No se pueden enviar ni recibir mensajes de correo electrónico detrás de un firewall de Cisco PIX o Cisco ASA con la característica Mailguard activada

  • Artículo
  • Se aplica a:
    Exchange Server 2013, Exchange Server 2010, Exchange Server 2016, Exchange Server 2019

Número de KB original: 320027

En este artículo se describe la causa del comportamiento que usted no puede enviar o recibir mensajes de correo electrónico si un servidor exchange se coloca detrás de un dispositivo de firewall Cisco PIX o Cisco ASA y el firewall PIX o ASA tiene activada la característica Mailguard. Proporciona los pasos para desactivar la característica Mailguard del firewall PIX o ASA.

Importante

Este artículo contiene información que muestra cómo ayudar a reducir la configuración de seguridad o cómo desactivar las características de seguridad en un equipo. Puede realizar estos cambios para solucionar un problema específico. Antes de realizar estos cambios, se recomienda evaluar los riesgos asociados a la implementación de esta solución alternativa en un entorno determinado. Si implementa esta solución alternativa, siga los pasos adicionales adecuados para ayudar a proteger el equipo.

Síntomas

Puede experimentar uno o varios de los siguientes comportamientos:

  • No puede recibir mensajes de correo electrónico basados en Internet.
  • No puede enviar mensajes de correo electrónico con datos adjuntos.
  • No se puede establecer una sesión telnet con microsoft Exchange Server en el puerto 25.
  • Cuando se envía un comando EHLO al servidor exchange, se recibe una respuesta Command unrecognized o OK .
  • No puede enviar ni recibir correo en dominios específicos.
  • Problemas con la autenticación del protocolo de oficina de correos versión 3 (POP3): 550 5.7.1 retransmisión denegada desde el servidor local.
  • Problemas con el envío de mensajes de correo electrónico duplicados (a veces de cinco a seis veces).
  • Recibe mensajes duplicados entrantes del Protocolo simple de transferencia de correo (SMTP).
  • Los clientes de Microsoft Outlook o los clientes de Microsoft Outlook Express notifican un error de 0x800CCC79 al intentar enviar correo electrónico.
  • Hay problemas con el mime binario (8bitmime). Recibirá el texto en un informe de no entrega (NDR): tipo de cuerpo 554 5.6.1 no compatible con el host remoto.
  • Hay problemas con los datos adjuntos que faltan o están destemblados.
  • Hay problemas con el enrutamiento del estado del link entre los grupos de enrutamiento cuando un dispositivo de firewall de Cisco PIX o Cisco ASA está entre los grupos de enrutamiento.
  • No se pasa el verbo X-LINK2STATE.
  • Hay problemas de autenticación entre servidores a través de un conector de grupo de enrutamiento.

Causa

Este problema puede producirse en la siguiente situación:

  • El servidor exchange se coloca detrás de un dispositivo de firewall Cisco PIX o Cisco ASA.

-y-

  • El firewall PIX o ASA tiene activada la característica Mailguard.
  • El firewall quita los comandos Auth y Auth login (extended Simple Mail Transfer Protocol [ESMTP]) y esto hace que el sistema piense que se está retransmitiendo desde un dominio no local.

Para determinar si Mailguard se está ejecutando en su firewall de Cisco PIX o Cisco ASA, Telnet a la dirección IP del registro MX, y después compruebe si la respuesta parece similar a la siguiente:

220*******************************************************0*2******0***********************

2002*******2***0*00

Old versions of PIX or ASA:

220 SMTP/cmap_________________________________________ read

Nota:

Si tiene un servidor ESMTP detrás del firewall PIX o ASA, puede que tenga que desactivar la característica Mailguard para permitir que el correo fluya correctamente. Además, es posible que el establecimiento de una sesión telnet en el puerto 25 no funcione con el fixup protocol smtp comando, especialmente con un cliente Telnet que use el modo de caracteres.

Además del firewall de Cisco PIX o Cisco ASA, hay varios productos de firewall que tienen capacidades de proxy SMTP que pueden producir los problemas que se mencionan anteriormente en este artículo. A continuación se muestra una lista de fabricantes de firewall cuyos productos tienen características de proxy SMTP:

  • Watchguard Firebox
  • Checkpoint
  • Raptor

Para obtener más información, visite los sitios web que aparecen en la sección "Más información".

Solución

Advertencia

Esta solución alternativa puede hacer que un equipo o una red sean más vulnerables a los ataques de usuarios o de software malintencionados, como los virus. No recomendamos esta solución alternativa, pero proporcionamos esta información para que pueda implementar esta solución alternativa a su entera discreción. Use esta solución alternativa bajo su propia responsabilidad.

Nota:

Un firewall está diseñado para ayudar a proteger el equipo frente a ataques de usuarios malintencionados o de software malintencionado, como virus que usan tráfico de red entrante no solicitado para atacar el equipo. Antes de deshabilitar el firewall, debe desconectar el equipo de todas las redes, incluido Internet.

Para resolver este problema, desactive la característica Mailguard del firewall PIX o ASA.

Advertencia

Si usted tiene un servidor ESMTP detrás del PIX o ASA, usted puede tener que apagar la característica mailguard para hacer posible que el correo fluya correctamente. Si usa el comando Telnet para el puerto 25, es posible que no funcione con el comando smtp del protocolo fixup, y esto es más notable con un cliente Telnet que realiza el modo de caracteres.

