Senden oder Empfangen von E-Mail-Nachrichten hinter einer Cisco PIX- oder Cisco ASA-Firewall mit aktiviertem Mailguard-Feature

  • Artikel
  • Gilt für::
    Exchange Server 2013, Exchange Server 2010, Exchange Server 2016, Exchange Server 2019

Ursprüngliche KB-Nummer: 320027

In diesem Artikel wird die Ursache des Verhaltens erläutert, dass Sie keine E-Mail-Nachrichten senden oder empfangen können, wenn sich ein Exchange-Server hinter einem Cisco PIX- oder Cisco ASA-Firewallgerät befindet und die Funktion Mailguard für die PIX- oder ASA-Firewall aktiviert ist. Es enthält Schritte zum Deaktivieren des Mailguard-Features der PIX- oder ASA-Firewall.

Wichtig

Dieser Artikel enthält Informationen, die Ihnen zeigen, wie Sie die Sicherheitseinstellungen verringern oder Sicherheitsfeatures auf einem Computer deaktivieren können. Sie können diese Änderungen vornehmen, um ein bestimmtes Problem zu umgehen. Bevor Sie diese Änderungen vornehmen, empfehlen wir Ihnen, die Risiken zu bewerten, die mit der Implementierung dieser Problemumgehung in Ihrer speziellen Umgebung verbunden sind. Wenn Sie diese Problemumgehung implementieren, führen Sie alle geeigneten zusätzlichen Schritte aus, um den Computer zu schützen.

Symptome

Möglicherweise treten eines oder mehrere der folgenden Verhaltensweisen auf:

  • Sie können keine internetbasierten E-Mail-Nachrichten empfangen.
  • Sie können keine E-Mail-Nachrichten mit Anlagen senden.
  • Sie können keine Telnet-Sitzung mit dem Microsoft Exchange-Server an Port 25 einrichten.
  • Wenn Sie einen EHLO-Befehl an den Exchange-Server senden, erhalten Sie eine Nicht erkannte Befehlsantwort oder eine OK-Antwort .
  • Sie können keine E-Mails in bestimmten Domänen senden oder empfangen.
  • Probleme mit der POP3-Authentifizierung (Post Office Protocol Version 3): 550 5.7.1-Relay vom lokalen Server verweigert.
  • Probleme beim Senden doppelter E-Mail-Nachrichten (manchmal fünf- bis sechsmal).
  • Sie erhalten doppelte eingehende SMTP-Nachrichten (Simple Mail Transfer Protocol).
  • Microsoft Outlook-Clients oder Microsoft Outlook Express-Clients melden beim Versuch, E-Mails zu senden, einen 0x800CCC79 Fehler.
  • Es gibt Probleme mit binärem MIME (8bitmime). Sie erhalten den Text in einem Nichtzustellbarkeitsbericht (Non-Delivery Report, NDR): 554 5.6.1 Texttyp, der vom Remotehost nicht unterstützt wird.
  • Es gibt Probleme mit fehlenden oder unbändigten Anlagen.
  • Es gibt Probleme mit dem Routing des Verbindungszustands zwischen Routinggruppen, wenn sich ein Cisco PIX- oder Cisco ASA-Firewallgerät zwischen den Routinggruppen befindet.
  • Das Verb X-LINK2STATE wird nicht übergeben.
  • Es gibt Authentifizierungsprobleme zwischen Servern über einen Routinggruppenconnector.

Ursache

Dieses Problem kann in der folgenden Situation auftreten:

  • Der Exchange-Server befindet sich hinter einem Cisco PIX- oder Cisco ASA-Firewallgerät.

-und-

  • Die PIX- oder ASA-Firewall hat das Mailguard-Feature aktiviert.
  • Die Anmeldebefehle Auth und Auth (Extended Simple Mail Transfer Protocol [ESMTP]-Befehle) werden von der Firewall entfernt. Dadurch wird das System davon überzeugt, dass Sie ein Relay von einer nicht lokalen Domäne ausführen.

Um zu ermitteln, ob Mailguard auf Ihrer Cisco PIX- oder Cisco ASA-Firewall ausgeführt wird, rufen Sie telnet an die IP-Adresse des MX-Eintrags an, und überprüfen Sie dann, ob die Antwort in etwa wie folgt aussieht:

220*******************************************************0*2******0***********************

2002*******2***0*00

Old versions of PIX or ASA:

220 SMTP/cmap_________________________________________ read

Hinweis

Wenn Sie einen ESMTP-Server hinter der PIX- oder ASA-Firewall haben, müssen Sie möglicherweise das Mailguard-Feature deaktivieren, damit E-Mails ordnungsgemäß übertragen werden können. Außerdem funktioniert das Einrichten einer Telnet-Sitzung mit Port 25 möglicherweise nicht mit dem fixup protocol smtp Befehl, insbesondere nicht mit einem Telnet-Client, der den Zeichenmodus verwendet.

