ID Artikel: 320027 - Kajian Terakhir: 24 September 2011 - Revisi: 2.0

Tidak dapat mengirim atau menerima pesan e-mail di belakang firewall Cisco PIX atau Cisco ASA

Tampil berdampinganKlik disini untuk menampilkan sumber Inggris dan terjemahan oleh mesin secara berdampingan
Penerjemahan MesinPeringatan: artikel ini adalah terjemahan oleh mesin
Melihat produk di mana artikel ini berlaku.
Tips SistemThis article applies to a different operating system than the one you are using. Article content that may not be relevant to you is disabled.
Penting Artikel ini berisi informasi yang menunjukkan pada Anda cara membantu menurunkan pengaturan keamanan atau mematikan fitur keamanan pada komputer. Anda dapat membuat perubahan untuk mengatasi masalah khusus. Sebelum menerapkan perubahan tersebut, kami sarankan Anda mengevaluasi risiko yang berkaitan dengan penerapan sarana kerja ini di lingkungan tertentu. Apabila Anda menerapkan sarana kerja ini, lakukan langkah tambahan yang diperlukan untuk membantu melindungi komputer.

Pada Halaman ini

Perbesar semua | Perkecil semua

GEJALA

Anda mungkin mengalami satu atau lebih peristiwa berikut:
  • Anda tidak dapat menerima e-mail berbasis Internet pesan.
  • Anda tidak dapat mengirim pesan e-mail dengan lampiran.
  • Anda tidak dapat membuat sesi telnet dengan Microsoft Exchange server pada port 25.
  • Ketika Anda mengirim EHLO perintah untuk Exchange server, Anda menerima sebuah "perintah tidak dikenal" atau "OK" respon.
  • Anda tidak dapat mengirim atau menerima surat pada spesifik domain.
  • Masalah dengan Post Office Protocol versi 3 (POP3) otentikasi - 550 5.7.1 menyampaikan ditolak dari server lokal.
  • Masalah dengan e-mail duplikat pesan yang dikirim (kadang-kadang lima sampai enam kali).
  • Anda menerima duplikat pesan masuk protokol Transfer surat sederhana (SMTP).
  • Klien Microsoft Outlook atau Microsoft Outlook Express klien melaporkan 0x800CCC79 kesalahan ketika mencoba untuk mengirim e-mail.
  • Ada masalah dengan mime biner (8bitmime). Anda menerima teks berikut dalam laporan non-pengiriman (NDR):
    554 5.6.1 Tubuh jenis tidak didukung oleh Remote Host.
  • Ada masalah dengan lampiran hilang atau kacau.
  • Ada masalah dengan link negara routing antara kelompok-kelompok routing saat Cisco PIX atau Cisco ASA firewall perangkat antara kelompok-kelompok routing.
  • Kata X LINK2STATE tidak melewati.
  • Ada masalah otentikasi antara server atas grup routing konektor.
Kembali ke atas

PENYEBAB

Masalah ini dapat terjadi pada situasi berikut:
  • Exchange server ditempatkan di belakang Cisco PIX atau Cisco ASA firewall perangkat.

    -dan-
  • PIX atau ASA firewall memiliki fitur Mailguard dihidupkan.
  • Auth dan Auth login perintah (perintah diperpanjang Simple Mail Transfer Protocol [ESMTP]) dilucuti oleh firewall, dan ini membuat sistem berpikir bahwa Anda menyampaikan dari domain non lokal.
Untuk menentukan apakah Mailguard berjalan di Cisco PIX atau Cisco ASA firewall Anda, Telnet ke alamat IP MX record, dan kemudian memeriksa apakah respon terlihat mirip dengan berikut:
220*******************************************************0*2******0***********************
2002 ******* 2 *** 0 * 00

Versi lama PIX atau ASA:

