Artikel-ID: 320027 - Geändert am: Dienstag, 18. Januar 2011 - Version: 1.0

Keine senden oder Empfangen von e-Mail-Nachrichten einen Cisco PIX oder Cisco ASA Firewall

Deutsch und Englisch nebeneinanderMaschinell-übersetzte und englische Version des Artikels nebenander anzeigen
Maschinell übersetzter ArtikelHinweis: Dies ist ein maschinell übersetzter Artikel.
Produkte anzeigen, auf die sich dieser Artikel bezieht
SystemtippDieser Artikel bezieht sich auf ein anderes Betriebssystem als das von Ihnen verwendete. Für Sie möglicherweise nicht relevante Artikelinhalte wurden deaktiviert.
WichtigDieser Artikel enthält Informationen, die Ihnen, zeigt wie Sie Sicherheitseinstellungen herabsetzen oder Sicherheitsfunktionen auf einem Computer deaktivieren. Nehmen Sie diese Änderungen, um ein bestimmtes Problem zu beheben. Bevor Sie diese Änderungen vornehmen, wird empfohlen, zunächst die Risiken, die abzuschätzen mit der Implementierung dieser Problemumgehung in Ihrer speziellen Umgebung verbunden sind. Wenn Sie diese Problemumgehung implementieren, nehmen Sie alle entsprechenden zusätzlichen Schritte durch, um den Computer zu schützen.

Auf dieser Seite

Alles erweitern | Alles schließen

Problembeschreibung

Sie können eine oder mehrere der folgenden Symptome auftreten:
  • Sie können keine Internet-e-Mail-Nachrichten empfangen.
  • Sie können keine e-Mail-Nachrichten mit Anlagen senden.
  • Sie können keine herstellen, eine Telnet-Sitzung mit dem Microsoft Exchange Server auf Port 25.
  • Wenn Sie senden einEHLOBefehl des Exchange-Servers erhalten Sie eine "Command unrecognized" oder eine Antwort "OK".
  • Nicht senden oder Empfangen von e-Mail-Nachrichten auf bestimmte Domänen.
  • Probleme mit der Post Office Protocol, Version 3 (POP3)-Authentifizierung - 550 5.7.1 Weiterleitung vom lokalen Server verweigert.
  • Probleme mit doppelte e-Mail-Nachrichten gesendet werden (manchmal auch fünf bis sechs Mal).
  • Sie erhalten doppelte Nachrichten mit SMTP (Simple Mail Transfer Protocol).
  • Microsoft Outlook- oder Microsoft Outlook Express-Clients melden einen 0x800CCC79-Fehler beim Versuch, E-mail zu senden.
  • Es gibt Probleme mit binäre Mime (8bitmime). Erhalten Sie den folgenden Text in einen Unzustellbarkeitsbericht (NDR):
    554 5.6.1 Texttyp vom Remotehost nicht unterstützt.
  • Es gibt Probleme mit fehlenden oder verstümmelten Anhängen.
  • Es gibt Probleme mit dem Verbindungsstatusrouting zwischen Routinggruppen, wenn ein Firewall-Gerät Cisco PIX oder Cisco ASA zwischen den Routinggruppen.
  • Das X-LINK2STATE-Verb wird nicht übergeben.
  • Es gibt Probleme bei der Authentifizierung zwischen Servern über einen Routinggruppenconnector.
Zum Anfang

Ursache

Dieses Problem kann in den folgenden Situationen auftreten:
  • Der Exchange-Server befindet sich hinter einem Firewallgerät Cisco PIX oder Cisco ASA.

    -und-
  • Der PIX-Firewall oder ASA Firewall hat die Mailguard-Funktion aktiviert ist.
  • Die Authentifizierung und Auth Login-Befehle (Extended Simple Mail Transfer Protocol [ESMTP] Befehle) werden von der Firewall entfernt und dadurch das System denken, dass Sie von einer nicht-lokale Domäne weiterleiten sind.
Um festzustellen, ob die Mailguard-Funktion Ihrer Firewall Cisco PIX oder Cisco ASA, Telnet, um die IP-Adresse des MX-Datensatzes ausgeführt wird, und überprüfen Sie, ob die Antwort, die der folgenden ähnelt:
220*******************************************************0*2******0***********************
2002 ******* 2 *** 0 * 00

Alte Versionen der PIX-Firewall oder ASA:

220 SMTP/Cmap_________________________________________ lesen
Weitere Informationen finden Sie auf folgenden Cisco-Websites:
http://www.Cisco.com/en/US/tech/tk331/tk897/tsd_technology_support_sub-protocol_home.HTML (http://www.cisco.com/en/US/tech/tk331/tk897/tsd_technology_support_sub-protocol_home.html)
http://www.Cisco.com/en/US/Products/HW/vpndevc/ps2030/products_tech_note09186a00800b2ecb.shtml (http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/products_tech_note09186a00800b2ecb.shtml)
Hinweis:Wenn Sie einen ESMTP-Server hinter der PIX-Firewall oder ASA Firewall, müssen Sie möglicherweise die Mailguard-Funktion e-Mail-Nachrichten korrekt übertragen zulassen deaktivieren. Darüber hinaus einrichten auf Port 25 eine Telnet-Sitzung funktioniert möglicherweise nicht mit demfixup protocol smtpcommand, especially with a Telnet client that uses character mode.

