SMTP，POP3协议邮件Wireshark抓包实验及内容还原

---

前言

其实这是这学期网络课设的一小部分实验报告，算的做的比较全面一点，干脆整理发出来。反正也没啥人看，就当记录了，不然万一报告文本被我删了这也没地方找。

---

一、什么是SMTP协议和POP3协议

SMTP是一种提供可靠且有效的电子邮件传输的协议。SMTP是建立在FTP文件传输服务上的一种邮件服务，主要用于系统之间的邮件信息传递，并提供有关来信的通知。SMTP独立于特定的传输子系统，且只需要可靠有序的数据流信道支持，SMTP的重要特性之一是其能跨越网络传输邮件，即“SMTP邮件中继”。使用SMTP，可实现相同网络处理进程之间的邮件传输，也可通过中继器或网关实现某处理进程与其他网络之间的邮件传输。 POP3，全名为“Post Office Protocol - Version 3”，即“邮局协议版本3”。是TCP/IP协议族中的一员，由RFC1939 定义。本协议主要用于支持使用客户端远程管理在服务器上的电子邮件。提供了SSL加密的POP3协议被称为POP3S。 POP 协议支持“离线”邮件处理。其具体过程是：邮件发送到服务器上，电子邮件客户端调用邮件客户机程序以连接服务器，并下载所有未阅读的电子邮件。这种离线访问模式是一种存储转发服务，将邮件从邮件服务器端送到个人终端机器上，一般是PC机或 MAC。一旦邮件发送到 PC 机或MAC上，邮件服务器上的邮件将会被删除。但POP3邮件服务器大都可以“只下载邮件，服务器端并不删除”，也就是改进的POP3协议。

注意，该图片中的收发均为一个地址，自己发自己。

二、具体步骤

1.SMTP

SMTP服务器设置
如图邮件服务1所示
注意SSL必须关掉，否则抓不出数据

发送邮件内容
如图邮件服务2所示

Wireshark抓取结果
如图邮件服务3所示

追踪TCP流
看了一下发现SMTP接受密文，格式应该是目前非常简单的base64加密，所以尝试抓取内容后解密内容，如图邮件服务4:

Base64解密
将拿到的base64内容进行解密后使用GB2312编码方式进行解码即得到邮件具体内容，如图邮件服务5所示，邮件内容已经被还原出来了。

2.POP3

同样的做法，区别在这里额外放了一张图片。

Wireshark 抓包
Wireshark抓取结果
如图邮件服务6所示，这里因为有张图片，明显可以看出传输了大量数据。

追踪TCP流
追踪pop的发送的报文内容，如图邮件服务7所示

接下里就是老套路，Base64解密

首先是邮件内容解密
按之前的SMTP步骤进行分析和base64解码，即得到原内容，如图邮件服务8所示

邮件附件图片解密
SMTP的解密方式和pop3的图片解密方式一致，进行附件base64转码即可得到结果，如图邮件服务9,10,11所示:
由于图片较大，转码base64内容极长，这里只截图了tcp流的部分，完整解密结果如图11.

好了，一封邮件完整的内容到这里就被扒完了。

总结

没啥好总结的，其实网络实验挺好玩的。
2021年1月25日20:42:13