本備忘錄狀態(tài)
ThisdocumentspecifiesanInternetstandardstrackPRotocolforthe
Internetcommunity,andrequestsdiscussionandsuggestionsfor
improvements.Pleaserefertothecurrenteditionofthe"Internet
OfficialProtocolStandards"(STD1)forthestandardizationstate
andstatusofthisprotocol.Distributionofthismemoisunlimited.
版權(quán)聲明
Copyright(C)TheInternetSociety(1998).AllRightsReserved.
1.介紹

[POP3]是一種廣泛應(yīng)用的郵件傳輸協(xié)議.許多程序都要訪問POP3消息存儲(chǔ)設(shè)備,因此需要了解POP3的配置信息.為了訪問一個(gè)信箱,需要有若干必須的配置單元,所以使用單精度型的字符串表示法是將會(huì)很方便.

一個(gè)POP3郵箱(像[IMAP4]郵箱一樣)是一種網(wǎng)絡(luò)資源,而URLs(全球資源定位)是一種被廣泛支持的網(wǎng)絡(luò)資源的通用的表示方法。

在很多程序和協(xié)議中，一些將一個(gè)POP3信箱指定作為一個(gè)URL的方法的是很有用的.[ACAP]就是是這樣一個(gè)例子,在這里,必須要有一個(gè)對需要用來訪問網(wǎng)絡(luò)服務(wù)的單元的封裝.比如,在ACAP數(shù)據(jù)集中,一個(gè)[IMAP4]消息存儲(chǔ)設(shè)備通常被指定為一個(gè)[IMAP-URL].

這個(gè)備忘錄為涉及到的POP信箱定義了一個(gè)URL方案.

2.在本文當(dāng)中的一些約定.

在本文當(dāng)中,要害字"必須","禁止","應(yīng)該","不宜","可以"和在"確定了必要標(biāo)準(zhǔn)的RFCs(請求注解)中所使用的要害字"[KEYWordS]的解釋相一致.

3.POP方案

POPURL方案指定了一個(gè)POP服務(wù)器,一個(gè)端口號(hào),身份驗(yàn)證機(jī)制,身份驗(yàn)證帳號(hào),以及/或者說是授權(quán)賬號(hào).

除了完全的文本口令顯示不被答應(yīng)以外，POPURL遵循定義在RFC1738[BASIC-URL]通用的Internet方案的文法.假如:<port(端口)>被省略,默認(rèn)端口將會(huì)是110.

下面是一個(gè)POPURL通常的格式:

pop://<user>;auth=<auth>@<host>:<port>

其中,<user(用戶)>,<host(主機(jī))>和<port(端口)>被定義在RFC1738,并且除了"pop://"和<host>,剩下的單元可以被部分或者全部省略.

4.POP用戶名與身份驗(yàn)證機(jī)制

下列元素也許要被提供:對某個(gè)信箱進(jìn)行訪問的授權(quán),用口令來核對的身份驗(yàn)證(為了簡明,這里僅涉及到用戶名),以及驗(yàn)證機(jī)制名.在與POP服務(wù)器連接之后,這些將被用于"USER","APOP","AUTH(身份驗(yàn)證)"[POP-AUTH]或者擴(kuò)展命令.假如URL并沒有提供一個(gè)驗(yàn)證標(biāo)識(shí)符,那么解釋POPURL的程序'應(yīng)該'從用戶那里請求一個(gè)這樣的標(biāo)識(shí)符.

一個(gè)身份驗(yàn)證機(jī)制,能夠通過增加";AUTH=<enc-auth-type>(已編碼的身份驗(yàn)證類型)"到用戶名末端而表述出來.假如驗(yàn)證機(jī)制名的前面沒有一個(gè)"+",它就是一個(gè)SASLPOP[SALS]機(jī)制.假如驗(yàn)證機(jī)制明前面有一個(gè)"+",它要么就是"APOP",要么就是一個(gè)擴(kuò)展機(jī)制.

當(dāng)一個(gè)<enc-auth-type>被指定以后,客戶端'應(yīng)該'請求來自那個(gè)機(jī)制的合適的證書,并且使用"AUTH","APOP"或者擴(kuò)展命令來替代"USER"命令.假如沒有用戶名被指定,'應(yīng)該'從這個(gè)機(jī)制獲取或者向用戶請求一個(gè)合適的用戶名.

字符串";AUTH=*"指示出客戶端'應(yīng)該'選擇一個(gè)合適的身份驗(yàn)證機(jī)制,它'可以'是被POP服務(wù)器支持的任何機(jī)制.

假如一個(gè)不用同于"AUTH=*"<enc-auth-type>被指定,客戶端"不宜"使用一種沒有明確用戶答應(yīng)的不同機(jī)制.

假如一個(gè)用戶名沒有包括身份驗(yàn)證機(jī)制,那么將默認(rèn)";ATUH=*".

