记为删除的信件,然后释放排它锁,并返回这些操作的状态码。最后tcp连接被中断。
+ok
c: quit
s: +ok dewey pop3 server signing off (清空标记邮件)
...
c: quit
s: +ok dewey pop3 server signing off
7.可选的pop3命令  
以上讨论的命令是对pop3服务的最小实现。以下说明的可选命令允许客户更方便地处理信件,这是一个比较一般的pop3服务实现。
命令
参数
限制
说明
响应
top msg n
一个是未被标记为删除的信件数,另一个是非负数(必须提供)
仅在""操作""状态下使用。
如果服务器返回""确认"",响应是多行的。在初始的+ok后,服务器发送信件头,一个空行将信件头和信件体分开,对于多行响应要注意字节填充终止符。 注意:如果客户要求的行数比信件体中的行数大,服务器会发送整个信件。
+ok:其后有信件头;
-err:其后无类似消息。
c: top 1 10
s: +ok
s: <服务器发送消息头,一个空行和信件的头10行>
s: .
...
c: top 100 3
s: -err no such message
uidl [msg]
信件数(可选)。
如果给出信件数,不包括被标记为删除的信件。
仅在""操作""状态下使用。
如果给出了参数,且pop3服务器返回包括上述信息的""确认"",此行称为信息的""独立-id表""。 如果没有参数,服务器返回""确认""响应,此响应便以多行给出。在初的+ok后,对于每个信件,服务器均给出相应的响应。此行叫做信件的""独立-id表""。 为简化语法分析,所有服务器要求使用独立-id表的特定格式。它包括空格和信件的独立-id。 信件的独立-id由0x21到0x7e字符组成,这个符号在给定的存储邮件中不会重复。 注意:信件不包括被标记为删除的信件。
+ok:其后是独立-id表;
-err:其后无类似信件。
c: uidl
s: +ok
s: 1 whqtswo00wbw418f9t5jxywz
s: 2 qhdpyr:00wbw1ph7x7
s: .
...
c: uidl 2
s: +ok 2 qhdpyr:00wbw1ph7x7
...
c: uidl 3
s: -err no such message, only 2 messages in maildrop
apop name digest
指定邮箱的字串和md5摘要串。
仅在pop3确认后的""确认""状态中使用。
通常,每个pop3会话均以user/pass互换开始。这导致了用户名和口令在网络上的显式传送,这不会造成什么危险。但是,许多客户经常连接到服务检查信件。通常间隔时间比较短,这就加大了泄密的可能性。 另 一种提供""确认""过程的方法是使用apop命令。 实现apop命令的服务器包括一个标记确认的时间戳。例如:在unix上使用apop命令的语法为:process-id.clock@hostname,其中进程-id是进程的十进制的数,时钟是系统时钟的十进制表示,主机名与pop3服务器名一致。 客户记录下此时间戳,然后以送apop命令。name语法和user命令一致。digest是采用md5算法产生的包括时间戳和共享密钥的字串。此密钥是客户和服务器共知的,应该注意保护此密钥,如果泄密,任何人都能够以用户身份进入服务器。 如果服务器接到apop命令,它验证digest,如果正确,服务器返回""确认"",进入""操作""状态;否则,给出""失败""并停留在""确认""状态。 注意:共享密钥的长度增加,解读它的难度也相应增加,这个密钥应该是长字符串。
+ok:邮件锁住并准备好;
-err:拒绝请求。
s: +ok pop3 server ready <[email protected]>
c: apop mrose c4c9334bac560ecc979e58001b3e22fb
s: +ok maildrop has 1 message (369 octets) 在此例子中,共享密钥 <[email protected]>tanstaaf由md5算法生成,它产生了digest值, c4c9334bac560ecc979e58001b3e22fb
8. pop3命令总结  
基础的pop3命令:  
user name 在""确认""状态有效
pass string
quit  
stat 在""操作""状态有效
list [msg]
retr msg
dele msg
noop
rset  
quit 在""更新""状态有效  
可选的pop3命令:  
apop name digest 在""确认""状态有效  
top msg n 在""操作""状态有效
uidl [msg]  
pop3 响应:   +ok -err  
注意:除了stat,list和uidl的响应外,其它命令的响应均为""+ok""和 ""-err""。响应后的所有文本将被客户略去。
9. pop3会话实例
s: <等待连接到tcp端口110>
c: <打开连接>
s: +ok pop3 server ready <[email protected]>
c: apop mrose c4c9334bac560ecc979e58001b3e22fb
s: +ok mrose''s maildrop has 2 messages (320 octets)
c: stat
s: +ok 2 320
c: list
s: +ok 2 messages (320 octets)
s: 1 120
s: 2 200
s: .
c: retr 1
s: +ok 120 octets
s: <服务器发送信件1>
s: .
c: dele 1
s: +ok message 1 deleted
c: retr 2
s: +ok 200 octets
s: <服务器发送信件2>
s: .
c: dele 2
s: +ok message 2 deleted
c: quit
s: +ok dewey pop3 server signing off (maildrop empty)
c: <关闭连接>
s: <等待下一次连接>


