问题描述
falcon发送报警邮件,使用的是回调的方式,将需要发送的邮件推送到某个邮件接口,而该接口就是由mail-provider组件提供的
详见:https://github.com/open-falcon/mail-provider
我们公司使用的是exchange邮件服务组件,但在实际测试的过程中发现,告警邮件无法发送,将mail-provider组件中发送邮件的代码提取出来后单独运行也无法发送邮件
深入代码
深入查看代码,其邮件用的是一个封装好的库:https://github.com/toolkits/smtp ,通过对该开源库的分析,找到了问题所在,先科普几个smtp的知识
smtp服务
如何调用其发送一封邮件
其底层 跟我们平时telnet访问邮件的587 25端口类似,都是先发送一个EHLO,然后再访问
登陆方式
登陆方式 目前profix分为:{"LOGIN", "PLAIN", "CRAM-MD5"},但是Exchange为:{GSSAPI NTLM LOGIN}
只有LOGIN的登陆方式是共有的,其中toolkits/smtp并未将LOGIN的登陆方式写进去,只是很简单了实现了PLAIN的登陆方式,导致与exchange不兼容
如何查看支持的登陆方式?
telnet 连接上邮件服务器的587端口后输入EHLO,在AUTH那里能看到开放的登陆方式
EHLO
250-mail.gridsum.com Hello [202.103.147.235]
250-SIZE 209715200
250-PIPELINING
250-DSN
250-ENHANCEDSTATUSCODES
250-STARTTLS
250-AUTH GSSAPI NTLM LOGIN
250-8BITMIME
250-BINARYMIME
250 CHUNKING
LOGIN
使用login方式的验证序列如下 (C:表示Client,S:表示Server)
C:auth login ------------------------------------------------- 进行用户身份认证
S:334 VXNlcm5hbWU6 ----------------------------------- BASE64编码“Username:”
C:Y29zdGFAYW1heGl0Lm5ldA== ----------------------------------- 用户名,使用BASE64编码
S:334 UGFzc3dvcmQ6 -------------------------------------BASE64编码"Password:"
C:MTk4MjIxNA== ----------------------------------------------- 密码,使用BASE64编码
S:235 auth successfully -------------------------------------- 身份认证成功
(Base64 编码计算:http://tool.114la.com/base64.html )
PLAIN
基于明文的SMTP验证,详见:http://www.ietf.org/internet-drafts/draft-ietf-sasl-plain-08.txt
其发送用户名与口令的格式应该是“
CARM-MD5
CRAM-MD5即是一种Keyed-MD5验证方式,CRAM是“Challenge-Response Authentication Mechanism”的所写。所谓Keyed-MD5,是将Clieng与Server共享的一个Key作为一部分MD5的输入,正好邮件系统的用户口令可以作为这个Key。具体的交互如下:
S: * OK IMAP4 Server
C: A0001 AUTHENTICATE CRAM-MD5
S: + PDE4OTYuNjk3MTcwOTUyQHBvc3RvZmZpY2UucmVzdG9uLm1jaS5uZXQ+ -------- Server发送BASE64编码的Timestamp、Hostname等给Client
C: dGltIGI5MTNhNjAyYzdlZGE3YTQ5NWI0ZTZlNzMzNGQzODkw ------- Client将收到的信息加上用户名和口令,编码为BASE64发送给Server
S: A0001 OK CRAM authentication successful ----------- Server使用该用户的口令进行MD5运算,如果得到相同的输出则认证成功
Keyed-MD5的计算公式为:
MD5 ( (tanstaaftanstaaf XOR opad),MD5((tanstaaftanstaaf XOR ipad), [email protected]) ),其中
MD5()为标准的MD5算法,“tanstaaftanstaaf”为用户口令,“[email protected]”是从Server发送过来的Timestamp和Hostname等,ipad和opad为Keyed-MD5算法特定的常数。上面的公式得出的digest为"b913a602c7eda7a495b4e6e7334d3890",加上用户名,即"tim b913a602c7eda7a495b4e6e7334d3890"进行BASE64的编码,得到上面发送给Server的“dGltIGI5MTNhNjAyYzdlZGE3YTQ5NWI0ZTZlNzMzNGQzODkw”。
修复
重写toolkit/smtp这个服务,新增Login的认证方式,同时必须打开TLS,防止密码泄露
实现一个Login的auth,只需要实现:Start与Next方法即可
func (a *loginAuth) Start(server *smtp.ServerInfo) (string, []byte, error) {
if !server.TLS {
advertised := false
for _, mechanism := range server.Auth {
if mechanism == "LOGIN" {
advertised = true
break
}
}
if !advertised {
return "", nil, errors.New("gomail: unencrypted connection")
}
}
if server.Name != a.host {
return "", nil, errors.New("gomail: wrong host name")
}
return "LOGIN", nil, nil
}
func (a *loginAuth) Next(fromServer []byte, more bool) ([]byte, error) {
if !more {
return nil, nil
}
switch {
case bytes.Equal(fromServer, []byte("Username:")):
return []byte(a.username), nil
case bytes.Equal(fromServer, []byte("Password:")):
return []byte(a.password), nil
default:
return nil, fmt.Errorf("gomail: unexpected server challenge: %s", fromServer)
}
}
修改smtp.go
丰富登陆验证的类型
循环登陆,防止登陆失败后就不去尝试其他的登陆方式,这样能同时兼容profix与exchange
具体的代码见:
https://github.com/peng19940915/smtp