因?yàn)閁RLs可能來自于一個(gè)非置信信息源,所以當(dāng)解析一個(gè)需要或者請求任何有某種程度的身份驗(yàn)證的URL的時(shí)候,我們必須非凡的小心.假如身份驗(yàn)證證書是由錯(cuò)誤的服務(wù)器所提供,那也許會(huì)損害用戶賬號(hào)的安全.在這種情況下,解析URL的程序應(yīng)當(dāng)確信符合至少一個(gè)以下的準(zhǔn)則:

(1)URL來自于一個(gè)可信賴的信息源,比如一個(gè)已經(jīng)被客戶所驗(yàn)證的指定的服務(wù)器.并且客戶總是信任這個(gè)站點(diǎn)的政策.注重能否確認(rèn)URL的用戶入口是一個(gè)可信賴的信息源,依靠于用戶的經(jīng)驗(yàn)和站點(diǎn)政策.

(2)明確的本地站點(diǎn)政策答應(yīng)客戶端連接到URL上的服務(wù)器.舉個(gè)例子,假如客戶知道這個(gè)站點(diǎn)的域名,站點(diǎn)政策也許會(huì)指出任何以這個(gè)域名結(jié)束的主機(jī)名都是可信任的.

(3)用戶確認(rèn)連接到那個(gè)有指定證書或者驗(yàn)證機(jī)制的域名是答應(yīng)的.

(4)在通過一個(gè)潛在的可能泄密的客戶證書之前,使用某種驗(yàn)證機(jī)制來驗(yàn)證服務(wù)器.

(5)因?yàn)槟承┓?wù)器可能會(huì)危及將來的連接的安全,所以使用某種不會(huì)像那種服務(wù)器暴露信息的身份驗(yàn)證機(jī)制.

一個(gè)包含著";AUTH=*"字樣的URL應(yīng)該引起非凡的注重,因?yàn)樵谶@樣的情況下,這個(gè)URL可能依靠于一種脆弱的安全機(jī)制.最終,客戶會(huì)因?yàn)閮H僅依靠一種有";ATUH=*"字樣的簡易文本密碼而失望,除非這個(gè)連接有強(qiáng)大的加密算法(比如一個(gè)超過56比特長度的密鑰).

注重,諸如""(空格)或者";"(分號(hào))等不安全的字符或者保留字,假如它們出現(xiàn)在用戶名或者身份驗(yàn)證機(jī)制中,那他們必須按照RFC1738[BASIC-URL]所描述得來編碼.

5.相對性POPURLs

相對性的POPURLs被禁止.

6.跨國問題

因?yàn)樵赨RLs中不答應(yīng)使用8-bit字符，所以在必要的時(shí)候,[UTF8]字符將按照URL的規(guī)范來編碼.

7.樣例

以下的例子示范了一個(gè)POP客戶端程序如何將各種各樣的POPURLs轉(zhuǎn)換成一系列的POP命令.從客戶端發(fā)送到服務(wù)器的命令被賦予前綴"C:",從服務(wù)器發(fā)送到客戶端的響應(yīng)被賦予前綴"S:".

樣例URL:

<pop://rg@mailsrv.qualcomm.com>

產(chǎn)生以下客戶端命令:

<請求用戶口令>
<連接到mailsrv.qualcomm.com,端口110>
S:+OKPOP3serverready(服務(wù)器待命)
<1896.697170952@mailsrv.qualcomm.com>
C:USERrg
S:+OK
C:PASSsecret(口令通過)
S:+OKrg'smailboxhas2messages(信箱中有兩條消息)(320octets(字節(jié)))

樣例URL:

<pop://rg;AUTH=+APOP@mail.eudora.com:8110>

產(chǎn)生以下客戶端命令.

<客戶端請求用戶口令>
<連接到mail.eudora.com,端口8110>
S:+OKPOP3serverready<1896.697170952@mail.eudora.com>
C:APOPrgc4c9334bac560ecc979e58001b3e22fb
S:+OKmailboxhas1message(369octets)

樣例URL:

<pop://baz;AUTH=SCRAM-md5@foo.bar>

產(chǎn)生以下客戶端命令:

<連接到foo.bar,端口110>

S:+OKPOP3<serverready1896.697170952@foo.bar>
C:AUTHSCRAM-MD5
AGNocmlzADx0NG40UGFiOUhCMEFtL1FMWEI3MmVnQGVsZW
Fub3IuaW5ub3NvZnQuY29tPg==
S:+dGVzdHNhbHQBAAAAaW1hcEBlbGVhbm9yLmlubm9zb2Z0LmNvbQBq
aGNOWmxSdvBiemlGcCt2TFYrTkN3
C:AQAAAMg9jU8CeB4KOFk7sUhSQPs=
S:+U0odqYw3B7XIIW0oSz65OQ==
C:
S:+OKmailboxhas1message(369octets)

