Не удается отправлять или получать сообщения электронной почты за брандмауэром Cisco PIX или Cisco ASA с включенной функцией Mailguard

  • Статья
  • Чтение занимает 6 мин
  • Применяется к:
    Exchange Server 2013, Exchange Server 2010, Exchange Server 2016, Exchange Server 2019

Исходный номер базы знаний: 320027

В этой статье рассматривается причина поведения, из-за которой невозможно отправлять или получать сообщения электронной почты, если сервер Exchange Server размещен за устройством брандмауэра Cisco PIX или Cisco ASA, а в брандмауэре PIX или ASA включена функция Mailguard. В нем приведены инструкции по отключению компонента Mailguard брандмауэра PIX или ASA.

Важно!

В этой статье содержатся сведения о том, как уменьшить параметры безопасности или отключить функции безопасности на компьютере. Эти изменения можно внести для решения конкретной проблемы. Перед внесением этих изменений рекомендуется оценить риски, связанные с реализацией этого обходного решения в конкретной среде. Если вы реализуете это временное решение, выполните дополнительные действия, которые помогут защитить компьютер.

Симптомы

Может возникнуть одно или несколько из следующих поведений:

  • Вы не можете получать сообщения электронной почты через Интернет.
  • Вы не можете отправлять сообщения электронной почты с вложениями.
  • Невозможно установить сеанс telnet с сервером Microsoft Exchange server через порт 25.
  • При отправке команды EHLO на сервер Exchange server вы получаете ответ "Команда нераспознана" или "ОК".
  • Вы не можете отправлять и получать почту в определенных доменах.
  • Проблемы с проверкой подлинности протокола POST 3 (POP3) — ретрансляция 550 5.7.1 запрещена с локального сервера.
  • Проблемы с отправкой повторяющихся сообщений электронной почты (иногда пять-шесть раз).
  • Вы получаете дубликаты входящих сообщений SMTP.
  • Клиенты Microsoft Outlook или клиенты Microsoft Outlook Express 0x800CCC79 сообщение об ошибке при отправке электронной почты.
  • Существуют проблемы с двоичным mime (8bitmime). Вы получаете текст в отчете о недоставке (NDR): тип текста 554 5.6.1, не поддерживаемый удаленным узлом.
  • Существуют проблемы с отсутствующим или искаженным вложениям.
  • Существуют проблемы с маршрутизацией состояния связи между группами маршрутизации, когда устройство брандмауэра Cisco PIX или Cisco ASA находится между группами маршрутизации.
  • Команда X-LINK2STATE не передается.
  • Существуют проблемы с проверкой подлинности между серверами через соединитель группы маршрутизации.

Причина

Эта проблема может возникнуть в следующей ситуации:

  • Сервер Exchange размещается за устройством брандмауэра Cisco PIX или Cisco ASA.

-и-

  • В брандмауэре PIX или ASA включен компонент Mailguard.
  • Команды входа auth и Auth (команды расширенного протокола простой передачи почты [ESMTP] ) отключаются брандмауэром, и это заставляет систему считать, что вы выполняете ретранслятор из не локального домена.

Чтобы определить, работает ли Mailguard в брандмауэре Cisco PIX или Cisco ASA, используйте Telnet по IP-адресу записи MX, а затем проверьте, выглядит ли ответ следующим образом:

220*******************************************************0*2******0***********************

2002*******2***0*00

Old versions of PIX or ASA:

220 SMTP/cmap_________________________________________ read

Примечание.

Если за брандмауэром PIX или ASA находится сервер ESMTP, может потребоваться отключить функцию Mailguard, чтобы разрешить правильную обработку почты. Кроме того, установка сеанса Telnet на порт 25 fixup protocol smtp может не работать с командой, особенно с клиентом Telnet, использующим символьный режим.

Помимо брандмауэра Cisco PIX или Cisco ASA, существует несколько продуктов брандмауэра с возможностями прокси-сервера SMTP, которые могут создавать проблемы, упомянутые ранее в этой статье. Ниже приведен список производителей брандмауэра, продукты которых имеют функции прокси-сервера SMTP:

  • Контрольный флажок
  • Контрольной точки
  • Raptor

Дополнительные сведения см. на веб-сайтах, перечисленных в разделе "Дополнительные сведения".

Решение

Предупреждение

Это обходное решение повышает уязвимость компьютера или сети к атакам пользователей-злоумышленников или вредоносных программ, например вирусов. Мы не рекомендуем использовать это решение, но предоставляем эти сведения, чтобы вы могли реализовать это решение по собственному усмотрению. Ответственность за использование этого обходного пути несет пользователь.

Примечание.

Брандмауэр предназначен для защиты компьютера от атак злоумышленниками или вредоносными программами, такими как вирусы, использующие нежелательный входящий сетевой трафик для атаки на компьютер. Перед отключением брандмауэра необходимо отключить компьютер от всех сетей, включая Интернет.

Чтобы устранить эту проблему, отключите функцию Mailguard брандмауэра PIX или ASA.

Предупреждение

Если у вас есть сервер ESMTP за PIX или ASA, может потребоваться отключить функцию Mailguard, чтобы можно было правильно выполнять обработку почты. Если вы используете команду Telnet для порта 25, это может не работать с командой smtp протокола исправления, и это более заметно в клиенте Telnet, который выполняет символьный режим.

