本文介绍了IMF(Internet Message Format),它是互联网消息的基础结构,用于SMTP邮件传输中的消息组织。在Wireshark中,如何导出和分析IMF数据包是关键。通过实例演示了如何利用Wireshark工具探索和理解IMF的细节。
一、IMF是什么
IMF(Internet Message Format),因特网消息格式。因特网消息格式是指文本消息在因特网上传输的格式。
其中SMTP等价于邮件信封,IMF等价于信封中的信件。
它包含发起者、接收者、主题和日期。
虽然IMF只处理文本信息,但可以使用MIME_multipart进行增强,以支持多媒体信息。
Internet消息格式与简单消息传输协议SMTP并行发展。 实际上,IMF消息通常被称为“SMTP消息”。
Internet消息格式是与简单消息传输协议SMTP并行开发的。实际上,IMF消息通常被称为“SMTP消息”。IMF组织最初在1982年发布了RFC 822,作为“ARPA互联网文本消息格式标准”,而RFC 822又从RFC 561“标准化网络邮件头”开始的早期RFC发展而来。
2001年,发布了一个新的RFC, RFC 2822,对其进行了更新,以反映当前的实践,并纳入了其他RFC中指定的增量更改。
其他RFC已经定义了额外的IMF字段,包括RFC 2156,它定义了X.400消息字段和IMF标题字段之间的映射。
RFCS的多用途因特网邮件扩展(MIME)系列进一步增强了消息正文格式的规范,以支持复杂结构和二进制附件。
通常,IMF使用SMTP作为其传输协议。
首选项设置:
为了成功解析IMF消息,必须从通过SMTP传输的片段中重构消息。因此,SMTP首选项设置“跨多个TCP段重组SMTP DATA命令”必须启用。
In order to successfully dissect an IMF message, the message must be reconstructed from the fragments that are transferred over SMTP. Therefore the SMTP Preference setting “Reassemble SMTP DATA commands spanning multiple TCP segments” must be enabled.
捕捉过滤器
在捕获时不能直接过滤IMF协议。但是,如果您知道SMTP协议使用的TCP端口,则可以在该端口上进行过滤。
仅捕获在默认端口(25)上通过SMTP传输的IMF流量:
捕捉过滤器
在捕获时不能直接过滤IMF协议。但是,如果您知道SMTP协议使用的TCP端口,则可以在该端口上进行过滤。
仅捕获在默认端口(25)上通过SMTP传输的IMF流量:
tcp port 25
二、在Wireshark中
文件——>导出对象——>IMF
例如对一个数据包
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
