Megosztás a következőn keresztül:

Nem lehet e-maileket küldeni vagy fogadni Cisco PIX vagy Cisco ASA tűzfal mögött, ha a Mailguard funkció be van kapcsolva

  • A következőre érvényes:: Exchange Server 2013, Exchange Server 2010, Exchange Server 2016, Exchange Server 2019

Eredeti tudásbáziscikk száma: 320027

Ez a cikk azt a viselkedést ismerteti, amely miatt nem tud e-maileket küldeni vagy fogadni, ha egy Exchange-kiszolgáló Cisco PIX vagy Cisco ASA tűzfaleszköz mögött található, és a PIX vagy ASA tűzfalon be van kapcsolva a Mailguard funkció. A PIX vagy ASA tűzfal Mailguard funkciójának kikapcsolásához biztosít lépéseket.

Fontos

Ez a cikk olyan információkat tartalmaz, amelyek bemutatják, hogyan csökkentheti a biztonsági beállításokat, illetve hogyan kapcsolhatja ki a biztonsági funkciókat a számítógépen. Ezeket a módosításokat elvégezheti egy adott probléma megkerüléséhez. Mielőtt végrehajtja ezeket a módosításokat, javasoljuk, hogy értékelje ki azokat a kockázatokat, amelyek ennek a kerülő megoldásnak az adott környezetben való implementálásához kapcsolódnak. Ha implementálja ezt a kerülő megoldást, végezze el a megfelelő további lépéseket a számítógép védelme érdekében.

Jelenségek

Az alábbi viselkedések közül legalább egyet tapasztalhat:

  • Nem fogadhat internetalapú e-maileket.
  • Mellékleteket tartalmazó e-maileket nem küldhet.
  • Nem lehet telnet-munkamenetet létesíteni a Microsoft Exchange-kiszolgálóval a 25-ös porton.
  • Amikor EHLO-parancsot küld az Exchange-kiszolgálónak, ismeretlen vagyOK választ kap.
  • Adott tartományokban nem tud leveleket küldeni vagy fogadni.
  • A Post Office Protocol 3-es verziójának (POP3) hitelesítésével kapcsolatos problémák – Az 550 5.7.1-es verziót a helyi kiszolgáló megtagadta.
  • Ismétlődő e-mail-üzenetekkel kapcsolatos problémák (néha öt-hat alkalommal).
  • Ismétlődő bejövő SMTP-üzeneteket kap.
  • A Microsoft Outlook-ügyfelek vagy a Microsoft Outlook Express-ügyfelek 0x800CCC79 hibát jeleznek az e-mailek küldésekor.
  • Vannak problémák a bináris mime (8bitmime). A szöveget egy sikertelen kézbesítésről szóló jelentésben kapja meg: 554 5.6.1 A távoli gazdagép nem támogatja a törzstípust.
  • Problémák merülnek fel a hiányzó vagy hiányos mellékletekkel kapcsolatban.
  • Az útválasztási csoportok közötti kapcsolatállapot-útválasztással kapcsolatban problémák merülnek fel, ha egy Cisco PIX vagy Cisco ASA tűzfaleszköz van az útválasztási csoportok között.
  • Az X-LINK2STATE ige nem lesz átadva.
  • Hitelesítési problémák vannak a kiszolgálók között egy útválasztásicsoport-összekötőn keresztül.

A probléma oka

Ez a probléma a következő esetekben fordulhat elő:

  • Az Exchange-kiszolgáló egy Cisco PIX vagy Cisco ASA tűzfaleszköz mögött található.

-És-

  • A PIX vagy ASA tűzfalon be van kapcsolva a Mailguard funkció.
  • A hitelesítési és hitelesítési bejelentkezési parancsokat (Kiterjesztett Simple Mail Transfer Protocol [ESMTP] parancsokat) a tűzfal eltávolítja, így a rendszer úgy gondolja, hogy nem helyi tartományból végzi az átvitelt.

Annak megállapításához, hogy a Mailguard a Cisco PIX vagy a Cisco ASA tűzfalon fut-e, a Telnetet az MX rekord IP-címére, majd ellenőrizze, hogy a válasz a következőhöz hasonló-e:

220*******************************************************0*2******0***********************

2002*******2***0*00

Old versions of PIX or ASA:

220 SMTP/cmap_________________________________________ read

Megjegyzés:

Ha a PIX vagy ASA tűzfal mögött ESMTP-kiszolgáló található, előfordulhat, hogy ki kell kapcsolnia a Mailguard funkciót, hogy a levelek megfelelően áramoljanak. A Telnet-munkamenet 25-ös portra történő létrehozása nem feltétlenül működik a fixup protocol smtp paranccsal, különösen karaktermódot használó Telnet-ügyféllel.

