Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Eredeti tudásbáziscikk száma: 320027
Ez a cikk azt a viselkedést ismerteti, amely miatt nem tud e-maileket küldeni vagy fogadni, ha egy Exchange-kiszolgáló Cisco PIX vagy Cisco ASA tűzfaleszköz mögött található, és a PIX vagy ASA tűzfalon be van kapcsolva a Mailguard funkció. A PIX vagy ASA tűzfal Mailguard funkciójának kikapcsolásához biztosít lépéseket.
Fontos
Ez a cikk olyan információkat tartalmaz, amelyek bemutatják, hogyan csökkentheti a biztonsági beállításokat, illetve hogyan kapcsolhatja ki a biztonsági funkciókat a számítógépen. Ezeket a módosításokat elvégezheti egy adott probléma megkerüléséhez. Mielőtt végrehajtja ezeket a módosításokat, javasoljuk, hogy értékelje ki azokat a kockázatokat, amelyek ennek a kerülő megoldásnak az adott környezetben való implementálásához kapcsolódnak. Ha implementálja ezt a kerülő megoldást, végezze el a megfelelő további lépéseket a számítógép védelme érdekében.
Jelenségek
Az alábbi viselkedések közül legalább egyet tapasztalhat:
- Nem fogadhat internetalapú e-maileket.
- Mellékleteket tartalmazó e-maileket nem küldhet.
- Nem lehet telnet-munkamenetet létesíteni a Microsoft Exchange-kiszolgálóval a 25-ös porton.
- Amikor EHLO-parancsot küld az Exchange-kiszolgálónak, ismeretlen vagyOK választ kap.
- Adott tartományokban nem tud leveleket küldeni vagy fogadni.
- A Post Office Protocol 3-es verziójának (POP3) hitelesítésével kapcsolatos problémák – Az 550 5.7.1-es verziót a helyi kiszolgáló megtagadta.
- Ismétlődő e-mail-üzenetekkel kapcsolatos problémák (néha öt-hat alkalommal).
- Ismétlődő bejövő SMTP-üzeneteket kap.
- A Microsoft Outlook-ügyfelek vagy a Microsoft Outlook Express-ügyfelek 0x800CCC79 hibát jeleznek az e-mailek küldésekor.
- Vannak problémák a bináris mime (8bitmime). A szöveget egy sikertelen kézbesítésről szóló jelentésben kapja meg: 554 5.6.1 A távoli gazdagép nem támogatja a törzstípust.
- Problémák merülnek fel a hiányzó vagy hiányos mellékletekkel kapcsolatban.
- Az útválasztási csoportok közötti kapcsolatállapot-útválasztással kapcsolatban problémák merülnek fel, ha egy Cisco PIX vagy Cisco ASA tűzfaleszköz van az útválasztási csoportok között.
- Az X-LINK2STATE ige nem lesz átadva.
- Hitelesítési problémák vannak a kiszolgálók között egy útválasztásicsoport-összekötőn keresztül.
A probléma oka
Ez a probléma a következő esetekben fordulhat elő:
- Az Exchange-kiszolgáló egy Cisco PIX vagy Cisco ASA tűzfaleszköz mögött található.
-És-
- A PIX vagy ASA tűzfalon be van kapcsolva a Mailguard funkció.
- A hitelesítési és hitelesítési bejelentkezési parancsokat (Kiterjesztett Simple Mail Transfer Protocol [ESMTP] parancsokat) a tűzfal eltávolítja, így a rendszer úgy gondolja, hogy nem helyi tartományból végzi az átvitelt.
Annak megállapításához, hogy a Mailguard a Cisco PIX vagy a Cisco ASA tűzfalon fut-e, a Telnetet az MX rekord IP-címére, majd ellenőrizze, hogy a válasz a következőhöz hasonló-e:
220*******************************************************0*2******0***********************
2002*******2***0*00
Old versions of PIX or ASA:
220 SMTP/cmap_________________________________________ read
Megjegyzés:
Ha a PIX vagy ASA tűzfal mögött ESMTP-kiszolgáló található, előfordulhat, hogy ki kell kapcsolnia a Mailguard funkciót, hogy a levelek megfelelően áramoljanak. A Telnet-munkamenet 25-ös portra történő létrehozása nem feltétlenül működik a fixup protocol smtp
paranccsal, különösen karaktermódot használó Telnet-ügyféllel.
