选择分类: 系统FAQ 邮件安全 邮件发展 邮件协议 邮件流程 DNS解析 反垃圾邮件技术 业界应用 技术点滴  
 

 

  系统FAQ
  邮件安全
  邮件发展
  邮件协议
  邮件流程
  DNS解析
  反垃圾邮件技术
  业界应用
  技术点滴
 
  知识库 - SMTP(Login,Plain,CRAM-MD5)验证

  SMTP(Login,Plain,CRAM-MD5)验证

    最初的SMTP协议是不包含安全认证的,所谓的ESMTP在安全性方面扩展了SMTP,通过增加命令EHLO和AUTH。如今SMTP 服务器,无论是公网的还是内网的,大都要求安全认证,如果你使用的是Outlook Express,那么在邮箱帐户的配置中有一个选项-“我的SMTP服务器要求验证”。我们的应用程序中经常有发送邮件的功能,而简单的邮件发送程序没有 包含验证的模块。

  当客户端发送“EHLO”到Server后,Server将发送一个列表,类似:

  EHLO

  250-SMTP.Mydomain.com Hello [192.168.0.1]

  250-8bitmime

  250-BINARYMIME

  250-VRFY

  250-AUTH LOGIN PLAIN CRAM-MD5

  250-AUTH=LOGIN

  250 OK

  列表中"LOGIN PLAIN CRAM-MD5"说明了该SMTP Server支持的验证方式,本文将详细解释这三种验证方式。

  LOGIN方式

  使用login方式的验证序列如下 (C:表示Client,S:表示Server)

  C:auth login ----------------------------------------- 进行用户身份认证

  S:334 VXNlcm5hbWU6 ----------------------------------- BASE64编码“Username:”

  C:Y29zdGFAYW1heGl0Lm5ldA== --------------------------- 用户名,使用BASE64编码

  S:334 UGFzc3dvcmQ6 ------------------------------------BASE64编码"Password:"

  C:MTk4MjIxNA== --------------------------------------- 密码,使用BASE64编码

  S:235 auth successfully ------------------------------ 身份认证成功

  PLAIN方式

  基于明文的SMTP验证,其发送用户名与口令的格式应该是“<NULL>tim<NULL>tanstaaftanstaaf”。“tim”是用户名,后边的字符串是口令,NULL是ASCII的0(所以无法使用telnet登录)。

  CRAM-MD5方式

  CRAM- MD5即是一种Keyed-MD5验证方式,CRAM是“Challenge-Response Authentication Mechanism”的所写。所谓Keyed-MD5,是将Clieng与Server共享的一个Key作为一部分MD5的输入,正好邮件系统的用户口令 可以作为这个Key。具体的交互如下:

  S: * OK IMAP4 Server

  C: A0001 AUTHENTICATE CRAM-MD5

  S: + PDE4OTYuNjk3MTcwOTUyQHBvc3RvZmZpY2UucmVzdG9uLm1jaS5uZXQ+ -------- Server发送BASE64编码的Timestamp、Hostname等给Client

  C: dGltIGI5MTNhNjAyYzdlZGE3YTQ5NWI0ZTZlNzMzNGQzODkw ------- Client将收到的信息加上用户名和口令,编码为BASE64发送给Server

  S: A0001 OK CRAM authentication successful ----------- Server使用该用户的口令进行MD5运算,如果得到相同的输出则认证成功

  Keyed-MD5的计算公式为:

  MD5 ( (tanstaaftanstaaf XOR opad),MD5((tanstaaftanstaaf XOR ipad), <1896.697170952@postoffice.reston.mci.net>) ),其中

  MD5() 为标准的MD5算法,“tanstaaftanstaaf”为用户口 令,

  “<1896.697170952@postoffice.reston.mci.net>”是从Server发送过来的 Timestamp和Hostname等,ipad和opad为Keyed-MD5算法特定的常数。上面的公式得出的digest 为"b913a602c7eda7a495b4e6e7334d3890",加上用户名,即"tim b913a602c7eda7a495b4e6e7334d3890"进行BASE64的编码,得到上面发送给Server的 “dGltIGI5MTNhNjAyYzdlZGE3YTQ5NWI0ZTZlNzMzNGQzODkw”。

  关于MD5和KeyedMD5的程序代码可以在各自的RFC中找到,在VC下需要改正几个编译错误。

  MD5 RFC:http://www.faqs.org/rfcs/rfc1321.html

  Keyed-MD5 RFC:http://www.faqs.org/rfcs/rfc2104.html

  SMTP验证:http://www.faqs.org/rfcs/rfc2195.html

  SMTP验证还有GSSAPI、NTLM、Kerberos等。

  http://web.mit.edu/kerberos Kerberos MIT主页

  http://www.cmf.nrl.navy.mil/CCS/people/kenh/kerberos-faq.html FAQ

  http://web.mit.edu/kerberos/www/dialogue.html 两人对话形式的讲解

  BTW:可以使用telnet连接到Mail Server,方便地查看服务器的响应,然后再编程实现。如:Telnet 127.0.0.1 25。