譯文 SMTP服務(wù)擴(kuò)展的認(rèn)證機(jī)制這個文檔詳細(xì)說明了因特網(wǎng)團(tuán)體的一個標(biāo)準(zhǔn)的協(xié)議的發(fā)展，以及對其改進(jìn)和建議提出了要求說到這，為了標(biāo)準(zhǔn)化這個協(xié)議的狀態(tài)和地位，就必須提及目前最新的“Internet 官方協(xié)議的標(biāo)準(zhǔn)”(STD1)發(fā)送這個文檔是不受限制的版權(quán)須知版權(quán)所有－1999年 Internet 團(tuán)體所有權(quán)利將得到保留1 簡介這個文檔定義了SMTP服務(wù)的擴(kuò)展（ESMTP）并且說明了一個SMTP客戶端可以為服務(wù)器指定一種用來執(zhí)行與認(rèn)證協(xié)議的交換，并且隨意地穿越并發(fā)的協(xié)議之間交互的安全層的認(rèn)證機(jī)制這個擴(kuò)展是“簡單認(rèn)證和安全層”[SASL]的一個側(cè)面2 這個文檔用到的協(xié)定在以下的這些例子中，C和S分別表示客戶端和服務(wù)器諸如MUST", "MUST NOT", "SHOULD", "SHOULD NOT", and "MAY"這些關(guān)鍵性的單詞被可以看作和“用在RFC文檔中用來標(biāo)示必須的級別的關(guān)鍵字” [KEYWORDS]相同的解釋3 認(rèn)證服務(wù)的擴(kuò)展SMTP服務(wù)擴(kuò)展的名稱是 "Authentication"聯(lián)合這個擴(kuò)展的EHLO關(guān)鍵字的值是“AUTH“(3)AUTH EHLO關(guān)鍵字 是一個有空格間隔的被SASL機(jī)制支持的名字列表的參數(shù)(4)一個新的SMTP動詞“AUTH“定義完成。

5)用在關(guān)鍵字“AUTH“的一個可選的參數(shù)被附加到MAIL FROM命令里，用來指定MAIL FROM命令一行的最大長度不能超過500個字符6) 此擴(kuò)展和委托協(xié)議兼容4 AUTH命令A(yù)UTH機(jī)制[初始化響應(yīng)]觀點(diǎn)：用來標(biāo)識SASL認(rèn)證機(jī)制的一個字符串可選的Base64編碼的一個響應(yīng)約束：再成功發(fā)出了一個AUTH命令之后，在同一時間段里不能再執(zhí)行其他的AUTH命令在成功執(zhí)行了一個AUTH命令之后，服務(wù)器必須拒絕后來的AUTH命令并且返回一個503響應(yīng)碼在處理一個郵件事務(wù)期間，服務(wù)器不會再接受AUTH命令討論：AUTH命令顯示了一種和郵件服務(wù)器間的安全認(rèn)證機(jī)制 如果郵件服務(wù)器支持這種認(rèn)證機(jī)制，它就會執(zhí)行一個認(rèn)證協(xié)議交互來認(rèn)證并識別郵件用戶作為可選的情況，他也會忽略這以后后協(xié)議交互的一個安全層如果服務(wù)器并不支持所需要的認(rèn)證協(xié)議，就會用504的回答來拒絕這個AUTH命令這種認(rèn)證機(jī)制的交互由一些列的服務(wù)器的響應(yīng)和對認(rèn)證機(jī)制來說的一些特殊的回答來組成服務(wù)器的正確響應(yīng)，不同于其他的響應(yīng)的是針對文本部分采用Base64編碼以334做為回應(yīng)的客戶端的回應(yīng)是一個包含Base64編碼的字符串的隊列如果客戶端想取消與服務(wù)器的認(rèn)證交互，就執(zhí)行一個單個的“*”。