A Cisco PIX vagy a Cisco ASA tűzfal mellett számos olyan tűzfaltermék is létezik, amely SMTP-proxyképességekkel rendelkezik, amelyek a cikkben korábban említett problémákat okozhatják. Az alábbiakban felsoroljuk azokat a tűzfalgyártókat, amelyek termékei SMTP-proxyfunkciókkal rendelkeznek:
- Watchguard Firebox
- Ellenőrzőpont
- Raptor
További információért látogasson el a "További információk" szakaszban felsorolt webhelyekre.
Megoldás
Figyelmeztetés
Ez a megkerülő megoldás sebezhetőbbé teheti a számítógépet vagy a hálózatot a rosszindulatú felhasználók vagy rosszindulatú szoftverek, például vírusok támadásával szemben. Ezt a kerülő megoldást nem javasoljuk, de ezeket az információkat azért biztosítjuk, hogy ezt a kerülő megoldást saját belátása szerint implementálhassa. Az alábbi megoldást csak saját felelősségére alkalmazhatja.
Megjegyzés:
A tűzfal célja, hogy megvédje a számítógépet a rosszindulatú felhasználók vagy rosszindulatú szoftverek, például a kéretlen bejövő hálózati forgalmat használó vírusok támadásától a számítógép megtámadásához. A tűzfal letiltása előtt le kell választania a számítógépet az összes hálózatról, beleértve az internetet is.
A probléma megoldásához kapcsolja ki a PIX vagy ASA tűzfal Mailguard funkcióját.
Figyelmeztetés
Ha a PIX vagy az ASA mögött ESMTP-kiszolgáló található, előfordulhat, hogy ki kell kapcsolnia a Mailguard funkciót, hogy a levelek megfelelően haladjanak. Ha a Telnet parancsot használja a 25-ös porthoz, előfordulhat, hogy ez nem működik a fixup protokoll SMTP-parancsával, és ez a karaktermódot végrehajtó Telnet-ügyfél esetében észrevehetőbb.
A PIX vagy ASA tűzfal Mailguard funkciójának kikapcsolása:
- Jelentkezzen be a PIX vagy ASA tűzfalra egy telnet-munkamenet létrehozásával vagy a konzol használatával.
- Írja be az engedélyezés szót, majd nyomja le az Enter billentyűt.
- Amikor a rendszer kéri a jelszót, írja be a jelszavát, majd nyomja le az Enter billentyűt.
- Írja be a terminál konfigurálása parancsot, majd nyomja le az Enter billentyűt.
- Írja be a no fixup protocol smtp 25 parancsot, majd nyomja le az Enter billentyűt.
- Írja be az írási memóriát, majd nyomja le az Enter billentyűt.
- Indítsa újra vagy töltse be újra a PIX vagy az ASA tűzfalat.
További információ
A PIX vagy az ASA Software Mailguard szolgáltatás (korábbi verziókban Mailhost néven is ismert) a Simple Mail Transfer Protocol (SMTP) forgalmát szűri. A PIX vagy ASA Software 4.0-s és 4.1-s verziói esetében a parancs a mailhost
Mailguard konfigurálására szolgál. A PIX vagy az ASA Software 4.2-es és újabb verzióiban a fixup protocol smtp 25
parancsot használja a rendszer.
Megjegyzés:
Emellett statikus IP-cím-hozzárendelésekkel és conduit utasításokkal kell rendelkeznie a levelezési kiszolgálóhoz.
Ha a Mailguard konfigurálva van, a Mailguard csak a hét, minimálisan szükséges SMTP-parancsot engedélyezi a 821-es megjegyzéskérés (RFC) 4.5.1 szakaszában leírtak szerint. Ez a hét szükséges parancs a következő:
- JOBBÁGY
- RCPT
- ADATOK
- RSET
- NOOP
- KILÉP
Más parancsokat, például a KILL-t és a WIZ-t a PIX vagy az ASA tűzfal nem továbbítja a levelezési kiszolgálóra. A PIX vagy ASA tűzfal korai verziói OK választ adnak vissza, még a letiltott parancsok esetében is. Ennek célja, hogy megakadályozza a támadót abban, hogy tudomást szerzett arról, hogy a parancsok le lettek tiltva.