Neben der Cisco PIX- oder Cisco ASA-Firewall gibt es mehrere Firewallprodukte mit SMTP-Proxyfunktionen, die die weiter oben in diesem Artikel erwähnten Probleme erzeugen können. Im Folgenden finden Sie eine Liste der Firewallhersteller, deren Produkte über SMTP-Proxyfunktionen verfügen:

  • Watchguard Firebox
  • Prüfpunkt
  • Raptor

Weitere Informationen finden Sie auf den Websites, die im Abschnitt "Weitere Informationen" aufgeführt sind.

Lösung

Warnung

Durch diese Problemumgehung wird ein Computer oder ein Netzwerk möglicherweise anfälliger für Angriffe durch böswillige Benutzer oder Malware wie etwa Viren. Wir empfehlen diese Problemumgehung nicht, stellen aber diese Informationen bereit, damit Sie diese Problemumgehung nach eigenem Ermessen implementieren können. Die Verwendung dieser Problemumgehung erfolgt auf eigene Verantwortung.

Hinweis

Eine Firewall soll Ihren Computer vor Angriffen durch böswillige Benutzer oder durch Schadsoftware wie Viren schützen, die unerwünschten eingehenden Netzwerkdatenverkehr verwenden, um Ihren Computer anzugreifen. Bevor Sie Ihre Firewall deaktivieren, müssen Sie den Computer von allen Netzwerken trennen, einschließlich des Internets.

Um dieses Problem zu beheben, deaktivieren Sie die Mailguard-Funktion der PIX- oder ASA-Firewall.

Warnung

Wenn Sie einen ESMTP-Server hinter pix oder ASA haben, müssen Sie möglicherweise das Mailguard-Feature deaktivieren, um den ordnungsgemäßen Nachrichtenfluss zu ermöglichen. Wenn Sie den Telnet-Befehl an Port 25 verwenden, funktioniert dies möglicherweise nicht mit dem smtp-Befehl "fixup protocol". Dies ist bei einem Telnet-Client, der den Zeichenmodus ausführt, deutlicher.

So deaktivieren Sie das Mailguard-Feature der PIX- oder ASA-Firewall:

  1. Melden Sie sich bei der PIX- oder ASA-Firewall an, indem Sie eine Telnet-Sitzung einrichten oder die Konsole verwenden.
  2. Geben Sie enable ein, und drücken Sie dann die EINGABETASTE.
  3. Wenn Sie zur Eingabe Ihres Kennworts aufgefordert werden, geben Sie Ihr Kennwort ein, und drücken Sie dann die EINGABETASTE.
  4. Geben Sie terminal konfigurieren ein, und drücken Sie dann die EINGABETASTE.
  5. Geben Sie no fixup protocol smtp 25 ein, und drücken Sie dann die EINGABETASTE.
  6. Geben Sie Schreibspeicher ein, und drücken Sie dann die EINGABETASTE.
  7. Starten Sie die PIX- oder ASA-Firewall neu oder laden Sie sie neu.

Weitere Informationen

Das Feature PIX oder ASA Software Mailguard (in frühen Versionen auch mailhost genannt) filtert SMTP-Datenverkehr (Simple Mail Transfer Protocol). Für die PIX- oder ASA Software-Versionen 4.0 und 4.1 wird der mailhost Befehl verwendet, um Mailguard zu konfigurieren. In PIX oder ASA Software Version 4.2 und höher wird der fixup protocol smtp 25 Befehl verwendet.

Hinweis

Außerdem müssen Sie über statische IP-Adresszuweisungen und Conduit-Anweisungen für Ihren E-Mail-Server verfügen.

Wenn Mailguard konfiguriert ist, lässt Mailguard nur die sieben minimal erforderlichen SMTP-Befehle zu, wie in RFC 821, Abschnitt 4.5.1 beschrieben. Diese sieben erforderlichen Befehle sind wie folgt:

  • HELO
  • MAIL
  • RCPT
  • DATEN
  • RSET
  • NOOP
  • BEENDEN

Andere Befehle wie KILL und WIZ werden von der PIX- oder ASA-Firewall nicht an den Mailserver weitergeleitet. In früheren Versionen der PIX- oder ASA-Firewall wird eine OK-Antwort zurückgegeben, auch auf Befehle, die blockiert sind. Dadurch soll verhindert werden, dass angreifer wissen, dass die Befehle blockiert wurden.