A Cisco PIX vagy a Cisco ASA tűzfal mellett számos olyan tűzfaltermék is létezik, amely SMTP-proxyképességekkel rendelkezik, amelyek a cikkben korábban említett problémákat okozhatják. Az alábbiakban felsoroljuk azokat a tűzfalgyártókat, amelyek termékei SMTP-proxyfunkciókkal rendelkeznek:

  • Watchguard Firebox
  • Ellenőrzőpont
  • Raptor

További információért látogasson el a "További információk" szakaszban felsorolt webhelyekre.

Megoldás

Figyelmeztetés

Ez a megkerülő megoldás sebezhetőbbé teheti a számítógépet vagy a hálózatot a rosszindulatú felhasználók vagy rosszindulatú szoftverek, például vírusok támadásával szemben. Ezt a kerülő megoldást nem javasoljuk, de ezeket az információkat azért biztosítjuk, hogy ezt a kerülő megoldást saját belátása szerint implementálhassa. Az alábbi megoldást csak saját felelősségére alkalmazhatja.

Megjegyzés:

A tűzfal célja, hogy megvédje a számítógépet a rosszindulatú felhasználók vagy rosszindulatú szoftverek, például a kéretlen bejövő hálózati forgalmat használó vírusok támadásától a számítógép megtámadásához. A tűzfal letiltása előtt le kell választania a számítógépet az összes hálózatról, beleértve az internetet is.

A probléma megoldásához kapcsolja ki a PIX vagy ASA tűzfal Mailguard funkcióját.

Figyelmeztetés

Ha a PIX vagy az ASA mögött ESMTP-kiszolgáló található, előfordulhat, hogy ki kell kapcsolnia a Mailguard funkciót, hogy a levelek megfelelően haladjanak. Ha a Telnet parancsot használja a 25-ös porthoz, előfordulhat, hogy ez nem működik a fixup protokoll SMTP-parancsával, és ez a karaktermódot végrehajtó Telnet-ügyfél esetében észrevehetőbb.

A PIX vagy ASA tűzfal Mailguard funkciójának kikapcsolása:

  1. Jelentkezzen be a PIX vagy ASA tűzfalra egy telnet-munkamenet létrehozásával vagy a konzol használatával.
  2. Írja be az engedélyezés szót, majd nyomja le az Enter billentyűt.
  3. Amikor a rendszer kéri a jelszót, írja be a jelszavát, majd nyomja le az Enter billentyűt.
  4. Írja be a terminál konfigurálása parancsot, majd nyomja le az Enter billentyűt.
  5. Írja be a no fixup protocol smtp 25 parancsot, majd nyomja le az Enter billentyűt.
  6. Írja be az írási memóriát, majd nyomja le az Enter billentyűt.
  7. Indítsa újra vagy töltse be újra a PIX vagy az ASA tűzfalat.

További információ

A PIX vagy az ASA Software Mailguard szolgáltatás (korábbi verziókban Mailhost néven is ismert) a Simple Mail Transfer Protocol (SMTP) forgalmát szűri. A PIX vagy ASA Software 4.0-s és 4.1-s verziói esetében a parancs a mailhost Mailguard konfigurálására szolgál. A PIX vagy az ASA Software 4.2-es és újabb verzióiban a fixup protocol smtp 25 parancsot használja a rendszer.

Megjegyzés:

Emellett statikus IP-cím-hozzárendelésekkel és conduit utasításokkal kell rendelkeznie a levelezési kiszolgálóhoz.

Ha a Mailguard konfigurálva van, a Mailguard csak a hét, minimálisan szükséges SMTP-parancsot engedélyezi a 821-es megjegyzéskérés (RFC) 4.5.1 szakaszában leírtak szerint. Ez a hét szükséges parancs a következő:

  • JOBBÁGY
  • MAIL
  • RCPT
  • ADATOK
  • RSET
  • NOOP
  • KILÉP

Más parancsokat, például a KILL-t és a WIZ-t a PIX vagy az ASA tűzfal nem továbbítja a levelezési kiszolgálóra. A PIX vagy ASA tűzfal korai verziói OK választ adnak vissza, még a letiltott parancsok esetében is. Ennek célja, hogy megakadályozza a támadót abban, hogy tudomást szerzett arról, hogy a parancsok le lettek tiltva.