Az RFC 821 megtekintéséhez látogasson el az RFC webhelyére: RFC 821 - Simple Mail Transfer Protocol.
Az összes többi parancsot a rendszer elutasítja az 500 Ismeretlen parancs válaszával.
Az 5.1-ös vagy újabb verziójú Cisco PIX és ASA tűzfalakon a fixup protocol smtp
parancs az SMTP-szalagcím karaktereit csillagra módosítja, kivéve a "2", "0", "0" karaktereket. A kocsivissza (CR) és a sortörés (LF) karakterek figyelmen kívül lesznek hagyva. A 4.4-es verzióban az SMTP-szalagcím minden karakterét csillagmá alakítja a rendszer.
A Mailguard tesztelése a megfelelő működéshez
Mivel a Mailguard funkció OK választ adhat az összes parancsra, nehéz lehet megállapítani, hogy aktív-e. Annak megállapításához, hogy a Mailguard szolgáltatás blokkolja-e a nem érvényes parancsokat, kövesse az alábbi lépéseket.
Megjegyzés:
A következő lépések a PIX vagy az ASA szoftver 4.0-s és 4.1-es verzióján alapulnak. A PIX vagy ASA szoftver (4.2-es és újabb) újabb verzióinak teszteléséhez használja a fixup protocol smtp 25
levelezési kiszolgálóhoz tartozó parancsot és a megfelelő statikus és conduit utasításokat.
A Mailguard kikapcsolása
A PIX vagy ASA tűzfalon használja a statikus és a vezetékparancsokat a 25-ös TCP-porton (SMPT) található összes gazdagép engedélyezéséhez.
Hozzon létre egy telnet-munkamenetet a PIX vagy ASA tűzfal külső felületén a 25-ös porton.
Írjon be egy érvénytelen parancsot, majd nyomja le az ENTER billentyűt. Írja be például a goodmorning kifejezést, majd nyomja le az Enter billentyűt.
A következő választ kapja: 500 Ismeretlen parancs.
A Mailguard be van kapcsolva
A mailhost vagy a
fixup protocol smtp 25
parancs használatával kapcsolja be a Mailguard funkciót a PIX vagy ASA tűzfal külső felületén.Hozzon létre egy telnet-munkamenetet a PIX vagy ASA tűzfal külső felületén a 25-ös porton.
Írjon be egy érvénytelen parancsot, majd nyomja le az Enter billentyűt. Írja be például a goodmorning kifejezést, majd nyomja le az Enter billentyűt.
A következő választ kapja: OK.
Ha a Mailguard funkció ki van kapcsolva, a levelezési kiszolgáló az 500 Ismeretlen parancs üzenettel válaszol a nem érvényes parancsra. Ha azonban a Mailguard funkció be van kapcsolva, a PIX vagy az ASA tűzfal elfogja a nem érvényes parancsot, mert a tűzfal csak a hét minimálisan szükséges SMTP-parancsot adja át. A PIX vagy az ASA tűzfal OK gombbal válaszol, függetlenül attól, hogy a parancs érvényes-e.
Alapértelmezés szerint a PIX vagy az ASA tűzfal blokkolja az összes külső kapcsolat elérését a gazdagépeken belül. A külső hozzáférés engedélyezéséhez használja a statikus, a hozzáférési lista és a hozzáférési csoport parancsutasításait.
Az SMTP-proxy képességekkel rendelkező tűzfaltermékekről az alábbi webhelyeken talál további információt:
Harmadik felektől származó információkra vonatkozó jognyilatkozat
A cikkben említett, külső gyártóktól származó termékek a Microsofttól független gyártók termékei, amelyek teljesítményére és megbízhatóságára a Microsoft sem vélelmezett, sem másféle garanciát nem vállal.
Harmadik féllel való kapcsolatfelvételre vonatkozó jogi nyilatkozat
A Microsoft a külső gyártók elérhetőségi adatait a műszaki támogatás eléréséhez szánt segítségnyújtásként teszi közzé. Az elérhetőségi adatok értesítés nélkül megváltozhatnak, pontosságukat a Microsoft nem garantálja.