Para desactivar la característica Mailguard del firewall PIX o ASA:

  1. Inicie sesión en el firewall PIX o ASA estableciendo una sesión telnet o usando la consola.
  2. Escriba enable y, a continuación, presione Entrar.
  3. Cuando se le pida la contraseña, escriba la contraseña y, a continuación, presione Entrar.
  4. Escriba configurar terminal y, a continuación, presione Entrar.
  5. Escriba no fixup protocol smtp 25 y presione Entrar.
  6. Escriba memoria de escritura y, a continuación, presione Entrar.
  7. Reinicie o recargue el firewall PIX o ASA.

Más información

La característica PIX o ASA Software Mailguard (también llamada Mailhost en las primeras versiones) filtra el tráfico del Protocolo simple de transferencia de correo (SMTP). Para las versiones de software PIX o ASA 4.0 y 4.1, el mailhost comando se utiliza para configurar Mailguard. En pix o asa software versión 4.2 y posterior, se utiliza el fixup protocol smtp 25 comando.

Nota:

También debe tener asignaciones de direcciones IP estáticas e instrucciones de conducto para el servidor de correo.

Cuando mailguard está configurado, Mailguard solo permite los siete comandos smtp mínimos requeridos como se describe en la solicitud de comentario (RFC) 821, sección 4.5.1. Estos siete comandos necesarios son los siguientes:

  • HELO
  • CORREO
  • RCPT
  • DATOS
  • RSET
  • NOOP
  • DEJAR

El firewall PIX o ASA no reenvía otros comandos, como KILL y WIZ al servidor de correo. Las primeras versiones del firewall PIX o ASA devuelven una respuesta OK , incluso a los comandos que se bloquean. Esto está pensado para evitar que un atacante sepa que los comandos se han bloqueado.

Para ver RFC 821, visite el sitio web rfc: RFC 821 - Protocolo simple de transferencia de correo.

Todos los demás comandos se rechazan con la respuesta 500 Command no reconocida .

En los firewalls de Cisco PIX y ASA con las versiones de firmware 5.1 y posteriores, el fixup protocol smtp comando cambia los caracteres en el banner SMTP a asteriscos excepto para los caracteres "2", "0", "0". Se omiten los caracteres retorno de carro (CR) y avance de línea (LF). En la versión 4.4, todos los caracteres del banner SMTP se convierten en asteriscos.

Prueba de Mailguard para una función adecuada

Dado que la característica Mailguard puede devolver una respuesta OK a todos los comandos, puede ser difícil determinar si está activa. Para determinar si la característica Mailguard bloquea comandos que no son válidos, siga estos pasos.

Nota:

Los pasos siguientes se basan en la versión 4.0 y 4.1 del software PIX o ASA. Para probar versiones posteriores del software PIX o ASA (versión 4.2 y posteriores), utilice el fixup protocol smtp 25 comando y las instrucciones estáticas y conduit adecuadas para su servidor de correo.

Con Mailguard desactivado

  1. En el firewall PIX o ASA, utilice los comandos static y conduit para permitir todos los hosts en en el puerto TCP 25 (SMPT).

  2. Establezca una sesión telnet en la interfaz externa del firewall PIX o ASA en el puerto 25.

  3. Escriba un comando que no sea válido y presione ENTRAR. Por ejemplo, escriba goodmorning y presione Entrar.

    Recibe la respuesta: 500 Comando no reconocido.

Con Mailguard activado

  1. Utilice el mailhost o el fixup protocol smtp 25 comando para activar la característica mailguard en la interfaz externa del firewall PIX o ASA.

  2. Establezca una sesión telnet en la interfaz externa del firewall PIX o ASA en el puerto 25.

  3. Escriba un comando que no sea válido y, a continuación, presione Entrar. Por ejemplo, escriba goodmorning y presione Entrar.

    Recibe la respuesta: Aceptar.

Cuando se desactiva la característica Mailguard, el servidor de correo responde al comando que no es válido con el mensaje 500 Command unrecognized . Sin embargo, cuando se activa la característica Mailguard, el firewall PIX o ASA intercepta el comando que no es válido, porque el firewall pasa solamente los siete comandos SMTP mínimos requeridos. El firewall PIX o ASA responde con OK si el comando es válido o no.

De forma predeterminada, el firewall PIX o ASA bloquea todas las conexiones externas para que no accedan dentro de los hosts. Use las instrucciones de comando static, access-list y access-group para permitir el acceso externo.

Para obtener más información sobre los productos de firewall que tienen funcionalidades de proxy SMTP, visite los siguientes sitios web:

Aviso de declinación de responsabilidades sobre la información de terceros

Los productos de otros fabricantes que se mencionan en este artículo han sido creados por compañías independientes de Microsoft. Microsoft no ofrece ninguna garantía, ya sea implícita o de otro tipo, sobre la confiabilidad o el rendimiento de dichos productos.

Aviso de declinación de responsabilidades sobre la información de contacto de terceros

Microsoft proporciona información de contacto de otros proveedores para ayudarle a encontrar soporte técnico. Dicha información de contacto puede cambiar sin notificación previa. Microsoft no garantiza la precisión de esta información de contacto de terceros.