Hinweis:Besides the Cisco PIX or Cisco ASA firewall, there are several firewall products that have SMTP Proxy capabilities that may produce the issues that are mentioned earlier in this article. The following is a list of firewall manufacturers whose products have SMTP Proxy features:
  • Watchguard Firebox
  • Checkpoint
  • Raptor

For additional information, visit the Web sites listed in the "More Information" section.
Zum Anfang

Lösung

WarningThis workaround may make a computer or a network more vulnerable to attack by malicious users or by malicious software such as viruses. We do not recommend this workaround but are providing this information so that you can implement this workaround at your own discretion. Use this workaround at your own risk.

Hinweis:A firewall is designed to help protect your computer from attack by malicious users or by malicious software such as viruses that use unsolicited incoming network traffic to attack your computer. Before you disable your firewall, you must disconnect your computer from all networks, including the Internet.

To resolve this issue, turn off the Mailguard feature of the PIX or ASA firewall.

WarningIf you have an ESMTP server behind the PIX or ASA, you may have to turn off the Mailguard feature to make it possible for mail to correctly flow. If you use the Telnet command to port 25, this may not work with thefixup protocol smtpcommand, and this is more noticeable with a Telnet client that performs character mode.

To turn off the Mailguard feature of the PIX or ASA firewall:
  1. Log on to the PIX or ASA firewall by establishing a telnet session or by using the console.
  2. Typenable, and then press ENTER.
  3. When you are prompted for your password, type your password, and then press ENTER.
  4. Typconfigure terminal, and then press ENTER.
  5. Typno fixup protocol smtp 25, and then press ENTER.
  6. Typwrite memory, and then press ENTER.
  7. Restart or reload the PIX or ASA firewall.
Zum Anfang

Weitere Informationen

The PIX or ASA Software Mailguard feature (also called Mailhost in early versions) filters Simple Mail Transfer Protocol (SMTP) traffic. For PIX or ASA Software versions 4.0 and 4.1, themailhostcommand is used to configure Mailguard. In PIX or ASA Software version 4.2 and later, thefixup protocol smtp 25command is used.

Hinweis:You must also have static IP address assignments and conduit statements for your mail server.

When Mailguard is configured, Mailguard allows only the seven SMTP minimum-required commands as described in request for comment (RFC) 821, section 4.5.1. These seven required commands are the following:
HELO
MAIL
RCPT
DATA
RSET
NOOP
QUIT
Other commands, such as KILL and WIZ are not forwarded to the mail server by the PIX or ASA firewall. Early versions of the PIX or ASA firewall return an "OK" response, even to commands that are blocked. This is intended to prevent an attacker from the knowledge that the commands have been blocked.

To view RFC 821, visit the following RFC Web site:
http://www.faqs.org/rfcs/rfc821.html (http://www.faqs.org/rfcs/rfc821.html)
All other commands are rejected with the "500 Command unrecognized" response.

On Cisco PIX and ASA firewalls with firmware versions 5.1 and later, thefixup protocol smtpcommand changes the characters in the SMTP banner to asterisks except for the "2", "0", "0 " characters. Carriage return (CR) and linefeed (LF) characters are ignored. In version 4.4, all characters in the SMTP banner are converted to asterisks.
Zum Anfang

Test Mailguard for proper function

Because the Mailguard feature may return an "OK" response to all commands, it may be hard to determine whether it is active. To determine whether the Mailguard feature is blocking commands that are not valid, follow these steps.

Hinweis:The following steps are based on PIX or ASA software version 4.0 and 4.1. To test later versions of PIX or ASA software (version 4.2 and later), use thefixup protocol smtp 25command and the appropriatestaticundconduitstatements for your mail server.

With Mailguard turned off

  1. On the PIX or ASA firewall, use the static and conduit commands to allow all hosts in on TCP port 25 (SMPT).
  2. Establish a telnet session on the external interface of the PIX or ASA firewall on port 25.
  3. Type a command that is not valid, and then press ENTER. For example, typegoodmorning, and then press ENTER.

    You receive the following response:
    500 Command unrecognized.

With Mailguard turned on

  1. Use themailhostor thefixup protocol smtp 25command to turn on the Mailguard feature on the external interface of the PIX or ASA firewall.
  2. Establish a telnet session on the external interface of the PIX or ASA firewall on port 25.
  3. Type a command that is not valid, and then press ENTER. For example, typegoodmorning, and then press ENTER.