Az RFC 821 megtekintéséhez látogasson el az RFC webhelyére: RFC 821 - Simple Mail Transfer Protocol.

Az összes többi parancsot a rendszer elutasítja az 500 Ismeretlen parancs válaszával.

Az 5.1-ös vagy újabb verziójú Cisco PIX és ASA tűzfalakon a fixup protocol smtp parancs az SMTP-szalagcím karaktereit csillagra módosítja, kivéve a "2", "0", "0" karaktereket. A kocsivissza (CR) és a sortörés (LF) karakterek figyelmen kívül lesznek hagyva. A 4.4-es verzióban az SMTP-szalagcím minden karakterét csillagmá alakítja a rendszer.

A Mailguard tesztelése a megfelelő működéshez

Mivel a Mailguard funkció OK választ adhat az összes parancsra, nehéz lehet megállapítani, hogy aktív-e. Annak megállapításához, hogy a Mailguard szolgáltatás blokkolja-e a nem érvényes parancsokat, kövesse az alábbi lépéseket.

Megjegyzés:

A következő lépések a PIX vagy az ASA szoftver 4.0-s és 4.1-es verzióján alapulnak. A PIX vagy ASA szoftver (4.2-es és újabb) újabb verzióinak teszteléséhez használja a fixup protocol smtp 25 levelezési kiszolgálóhoz tartozó parancsot és a megfelelő statikus és conduit utasításokat.

A Mailguard kikapcsolása

  1. A PIX vagy ASA tűzfalon használja a statikus és a vezetékparancsokat a 25-ös TCP-porton (SMPT) található összes gazdagép engedélyezéséhez.

  2. Hozzon létre egy telnet-munkamenetet a PIX vagy ASA tűzfal külső felületén a 25-ös porton.

  3. Írjon be egy érvénytelen parancsot, majd nyomja le az ENTER billentyűt. Írja be például a goodmorning kifejezést, majd nyomja le az Enter billentyűt.

    A következő választ kapja: 500 Ismeretlen parancs.

A Mailguard be van kapcsolva

  1. A mailhost vagy a fixup protocol smtp 25 parancs használatával kapcsolja be a Mailguard funkciót a PIX vagy ASA tűzfal külső felületén.

  2. Hozzon létre egy telnet-munkamenetet a PIX vagy ASA tűzfal külső felületén a 25-ös porton.

  3. Írjon be egy érvénytelen parancsot, majd nyomja le az Enter billentyűt. Írja be például a goodmorning kifejezést, majd nyomja le az Enter billentyűt.

    A következő választ kapja: OK.

Ha a Mailguard funkció ki van kapcsolva, a levelezési kiszolgáló az 500 Ismeretlen parancs üzenettel válaszol a nem érvényes parancsra. Ha azonban a Mailguard funkció be van kapcsolva, a PIX vagy az ASA tűzfal elfogja a nem érvényes parancsot, mert a tűzfal csak a hét minimálisan szükséges SMTP-parancsot adja át. A PIX vagy az ASA tűzfal OK gombbal válaszol, függetlenül attól, hogy a parancs érvényes-e.

Alapértelmezés szerint a PIX vagy az ASA tűzfal blokkolja az összes külső kapcsolat elérését a gazdagépeken belül. A külső hozzáférés engedélyezéséhez használja a statikus, a hozzáférési lista és a hozzáférési csoport parancsutasításait.

Az SMTP-proxy képességekkel rendelkező tűzfaltermékekről az alábbi webhelyeken talál további információt:

Harmadik felektől származó információkra vonatkozó jognyilatkozat

A cikkben említett, külső gyártóktól származó termékek a Microsofttól független gyártók termékei, amelyek teljesítményére és megbízhatóságára a Microsoft sem vélelmezett, sem másféle garanciát nem vállal.

Harmadik féllel való kapcsolatfelvételre vonatkozó jogi nyilatkozat

A Microsoft a külső gyártók elérhetőségi adatait a műszaki támogatás eléréséhez szánt segítségnyújtásként teszi közzé. Az elérhetőségi adatok értesítés nélkül megváltozhatnak, pontosságukat a Microsoft nem garantálja.