Чтобы отключить функцию Mailguard в брандмауэре PIX или ASA:

  1. Войдите в брандмауэр PIX или ASA, настроив сеанс telnet или используя консоль.
  2. Включите тип и нажмите клавишу ВВОД.
  3. Когда появится запрос на ввод пароля, введите пароль и нажмите клавишу ВВОД.
  4. Введите "Настроить терминал" и нажмите клавишу ВВОД.
  5. Введите протокол smtp 25 без исправления и нажмите клавишу ВВОД.
  6. Введите память записи и нажмите клавишу ВВОД.
  7. Перезапустите или перезагрузите брандмауэр PIX или ASA.

Дополнительные сведения

Функция PIX или ASA Software Mailguard (также называемая Mailhost в ранних версиях) фильтрует трафик SMTP. Для PIX или ASA Software версий 4.0 и 4.1 mailhost команда используется для настройки Mailguard. В PIX или ASA Software версии 4.2 fixup protocol smtp 25 и более поздних используется команда.

Примечание.

Для почтового сервера также должны быть статические назначения IP-адресов и операторы каналов.

Если mailguard настроен, Mailguard разрешает только семь минимально необходимых команд SMTP, как описано в запросе на комментарий (RFC) 821, раздел 4.5.1. Следующие семь обязательных команд:

  • HELO
  • ПОЧТЫ
  • RCPT
  • ДАННЫХ
  • RSET
  • NOOP
  • БРОСИТЬ

Другие команды, такие как KILL и WIZ, не пересылаются на почтовый сервер брандмауэром PIX или ASA. Ранние версии брандмауэра PIX или ASA возвращают ответ OK даже для заблокированных команд. Это позволяет предотвратить получение злоумышленником сведений о том, что команды заблокированы.

Чтобы просмотреть RFC 821, посетите веб-сайт RFC: RFC 821 — простой протокол передачи почты.

Все остальные команды отклоняются с нераспознам ответом 500 Command.

В брандмауэрах Cisco PIX и ASA с версиями встроенного ПО 5.1 fixup protocol smtp и более поздних версий команда изменяет символы в баннере SMTP на звездочки, за исключением символов "2", "0", "0". Символы возврата каретки (CR) и linefeed (LF) игнорируются. В версии 4.4 все символы в баннере SMTP преобразуются в звездочки.

Проверка Mailguard на правильную функцию

Так как функция Mailguard может возвращать ответ " ОК" для всех команд, может быть трудно определить, активна ли она. Чтобы определить, блокирует ли компонент Mailguard недопустимые команды, выполните следующие действия.

Примечание.

Следующие шаги основаны на программном обеспечении PIX или ASA версии 4.0 и 4.1. Чтобы протестировать более поздние версии программного обеспечения PIX или ASA (версии 4.2 и более поздних), fixup protocol smtp 25 используйте команду и соответствующие статические инструкции и инструкции conduit для почтового сервера.

С отключенным Mailguard

  1. В брандмауэре PIX или ASA используйте статические команды и команды conduit, чтобы разрешить все узлы через TCP-порт 25 (SMPT).

  2. Установите сеанс telnet во внешнем интерфейсе брандмауэра PIX или ASA через порт 25.

  3. Введите недостижимую команду и нажмите клавишу ВВОД. Например, введите goodmorning и нажмите клавишу ВВОД.

    Вы получите ответ : 500 Command unrecognized.

С включенной службой Mailguard

  1. Используйте mailhost или fixup protocol smtp 25 команду, чтобы включить функцию Mailguard во внешнем интерфейсе брандмауэра PIX или ASA.

  2. Установите сеанс telnet во внешнем интерфейсе брандмауэра PIX или ASA через порт 25.

  3. Введите недостижимую команду и нажмите клавишу ВВОД. Например, введите goodmorning и нажмите клавишу ВВОД.

    Вы получите ответ: ОК.

Когда функция Mailguard отключена, почтовый сервер отвечает на команду, которая не является допустимой с сообщением 500 Command, нераспознаваемым . Однако при включении компонента Mailguard брандмауэр PIX или ASA перехватывает недостигаемую команду, так как брандмауэр передает только семь минимально необходимых команд SMTP. Брандмауэр PIX или ASA отвечает ОК , является ли команда допустимой.

По умолчанию брандмауэр PIX или ASA блокирует доступ ко всем внешним подключениям внутри узлов. Используйте статические командные инструкции, списки доступа и группы доступа, чтобы разрешить внешний доступ.

Дополнительные сведения о продуктах брандмауэра с возможностями прокси-сервера SMTP см. на следующих веб-сайтах:

Заявление об отказе от ответственности за сведения о продуктах сторонних производителей

В этой статье упомянуты программные продукты независимых производителей. Корпорация Майкрософт не дает никаких гарантий, подразумеваемых и прочих, относительно производительности и надежности этих продуктов.

Заявление об отказе от ответственности за контактные данные сторонней организации

Контактные данные сторонних организаций предоставлены в этой статье с целью помочь пользователям получить необходимую техническую поддержку. Эти данные могут быть изменены без предварительного уведомления. Корпорация Майкрософт не дает гарантий относительно правильности приведенных контактных данных сторонних производителей.