TNEF ​

Transport-Neutral Encapsulation Format 是一种 Microsoft 专有格式，用于承载无法映射到标准消息协议的附加消息信息。例如，这可能包括 Rich Text Formatting、会议请求详情和附加附件信息（例如文本中的位置）。不过，TNEF 也可以封装所有其他消息附件——因此你可以附加多个文档，但如果查看生成的消息，只会看到一个名为 winmail.dat 的附件。

历史 ​

自 Microsoft Mail 3.x 起，TNEF 就被用于在 TNEF attributes 中传输额外信息。此后，Microsoft 转向 MAPI properties，一些原始 TNEF attributes 现在可以直接映射到 MAPI property。不过，为保持向后兼容性，TNEF 仍然使用 attributes，并提供一个特定的 TNEF attribute，所有 MAPI properties 都可以放入其中。

协议依赖 ​

• IMF：通常，TNEF 承载在 IMF Internet message 中。

• MIME_multipart：TNEF 作为 media type "application/ms-tnef" 并命名为 "winmail.dat"，承载在 MIME 中。

• X420：TNEF 也可以作为特定 bodypart 承载在 X420 message 中，其 OID 为 "1.2.840.113556.3.10.1"。

示例流量 ​

XXX - 在此添加该协议的示例解码流量（纯文本或 Wireshark 截图）。

Wireshark ​

TNEF dissector 部分可用，因为找不到某些 TNEF attributes 的示例抓包。不过，该 dissector 应能够处理所有 TNEF attributes，尽管可能无法进一步解析它们。

首选项设置 ​

TNEF 协议没有首选项设置。

示例抓包文件 ​

该示例抓包文件包含一个带有两个附件的 TNEF 附件：

• SampleCaptures/sample-TNEF.pcap.gz

你需要将端口 587 “Decode As”为 SMTP，因为该抓包不是在标准端口 25 上完成的。

为了抓取 TNEF，你应确保收件人的 "Internet format" 为 "Send using Outlook Rich Text Format"，并且消息的 "Format"（菜单）为 "Rich Text"。

显示过滤器 ​

完整的 TNEF 显示过滤器字段列表可在显示过滤器参考中找到

仅显示基于 TNEF 的流量：

 tnef

抓包过滤器 ​

抓包时不能直接过滤 TNEF 协议。TNEF 通常通过 SMTP 或 X411 message transport 承载，因此如果你知道所使用的 TCP 端口，可以按该端口过滤。

仅抓取通过默认端口（25）上的 SMTP transport 承载的 TNEF 流量：

 tcp port 25

外部链接 ​

• TNEF Transport-Neutral Encapsulation Format

讨论 ​

Imported from https://wiki.wireshark.org/TNEF on 2020-08-11 23:26:43 UTC

相关 Wireshark Wiki 页面 ​

• Wireshark Wiki 首页Home · 入门与使用
• IMFIMF · 全量归档
• MIME_multipartMIME_multipart · 全量归档
• SMTPSMTP · 协议参考
• TCPTCP · 协议参考
• X411X411 · 全量归档
• X420X420 · 全量归档