Um RFC 821 anzuzeigen, besuchen Sie die RFC-Website: RFC 821 – Simple Mail Transfer Protocol.

Alle anderen Befehle werden mit der unbekannten Antwort 500 Command abgelehnt.

Bei Cisco PIX- und ASA-Firewalls mit Firmwareversionen 5.1 und höher ändert der fixup protocol smtp Befehl die Zeichen im SMTP-Banner in Sternchen mit Ausnahme der Zeichen "2", "0", "0". Wagenrücklaufzeichen (CR) und Zeilenvorschubzeichen (Linefeed, LF) werden ignoriert. In Version 4.4 werden alle Zeichen im SMTP-Banner in Sternchen konvertiert.

Testen von Mailguard auf ordnungsgemäße Funktion

Da das Mailguard-Feature möglicherweise eine OK-Antwort auf alle Befehle zurückgibt, kann es schwierig sein, zu bestimmen, ob es aktiv ist. Führen Sie die folgenden Schritte aus, um festzustellen, ob das Mailguard-Feature ungültige Befehle blockiert.

Hinweis

Die folgenden Schritte basieren auf der PIX- oder ASA-Softwareversion 4.0 und 4.1. Verwenden Sie zum Testen neuerer Versionen der PIX- oder ASA-Software (Version 4.2 und höher) den fixup protocol smtp 25 Befehl und die entsprechenden statischen anweisungen und conduit für Ihren E-Mail-Server.

Bei deaktiviertem Mailguard

  1. Verwenden Sie auf der PIX- oder ASA-Firewall die Befehle static und conduit, um alle Hosts an TCP-Port 25 (SMPT) zuzulassen.

  2. Richten Sie eine Telnet-Sitzung auf der externen Schnittstelle der PIX- oder ASA-Firewall an Port 25 ein.

  3. Geben Sie einen ungültigen Befehl ein, und drücken Sie dann die EINGABETASTE. Geben Sie beispielsweise goodmorning ein, und drücken Sie dann die EINGABETASTE.

    Sie erhalten die Antwort 500 Command unrecognized.

Bei aktiviertem Mailguard

  1. Verwenden Sie mailhost oder den fixup protocol smtp 25 Befehl, um die Mailguard-Funktion auf der externen Schnittstelle der PIX- oder ASA-Firewall zu aktivieren.

  2. Richten Sie eine Telnet-Sitzung auf der externen Schnittstelle der PIX- oder ASA-Firewall an Port 25 ein.

  3. Geben Sie einen ungültigen Befehl ein, und drücken Sie dann die EINGABETASTE. Geben Sie beispielsweise goodmorning ein, und drücken Sie dann die EINGABETASTE.

    Sie erhalten die Antwort: OK.

Wenn das Mailguard-Feature deaktiviert ist, antwortet der E-Mail-Server auf den Befehl, der mit der unbekannten Nachricht 500 Command ungültig ist. Wenn die Mailguard-Funktion jedoch aktiviert ist, fängt die PIX- oder ASA-Firewall den ungültigen Befehl ab, da die Firewall nur die sieben mindestens erforderlichen SMTP-Befehle übergibt. Die PIX- oder ASA-Firewall antwortet mit OK , ob der Befehl gültig ist oder nicht.

Standardmäßig blockiert die PIX- oder ASA-Firewall den Zugriff auf alle externen Verbindungen innerhalb von Hosts. Verwenden Sie die Befehlsanweisungen static, access-list und access-group, um externen Zugriff zuzulassen.

Weitere Informationen zu Firewallprodukten mit SMTP-Proxyfunktionen finden Sie auf den folgenden Websites:

Informationen zum Haftungsausschluss von Drittanbietern

Die in diesem Artikel genannten Drittanbieterprodukte stammen von Herstellern, die von Microsoft unabhängig sind. Microsoft gewährt keine implizite oder sonstige Garantie in Bezug auf die Leistung oder Zuverlässigkeit dieser Produkte.

Haftungsausschluss für Kontaktinformationen von Drittanbietern

Die Kontaktinformationen zu den in diesem Artikel erwähnten Drittanbietern sollen Ihnen helfen, den benötigten technischen Support zu finden. Diese Kontaktinformationen können ohne vorherige Ankündigung geändert werden. Sie werden von Microsoft ohne jede Gewähr weitergegeben.