如果服務(wù)器接到這樣一個回應(yīng)，就通過發(fā)送一個501的響應(yīng)來拒絕執(zhí)行AUTH命令對AUTH命令來說，可選的初始化響應(yīng)建議是用來在使用認(rèn)證機(jī)制時保持一個往返的回程,認(rèn)證機(jī)制的定義中此建議不發(fā)送任何數(shù)據(jù)當(dāng)初始化響應(yīng)部分用在這種機(jī)制時，開始的空的發(fā)起命令不被送到客戶端，并且服務(wù)器端使用的數(shù)據(jù)也好象是發(fā)送來 響應(yīng)一個空的命令它發(fā)送一個零長度的初始化回答作為一個"="符號如果客戶端 在認(rèn)證機(jī)制的AUTH命令響應(yīng)中使用初始化建議，客戶端就在初始化命令中發(fā)送響應(yīng)的 數(shù)據(jù)，服務(wù)器端用535回答來拒絕AUTH命令如果服務(wù)器不能對發(fā)送來的命令采用Base64解碼的話，將拒絕執(zhí)行Auth命令，并返回501響應(yīng)如果服務(wù)器拒絕認(rèn)證的數(shù)據(jù)，服務(wù)器應(yīng)該拒絕執(zhí)行并返回一個535響應(yīng)碼除非有更詳細(xì)的錯誤代碼，例如在Section 6列出來的那個如果客戶端和服務(wù)器進(jìn)行了正確的交互的操作的話，SMTP服務(wù)器將發(fā)出一個235響應(yīng)碼詳細(xì)說明這個SASL側(cè)面的服務(wù)器的名稱是”SMTP“如果SASL認(rèn)證交互穿越了一個安全層，將會通過一個有用來中止認(rèn)證交互的CRLF來產(chǎn)生效果，而服務(wù)器也通過一個CRLF做出正確的響應(yīng)。

在服務(wù)器的安全層生效之前，SMTP協(xié)議被重置到初始狀態(tài)（SMTP中的狀態(tài)是服務(wù)器發(fā)出了一個220服務(wù)的問候之后）服務(wù)器MUST命令將拋棄所有的不是通過客戶端而得到的認(rèn)知，比如不是通過SASL本身而獲得認(rèn)知的EHLO命令的論點(diǎn)客戶端的MUST命令將拋棄所有的從服務(wù)器獲得的認(rèn)知，例如不是通過SASL本身而獲得的SMTP服務(wù)擴(kuò)展的隊列客戶端的SHOULD在SASL商議成功之后，發(fā)出一個EHLO命令做為第一個命令，這些將使得安全層得到授權(quán)服務(wù)器不一定要求支持任何的認(rèn)證機(jī)制，而認(rèn)證機(jī)制也不一定要支持所有的安全層如果一個AUTH命令失敗了，客戶端將試圖執(zhí)行另一個認(rèn)證機(jī)制的AUTH命令一個Base64編碼的字符串通常來說是沒有長度限制的只要由認(rèn)證機(jī)制產(chǎn)生的受客戶端和服務(wù)器支持的命令和響應(yīng)，客戶端和服務(wù)器端必須支持，而不依賴于服務(wù)器或者客戶端的、可能存在于協(xié)議實現(xiàn)的某些方面的行長度的限制例如：Examples:S: 220 smtp.example.com ESMTP server readyC: EHLO jgm.example.comS: 250-smtp.example.comS: 250 AUTH CRAM-MD5 DIGEST-MD5C: AUTH FOOBARS: 504 Unrecognized authentication type.C: AUTH CRAM-MD5S: 334PENCeUxFREJoU0NnbmhNWitOMjNGNndAZWx3b29kLmlubm9zb2Z0LmNvbT4=C: ZnJlZCA5ZTk1YWVlMDljNDBhZjJiODRhMGMyYjNiYmFlNzg2ZQ==S: 235 Authentication successful.5. AUTH命令的參數(shù)附加到的MAIL FROM命令A(yù)UTH=addr-spec參數(shù)： 一個包含標(biāo)志的被提交給傳送系統(tǒng)的addr-spec，或者是兩個字符組成的序列"<>" ,表明這個標(biāo)志是未知的或被驗明為不完成的。

討論：AUTH中一個可選的參數(shù)的MAIL FROM 命令允許一個協(xié)同工作的代理與一單獨(dú)的消息就行通信在一個被信任的環(huán)境里如果服務(wù)器認(rèn)為最初提交消息的Addr－dec的客戶端是可信任的話，將會發(fā)出一個聲明，接著服務(wù)器應(yīng)當(dāng)提供一個相同的addr－dec給任何其他支持AUTH擴(kuò)展的用來中轉(zhuǎn)消息的服務(wù)器如果MAIL FROM命令中那個可選的AUTH命令的參數(shù)沒有得到提供的話，而客戶端已經(jīng)得到認(rèn)證，那么服務(wù)器認(rèn)為消息是由客戶端提交的原始的信息，那么在中轉(zhuǎn)給其他的中繼服務(wù)器的時候，當(dāng)前服務(wù)器就會把a(bǔ)ddr－dec做為Auth命令的可選的參數(shù)提供給其它的服務(wù)器如果服務(wù)器不是充分的相信客戶端的身份或者客戶端并沒有得到認(rèn)證的話，那么服務(wù)器必須自己提供AUTH命令的那個參數(shù)一個值并且將這個值寫入到日志文件中如果AUTH命令的可選的參數(shù)已經(jīng)提供了的話，不管是明確的提出還是由于前面段落的需要，服務(wù)器應(yīng)當(dāng)提供這個參數(shù)給任何其他支持AUTH擴(kuò)展的用來中轉(zhuǎn)消息的服務(wù)器服務(wù)器將把郵件列表的擴(kuò)充視為一個新的任務(wù)，AUTH命令加入到郵件地址列表中，或者在中轉(zhuǎn)這些消息到列表簽署者的時候管理郵件列表為了一致，在一個執(zhí)行很難被編碼的時候，服務(wù)器將認(rèn)為所有的這些客戶端都是不可信任的。

