1、前言

　要在Internet上提供电子邮件功能，必须有专门的电子邮件服务器。通过邮件钓鱼行为进行投递是一种较为主流的方式，通过对流量的抓包总有些异常的情况。

2、邮件传输协议基础

2.1、SMTP协议

　　用户连接上邮件服务器之后，要想给它发送一封电子邮件，需要遵循一定的通讯规则，SMTP协议就是用来定义这种通讯规则的。因此，我们通常也把处理用户smtp请求(邮件发送请求)的服务器称之为SMTP服务器(邮件发送服务器)。

2.2、POP3协议

　　同样，用户若想从邮件服务器管理的电子邮箱当中接收一封电子邮件话，它连上邮件服务器后，也要遵循一定的通讯格式，POP3协议就是用来定义这种通讯格式的。因此，我们通常也把处理用户pop3请求(邮件接收请求)的服务器称之为POP3服务器(邮件接收服务器)。

2.3、电子邮件的发送和接收过程

　　通过一张图来说明一封邮件的发送和接收过程，如下图所示：

　　简单说一下这个邮件收发过程：

　　1、xdp@sohu.com 用户写好一封Email发送到sohu的Smtp服务器。对应于上图的步骤①

　　2、sohu的Smtp服务器开始处理xdp@sohu.com 用户的请求，它会根据收件人的地址判断，当前收件人是不是自己管辖的用户，如果是，就直接将Email存放到为该收件人的分配的邮箱空间当中。sohu的Smtp服务器判断收件人地址发现，这一封Email的收件人gacl@sina.com 是Sina的邮件服务器管理的，于是又将Email转发给Sina的Smtp服务器。对应于上图的步骤②

　　3、Sina的Smtp服务器开始处理sohu的Smtp服务器发送过来的Email，Sina的Smtp服务器根据收件人的地址判断，发现收件人自己管辖的用户，于是就直接将Email存放到为gacl@sina.com 用户的分配的邮箱空间当中。对应于上图的步骤③。

　　4、xdp@sohu.com 用户将邮件发出去之后，就通知gacl@sina.com 用户去收取。gacl@sina.com 用户于是就连接上Sina的POP3服务器收取邮件，对应于上图的步骤④。

　　5、POP3服务器从gacl@sina.com 用户的邮箱空间当中取出Email，对应于步骤⑤。

　　6、POP3服务器将取出来的Email发给gacl@sina.com 用户，对应于步骤⑥。

3、监测常见问题

更需要关注的是邮件服务器的本身安全问题，但是很多时候也会出现某些服务器外联的情况，并不是由于被控制而是多种原因。

• 伪造邮件收件人

• 退信请求

4、参考

邮件发送和接收原理

http://blog.csdn.net/qq_15646957/article/details/52544099

邮件那些事4—浅析伪造发信人的原理与识别

http://blog.csdn.net/ccc7560673/article/details/49306699