Email 当同时收到大量邮件时，如何跟踪特定电子邮件的数据包？_Email_Smtp_Wireshark

Email 当同时收到大量邮件时，如何跟踪特定电子邮件的数据包？

email smtp

Email 当同时收到大量邮件时，如何跟踪特定电子邮件的数据包？,email,smtp,wireshark,Email,Smtp,Wireshark,smtp协议基本上如下所示： S: 220 smtp.example.com ESMTP Postfix C: HELO relay.example.org S: 250 Hello relay.example.org, I am glad to meet you C: MAIL FROM:<bob@example.org> S: 250 Ok C: RCPT TO:<alice@example.com> S: 250 Ok C: RCPT TO:<theboss@

smtp协议基本上如下所示：

S: 220 smtp.example.com ESMTP Postfix
C: HELO relay.example.org
S: 250 Hello relay.example.org, I am glad to meet you
C: MAIL FROM:<bob@example.org>
S: 250 Ok
C: RCPT TO:<alice@example.com>
S: 250 Ok
C: RCPT TO:<theboss@example.com>
S: 250 Ok
C: DATA
S: 354 End data with <CR><LF>.<CR><LF>
C: From: "Bob Example" <bob@example.org>
C: To: "Alice Example" <alice@example.com>
C: Cc: theboss@example.com
C: Date: Tue, 15 Jan 2008 16:02:43 -0500
C: Subject: Test message
C:
C: Hello Alice.
C: This is a test message with 5 header fields and 4 lines in the message body.
C: Your friend,
C: Bob
C: .
S: 250 Ok: queued as 12345
C: QUIT
S: 221 Bye

S:220 smtp.example.com ESMTP后缀
C:HELO relay.example.org
S:250你好，relay.example.org，很高兴认识你
C:邮寄地址：
S:250好的
C:RCPT至：
S:250好的
C:RCPT至：
S:250好的
C:数据
S:354结束数据与。
C:摘自：“鲍勃的例子”
C:致：“爱丽丝的例子”
C:Cc:theboss@example.com
C:日期：2008年1月15日星期二16:02:43-0500
C:主题：测试消息
C:
你好，爱丽丝。
C：这是一条测试消息，消息正文中有5个标题字段和4行。
C:你的朋友，
C:鲍勃
C:。
S:250正常：以12345排队
C:退出
S:221再见

但当收到多封邮件时，情况就变得更复杂了

S: 220 smtp.example.com ESMTP Postfix
C: HELO relay.example.org
C: HELO relay.example.org
S: 250 Hello relay.example.org, I am glad to meet you
C: MAIL FROM:<bob@example.org>
S: 250 Ok
C: RCPT TO:<alice@example.com>
**C2: MAIL FROM:<charliebitme@example.org>**
S: 250 Ok
**C2: RCPT TO:<ouch@example.org>**
C: RCPT TO:<theboss@example.com>
S: 250 Ok
C: DATA
**C2: DATA2
C3: MAIL FROM:<foo@example.org>
C3: RCPT TO:<bar@example.com>**
S: 354 End data with <CR><LF>.<CR><LF>
**C3: DATA3**
C: From: "Bob Example" <bob@example.org>
C: To: "Alice Example" <alice@example.com>
C: Cc: theboss@example.com
C: Date: Tue, 15 Jan 2008 16:02:43 -0500
C: Subject: Test message
C:
C: Hello Alice.
C: This is a test message with 5 header fields and 4 lines in the message body.
C: Your friend,
C: Bob
C: .
S: 250 Ok: queued as 12345
C: QUIT
S: 221 Bye

S:220 smtp.example.com ESMTP后缀
C:HELO relay.example.org
C:HELO relay.example.org
S:250你好，relay.example.org，很高兴认识你
C:邮寄地址：
S:250好的
C:RCPT至：
**C2：邮寄地址：**
S:250好的
**C2:RCPT至：**
C:RCPT至：
S:250好的
C:数据
**C2：数据2
C3：邮寄地址：
C3:RCPT至：**
S:354结束数据与。
**C3：数据3**
C:摘自：“鲍勃的例子”
C:致：“爱丽丝的例子”
C:Cc:theboss@example.com
C:日期：2008年1月15日星期二16:02:43-0500
C:主题：测试消息
C:
你好，爱丽丝。
C：这是一条测试消息，消息正文中有5个标题字段和4行。
C:你的朋友，
C:鲍勃
C:。
S:250正常：以12345排队
C:退出
S:221再见

那么我如何确定哪个数据包属于C，C1，C2。或者谁在给你发邮件ouch@example.org使用wireshark？

尝试创建TCP（TCP.port、TCP.srcport或TCP.dstport）或IP（IP.addr、IP.src或IP.dst）筛选器。使用这种过滤器，您应该只能提取一个连接。

但我想记录这些条目。例如，1.2.3.4 ip从x@y.com到a@b.com. 2.3.4.5通过ip发送邮件aa@bb.com到cc@dd.com. 因此，我无法应用ip筛选器，因为我希望捕获所有ip地址。当然，我使用端口过滤器只显示smtp流量，您应该捕获所有内容，但在此之后，当您要分析捕获时，只需创建一些临时文件管理器规则来区分每个smtp连接。对于您的示例，这可能是这样的：“smtp&&ip.addr==1.2.3.4”和第二个文件TR：“smtp&&ip.addr==2.3.4.5”