8.POPURL方案的ABNF(縮略語)
用[ABNF]來描述POPURL方案:

achar=UChar/"&"/"="/"~"
;見[BASIC-URL]對"uchar"的定義

auth=";AUTH="("*"/enc-auth-type)

enc-auth-type=enc-sasl/enc-ext

enc-ext="+"("APOP"/1*achar)
;APOP或者已編碼的擴(kuò)充機(jī)制名

enc-sasl=1*achar
;已編碼的[SASL]"auth_type"版本

enc-user=1*achar
;已編碼的[POP3]信箱版本

pop-url="pop://"sever

sever=[user-auth"@"]hostport
;見[BASIC-URL]對"hostport"的定義

user-auth=enc-user[auth]
9.安全問題
在[POP3]規(guī)范中所討論的安全問題和[BASIC-URL]規(guī)范中所討論的安全問題是有關(guān)系的.有關(guān)身份驗(yàn)證的URLs安全問題已經(jīng)在本文檔的第四節(jié)討論過.

許多電子郵件客戶端軟件在第一次登錄到POP服務(wù)器以后,為用戶存儲(chǔ)了簡單的文本口令以便用戶下次登錄.在沒有用戶明確許可對指定的主機(jī)名提供相應(yīng)的口令的情況下,這樣的客戶端軟件必須'禁止'用被存儲(chǔ)的口令來響應(yīng)一個(gè)POPURL.
10.背景知識(shí)
這篇文檔大量借用了ChrisNewman's[IMAP-URL]規(guī)范,并且力爭符合[URL-GUIDELINES]中的參考說明.

11.參考文獻(xiàn)

[ANBF]Crocker,D.,andP.Overell,"AugmentedBNFfor
SyntaxSpecifications:ABNF",RFC2234,November
1997.

[ACAP]Newman,C.,andJ.Myers,"ACAP--application
ConfigurationaccessProtocol",RFC2244,November
1997.

[BASIC-URL]Berners-Lee,T.,Masinter,L.,andM.McCahill,
"UniformResourceLocators(URL)",RFC1738,
December1994.

[IMAP-URL]Newman,C.,"IMAPURLScheme",RFC2192,September1997.

[IMAP4]Crispin,M.,"InternetMessageAccessProtocol-
Version4rev1",RFC2060,December1996.

[KEYWORDS]Bradner,S.,"KeywordsforuseinRFCstoIndicate
RequirementLevels",BCP14,RFC2119,March1997.

[POP-AUTH]Myers,J.,"POP3AUTHenticationcommand",RFC1734,
December1994.

[POP3]Myers,J.,andM.Rose,"PostOfficeProtocol--
Version3",STD53,RFC1939,May1996.

[SASL]Myers,J.,"SimpleAuthenticationandSecurityLayer
(SASL)",RFC2222,October1997.

[URL-GUIDELINES]Masinter,Alvestrand,Zigmond,"Guidelinesfornew
URLSchemes",WorkinProgress.

[UTF8]Yergeau,F.,"UTF-8,atransformationformatofISO
10646",RFC2279,January1998.

12．作者地址：
RandallGellens
QUALCOMM,Incorporated
6455LuskBlvd.
SanDiego,CA92121-2779
U.S.A.

Phone:+16196515115
Fax:+16196515334
EMail:Randy@Qualcomm.Com
13．完整版權(quán)聲明：
Copyright(C)TheInternetSociety(1998).AllRightsReserved.

Thisdocumentandtranslationsofitmaybecopiedandfurnishedto
others,andderivativeworksthatcommentonorotherwiseeXPlainit
orassistinitsimplementationmaybeprepared,copied,published
anddistributed,inwholeorinpart,withoutrestrictionofany
kind,providedthattheabovecopyrightnoticeandthisparagraphare
includedonallsuchcopiesandderivativeworks.However,this
documentitselfmaynotbemodifiedinanyway,suchasbyremoving
thecopyrightnoticeorreferencestotheInternetSocietyorother
Internetorganizations,exceptasneededforthepurpoSEOf
developingInternetstandardsinwhichcasetheproceduresfor
copyrightsdefinedintheInternetStandardsprocessmustbe
followed,orasrequiredtotranslateitintolanguagesotherthan
English.
Thelimitedpermissionsgrantedaboveareperpetualandwillnotbe
revokedbytheInternetSocietyoritssuccessorsorassigns.
Thisdocumentandtheinformationcontainedhereinisprovidedonan
"ASIS"basisandTHEINTERNETSOCIETYANDTHEINTERNETENGINEERING
TASKFORCEDISCLAIMSALLWARRANTIES,EXPRESSORIMPLIED,INCLUDING
BUTNOTLIMITEDTOANYWARRANTYTHATTHEUSEOFTHEINFORMATION
HEREINWILLNOTINFRINGEANYRIGHTSORANYIMPLIEDWARRANTIESOF
MERCHANTABILITYORFITNESSFORAPARTICULARPURPOSE。