python - Flask 邮件安全不符合 Microsoft Outlook 的安全要求？

Question

我们有一个向客户端发送电子邮件的 Web 应用程序，该 Web 应用程序使用 Flask 邮件框架来处理。大约 2 周前，我们的 Web 应用程序无法向客户和我们自己的团队发送电子邮件。我们使用 Office 365 的 Outlook 作为我们的发件人。

Remote Server returned '554 5.6.0 Corrupt message content; STOREDRV.Deliver.Exception:ConversionFailedException; Failed to process message due to a permanent exception with message Content conversion: Corrupt summary TNEF content. ConversionFailedException: Content conversion: Corrupt summary TNEF content. [Stage: PromoteCreateReplay]' Original message headers:

这是发件人在被指示发送电子邮件后收到的错误消息。我们联系了我们的 Office 365 管理员，Microsoft 告诉他我们的 Web 应用程序的安全性不符合 Microsoft 的要求/协议(protocol)。

问题是 Flask 邮件是否使用旧的安全协议(protocol)或配置不能很好地与 Microsoft Outlook 一起工作？

Answer 1

Outlook.com/Office365 错误消息没有多大帮助，因为它可以指示任何数量的问题。它表明 Microsoft 邮件服务器对电子邮件打包的某些方面( header 、附件等)不满意，并且它们的解析器在某处出错。他们的错误消息在提供的细节方面几乎毫无用处。我认为这是一个安全问题的断言是无稽之谈； Flask-Mail 使用经过充分测试的 Python 标准库 email 和 smtplib 包通过 TLS 加密连接发送电子邮件。

对于 Heroku 上的 Flask-Mail，我将问题追溯到 Heroku Dyno 机器上生成的 Message-ID header 。该问题不仅限于 Heroku，但是，您会在任何具有长主机名 的主机上看到此问题。您典型的 Heroku dyno 主机名以完整的 UUID 开头，再加上另外 5 个左右的组件，例如aaf39fce-569e-473a-9453-6862595bd8da.prvt.dyno.rt.heroku.com。

此主机名用于为每封电子邮件生成的 Message-ID header 。 Flask-Mail 包使用标准 email.utils.make_msgid() function生成 header ，默认情况下使用当前主机名。然后这会产生一个 Message-ID header ，例如:

Message-ID: <154810422972.4.16142961424846318784@aaf39fce-569e-473a-9453-6862595bd8da.prvt.dyno.rt.heroku.com>

这是一个 110 个字符长的字符串。这对于电子邮件 header 来说是一个小问题，因为电子邮件 RFC 声明 header 应该限制为 78 个字符。但是，有一些方法可以解决这个问题；对于超过 77 个字符的 header 值，您可以使用 RFC 5322 中的规定折叠 标题。折叠可以使用多个RFC 2047 在多行上编码单词。这就是这里发生的事情，上面的电子邮件标题变成了

Message-ID: =?utf-8?q?=3C154810422972=2E4=2E16142961424846318784=40aaf39fce-?=
 =?utf-8?q?569e-473a-9453-6862595bd8da=2Eprvt=2Edyno=2Ert=2Eheroku=2Ecom=3E?=

其中 78 和 77 个字符现在符合电子邮件 MIME 标准。

在我看来，所有这些都符合标准，并且是处理邮件 header 的有效方法。或者至少是其他邮件提供商可以容忍并正确处理的东西，但 Microsoft 的邮件服务器没有这个。他们真的不喜欢上面的 RFC2047 编码的 Message-ID header ，并尝试将正文包装在 TNEF winmail.dat 附件中。这并不总是有效，所以您最终会收到非常神秘的 554 5.6.0 Corrupt message content 错误消息。我认为这是一个 Microsoft 错误；我不能 100% 确定电子邮件 RFC 是否允许使用编码字折叠 Message-ID header ，但 MS 通过向收件人发送无意义的错误而不是在接收时拒绝邮件来处理错误是非常糟糕的。

您可以设置替代项 email policy通过将 flask_mail.message_policy 模块设置为全局来使用 Flask-Mail，或者我们可以生成不同的消息 ID。

电子邮件策略仅在您使用 Python 3.3 或更高版本时可用，但它是处理折叠的策略对象，因此允许我们更改 Message-ID 和其他 RFC 5322 标识符 header 的处理方式。这是一个不会折叠 Message-ID header 的子类；该标准实际上允许单行最多 998 个字符，并且此子类仅针对此 header 使用该限制:

import flask_mail
from email.policy import EmailPolicy, SMTP

# Headers that contain msg-id values, RFC5322
MSG_ID_HEADERS = {'message-id', 'in-reply-to', 'references', 'resent-msg-id'}

class MsgIdExcemptPolicy(EmailPolicy):
    def _fold(self, name, value, *args, **kwargs):
        if (name.lower() in MSG_ID_HEADERS and
            self.max_line_length < 998 and
            self.max_line_length - len(name) - 2 < len(value)
        ):
            # RFC 5322, section 2.1.1: "Each line of characters MUST be no
            # more than 998 characters, and SHOULD be no more than 78
            # characters, excluding the CRLF.". To avoid msg-id tokens from being folded
            # by means of RFC2047, fold identifier lines to the max length instead.
            return self.clone(max_line_length=998)._fold(name, value, *args, **kwargs)
        return super()._fold(name, value, *args, **kwargs)

flask_mail.message_policy = MsgIdExcemptPolicy() + SMTP

在 Python 2.7 或 Python 3.2 或更早版本上，您将不得不求助于替换 Message-Id header ，只需使用硬编码域名重新生成 header :

from flask import current_app
from flask_mail import Message as _Message

# set this to your actual domain name
DOMAIN_NAME = 'example.com'

class Message(_Message):
    def __init__(self, *args, **kwargs):
        super().__init__(*args, **kwargs)
        # work around issues with Microsoft Office365 / Outlook.com email servers
        # and their inability to handle RFC2047 encoded Message-Id headers. The
        # Python email package only uses RFC2047 when encoding *long* message ids,
        # and those happen all the time on Heroku, where the hostname includes a
        # full UUID as well as 5 more components, e.g.
        # aaf39fce-569e-473a-9453-6862595bd8da.prvt.dyno.rt.heroku.com
        # The work-around is to just use our own domain name, hard-coded, but only
        # when the message-id length exceeds 77 characters (MIME allows 78, but one
        # is used for a leading space)
        if len(self.msgId) > 77:
            domain = current_app.config.get('MESSAGE_ID_DOMAIN', DOMAIN_NAME)
            self.msgId = make_msgid(domain=domain)

然后您将使用上面的 Message 类而不是 flask_mail.Message() 类，它会生成一个更短的 Message-ID header ，不会不会与 Microsoft 有问题的 header 解析器发生冲突。

我提交了 a bug report with the Python project跟踪 msg-id token 的处理，因为我怀疑这真的应该在那里解决。