    You receive the following response:
    OK.
Wenn die Mailguard-Funktion deaktiviert ist, reagiert der Mailserver auf den Befehl, der mit der Meldung "500 Command unrecognized" ungültig ist. Wenn die Mailguard-Funktion auf der PIX-Firewall aktiviert ist oder jedoch ASA Firewall fängt des Befehls, der nicht gültig ist, da die Firewall nur die sieben mindestens erforderlichen SMTP-Befehle übergeben wird. Der PIX-Firewall oder ASA Firewall antwortet mit "OK", ob der Befehl gültig ist.

In der Standardeinstellung firewall der PIX-Firewall oder ASA blockiert alle außerhalb Verbindungen innerhalb von Hosts Zugriff auf. Verwenden Sie die statische, Access-Liste und Access Group (Befehl)-Anweisungen den externen Zugriff zulassen. Weitere Informationen zu diesen Befehlen finden Sie auf den folgenden Cisco-Website:
http://www.Cisco.com/univercd/cc/TD/doc/Product/iaabu/PIX/pix_60/config/Commands.htm (http://www.cisco.com/univercd/cc/td/doc/product/iaabu/pix/pix_60/config/commands.htm)
Weitere Informationen zum Konfigurieren der Firewall für Cisco PIX oder ASA finden Sie auf folgenden Cisco-Websites:
http://www.Cisco.com/univercd/cc/TD/doc/Product/iaabu/PIX/pix_v52/config/Commands.htm#xtocid1604922 (http://www.cisco.com/univercd/cc/td/doc/product/iaabu/pix/pix_v52/config/commands.htm#xtocid1604922)
http://www.Cisco.com/en/US/Products/SW/secursw/ps2120/products_installation_and_configuration_guides_list.HTML (http://www.cisco.com/en/US/products/sw/secursw/ps2120/products_installation_and_configuration_guides_list.html)
http://www.Cisco.com/en/US/Products/HW/vpndevc/ps2030/products_tech_note09186a00800b2ecb.shtml (http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/products_tech_note09186a00800b2ecb.shtml)


Weitere Informationen zu Firewall-Produkten, die SMTP-Proxy-Fähigkeiten finden Sie auf folgenden Websites:
http://www.WatchGuard.com (http://www.watchguard.com)
http://www.Checkpoint.com (http://www.checkpoint.com)
http://www.Symantec.com/Business/Index.jsp (http://www.symantec.com/business/index.jsp)
Die in diesem Artikel erwähnten Fremdanbieterprodukte werden von einem Lieferanten hergestellt, der von Microsoft unabhängig ist. Microsoft übernimmt keine Garantie, weder konkludent noch anderweitig, über die die Leistung oder Zuverlässigkeit dieser Produkte.Die Kontaktinformationen bezüglich der in diesem Artikel erwähnten Fremdanbieter sollen Ihnen helfen, den benötigten technischen Support zu finden. Diese Kontaktinformationen können ohne vorherige Ankündigung geändert werden. Microsoft garantiert nicht die Richtigkeit der Kontaktinformationen von Drittanbietern von.
Zum Anfang
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Exchange Server 2010 Standard
  • Microsoft Exchange Server 2010 Enterprise
  • Microsoft Exchange Server 2007 Standard Edition
  • Microsoft Exchange Server 2007 Enterprise Edition
  • Microsoft Exchange Server 2003 Standard Edition
  • Microsoft Exchange 2000 Server Standard Edition
  • Microsoft Exchange Server 5.5 Standard Edition
Zum Anfang
Keywords: 
kbprb kbmt KB320027 KbMtde
Zum Anfang
Maschinell übersetzter ArtikelMaschinell übersetzter Artikel
Wichtig: Dieser Artikel wurde maschinell und nicht von einem Menschen übersetzt. Die Microsoft Knowledge Base ist sehr umfangreich und ihre Inhalte werden ständig ergänzt beziehungsweise überarbeitet. Um Ihnen dennoch alle Inhalte auf Deutsch anbieten zu können, werden viele Artikel nicht von Menschen, sondern von Übersetzungsprogrammen übersetzt, die kontinuierlich optimiert werden. Doch noch sind maschinell übersetzte Texte in der Regel nicht perfekt, insbesondere hinsichtlich Grammatik und des Einsatzes von Fremdwörtern sowie Fachbegriffen. Microsoft übernimmt keine Gewähr für die sprachliche Qualität oder die technische Richtigkeit der Übersetzungen und ist nicht für Probleme haftbar, die direkt oder indirekt durch Übersetzungsfehler oder die Verwendung der übersetzten Inhalte durch Kunden entstehen könnten.
Den englischen Originalartikel können Sie über folgenden Link abrufen: 320027  (http://support.microsoft.com/kb/320027/en-us/ )
Zum Anfang
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.