3.3 IMAP4协议
  21cn.com是目前国内众多免费电子邮件站点中率先提供IMAP4服务的系统,完整支持最新版本的IMAP4 rev1(RFC2060)协议。IMAP是Internet Message Access Protocol的缩写,顾名思义,主要提供的是通过Internet获取信息的一种协议。IMAP4是IMAP协议的第4个版本,正如POP3是POP协议的第3个版本一样。在21cn.com邮件系统内,IMAP是一种强有力的邮箱访问方式。

和POP3的区别

  由于很多用户都对POP3非常熟悉,我们就从POP3说起。POP3提供了快捷的邮件下载服务,用户可以利用POP3把邮箱里的信下载到PC上进行离线阅读。一旦邮件进入PC的本地硬盘,就可以选择把邮件从服务器上删除,然后脱离与Internet的连接并选择在任何时候阅读已经下载的邮件。

  IMAP同样提供了方便的邮件下载服务,让用户能进行离线阅读,但IMAP能完成的却远远不只这些。首先,IMAP提供的摘要浏览功能可以让你在阅读完所有的邮件到达时间、主题、发件人、大小等信息后才作出是否下载的决定。也就是说,你不必等所有的邮件都下载完毕后才知道究竟邮件里都有些什么。如果你根据摘要信息就可以决定某些邮件对你毫无用处,你就可以直接在服务器上把这些邮件删除掉,而不必浪费你宝贵的上网时间。如果你的IMAP客户端软件完整支持IMAP4rev1的话(如Netscape 4.5),则你还可以享受选择性下载附件的服务。举例来说,假如一封邮件里含有大大小小共5个附件,而其中只有2个附件是你需要的,你就可以只下载那两个附件,节省了下载其余3个的时间。

和WebMail的比较

  也有很多用户喜欢通过Web来联机收发邮件,其中一个很重要的原因是这些用户希望把他的邮件都留在服务器上,并且通过WebMail服务建立多个文件夹,然后分类归档地管理自己的邮件。这样,WebMail的用户就可以不分时间地点,只要有一个浏览器就可以马上从服务器上获得自己的邮件,不管是刚收到的还是已经存放了很久,也不必担心客户端的PC重新安装了操作系统或换了一台电脑以后邮件全部丢失了的问题。

  IMAP同样满足了WebMail用户的需要。IMAP与POP3不同的地方关键是在支持离线阅读的同时也鼓励用户把邮件存储和组织在服务器上。和WebMail一样,通过IMAP,允许用户在服务器上建立任意层次结构的文件夹,并且可以灵活地在文件夹之间移动邮件,随心所欲地组织你的邮箱(这些显然是通过POP3做不到的)。只要你的邮件存储在服务器上,任何时候通过一个IMAP的客户端软件都可以立即联机获得你的邮件,这一点与WebMail保持一致。

  但是,IMAP的以下优点足以把WebMail用户吸引过来:凡是WebMail的用户都必需无奈地阅读页面上的广告,都必需花费宝贵的时间和带宽来下载页面上的图面,修饰字符等等;IMAP则忠实地只为你的Email服务,不让你的资源有丝毫的浪费。

  IMAP协议还允许你方便地利用你的邮箱作为信息存储工具,一般的IMAP4客户软件都支持邮件在本地文件夹间和服务器文件夹间的随意拖动,让你得心应手地把本地硬盘上的文件存放到服务器上,然后在你需要的时候同样方便地取回来,所有的功能仅需要一次鼠标拖放的操作来实现,是不是很好?

总的来说,POP3和WebMail的优点在IMAP里都有,而IMAP却能很好地克服POP3和WebMail各自的缺点。