在這種情況下，服務(wù)器能做的僅僅就是解析有效的AUTH命令的參數(shù)，并把它提供給任所有使用AUTH擴(kuò)展的認(rèn)證機(jī)制的服務(wù)器，并遺棄無效的參數(shù)例如：C: MAIL FROM: AUTH=e+3Dmc2@example.comS: 250 OK6 錯誤代碼以下的錯誤代碼常常用來描述和標(biāo)識各種情況432 需要進(jìn)行密碼的轉(zhuǎn)換這個響應(yīng)碼表示，對于服務(wù)器的認(rèn)證機(jī)制來講，用戶必須進(jìn)行一個轉(zhuǎn)換比較由代表性的就是一旦你使用了PLAIN認(rèn)證機(jī)制的話，就必須進(jìn)行轉(zhuǎn)換534 認(rèn)證機(jī)過于簡單這個響應(yīng)碼表示的是選擇的認(rèn)證機(jī)制相對于服務(wù)器所允許的認(rèn)證機(jī)制來說顯得太弱了538 請求的認(rèn)證機(jī)制需要加密這個響應(yīng)碼表示的是所選的認(rèn)證機(jī)制只有在SMTP連接是需要加密的情況下才用的著454 暫時的認(rèn)證失敗這個響應(yīng)碼表示的是認(rèn)證失敗的原因是由于服務(wù)器暫時出現(xiàn)問題530 認(rèn)證是必須的除了AUTH，EHLO，HELO，NOOP，RESET或者QUIT這幾個命令之外的任何一個命令，都將返回這個響應(yīng)碼這表示服務(wù)器需要為了執(zhí)行被請求的操作，需要一個認(rèn)證7 正規(guī)的語法以下的用在擴(kuò)展的BNF符號和用在ABNF中的語法的規(guī)格是一樣的。

除了那些被標(biāo)注的以外，所有的按字母順序排列的特征都是適合于固定場合的排在上面的或者下面的被用來定義為有象征意義的字符串的用處僅僅是為了編輯時的便利以及清晰執(zhí)行這些必須在以固定的格式在一定的場合來接受這些字符串UPALPHA = %x41-5A ;; Uppercase: A-ZLOALPHA = %x61-7A ;; Lowercase: a-zALPHA = UPALPHA / LOALPHA ;; case insensitiveDIGIT = %x30-39 ;; Digits 0-9HEXDIGIT = %x41-46 / DIGIT ;; hexidecimal digit (uppercase)hexchar = "+" HEXDIGIT HEXDIGITxchar = %x21-2A / %x2C-3C / %x3E-7E;; US-ASCII except for "+", "=", SPACE and CTLxtext = *(xchar / hexchar)AUTH_CHAR = ALPHA / DIGIT / "-" / "_"auth_type = 1*20AUTH_CHARauth_command = "AUTH" SPACE auth_type [SPACE (base64 / "=")]*(CRLF [base64]) CRLFauth_param = "AUTH=" xtext;; The decoded form of the xtext MUST be either;; an addr-spec or the two characters "<>"base64 = base64_terminal /( 1*(4base64_CHAR) [base64_terminal] )base64_char = UPALPHA / LOALPHA / DIGIT / "+" / "/";; Case-sensitivebase64_terminal = (2base64_char "==") / (3base64_char "=")continue_req = "334" SPACE [base64] CRLFCR = %x0C ;; ASCII CR, carriage returnCRLF = CR LFCTL = %x00-1F / %x7F ;; any ASCII control character and DELLF = %x0A ;; ASCII LF, line feedSPACE = %x20 ;; ASCII SP, space9 安全問題考慮如果客戶端使用這個擴(kuò)展得到不加密的渠道但是通過一個不安全的網(wǎng)絡(luò)連接到協(xié)同工作的服務(wù)器的話，客戶端將被阻斷而永遠(yuǎn)不能發(fā)送郵件到服務(wù)器，當(dāng)服務(wù)器不能夠互助地進(jìn)行驗證和加密的時候。

否則，攻擊者將會通過截斷SMTP的連接而偷。