220 SMTP/cmap_________________________________________ membaca
Untuk informasi lebih lanjut, kunjungi situs Cisco Web berikut:
http://www.Cisco.com/en/US/Tech/tk331/tk897/tsd_technology_support_sub-protocol_home.html (http://www.cisco.com/en/US/tech/tk331/tk897/tsd_technology_support_sub-protocol_home.html)
http://www.Cisco.com/en/US/products/HW/vpndevc/ps2030/products_tech_note09186a00800b2ecb.shtml (http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/products_tech_note09186a00800b2ecb.shtml)
CatatanJika Anda memiliki server ESMTP di belakang PIX atau ASA firewall, Anda mungkin harus mematikan fitur Mailguard untuk mengizinkan surat mengalir dengan benar. Juga, menetapkan sesi Telnet ke port 25 mungkin tidak bekerja denganfixup protokol smtp perintah, terutama dengan Telnet client yang menggunakan modus karakter.

Catatan Selain Cisco PIX atau Cisco ASA firewall, ada beberapa produk firewall yang memiliki kemampuan SMTP Proxy yang dapat menghasilkan isu-isu yang disebutkan sebelumnya dalam artikel ini. Berikut ini adalah daftar firewall produsen produk yang memiliki fitur SMTP Proxy:
  • Watchguard tungku
  • Poin periksa
  • Raptor

Untuk informasi tambahan, kunjungi situs Web yang terdaftar di bagian "Informasi selengkapnya".
Kembali ke atas

PEMECAHAN MASALAH

Warning Solusi ini dapat membuat komputer atau jaringan menjadi lebih rentan untuk menyerang oleh pengguna jahat atau oleh perangkat lunak berbahaya seperti virus. Kami tidak menyarankan sarana kerja ini namun memberikan informasi ini sehingga Anda dapat menerapkan sarana kerja ini berdasarkan pilihan Anda sendiri. Gunakan sarana kerja ini dan tanggung risikonya.

Catatan Firewall dirancang untuk membantu melindungi komputer Anda dari serangan pengguna berbahaya atau dari perangkat lunak berbahaya seperti virus yang menggunakan lalu lintas jaringan masuk yang tidak diinginkan untuk menyerang komputer Anda. Sebelum Anda menonaktifkan firewall Anda, Anda harus memutus komputer Anda dari semua jaringan termasuk Internet.

Untuk mengatasi masalah ini, mematikan fitur Mailguard PIX atau ASA firewall.

WarningJika Anda memiliki server ESMTP di belakang PIX atau ASA, Anda mungkin harus mematikan fitur Mailguard untuk memungkinkan e-mail dengan benar mengalir. Jika Anda menggunakan perintah Telnet ke port 25, ini mungkin tidak bekerja denganfixup protokol smtp perintah, dan ini adalah lebih terlihat dengan Telnet client yang melakukan modus karakter.

Untuk mematikan fitur Mailguard PIX atau ASA firewall:
  1. Log on ke PIX atau ASA firewall dengan membangun sesi telnet atau dengan menggunakan konsol.
  2. Jenis mengaktifkan, kemudian tekan MASUKKAN.
  3. Saat Anda diminta untuk sandi, ketik Anda password, dan kemudian tekan ENTER.
  4. Jenis konfigurasi terminal, dan kemudian tekan ENTER.
  5. Jenis fixup tidak ada protokol smtp 25, dan kemudian tekan ENTER.
  6. Jenis menulis memori, kemudian tekan MASUKKAN.
  7. Restart atau reload PIX atau ASA firewall.
Kembali ke atas

INFORMASI LEBIH LANJUT

PIX atau ASA Software Mailguard fitur (juga disebut Mailhost dalam versi awal) menyaring lalu lintas protokol Transfer surat sederhana (SMTP). Untuk PIX atau ASA Software Versi 4.0 dan 4.1,mailhostperintah ini digunakan untuk mengkonfigurasi Mailguard. PIX atau ASA Software Versi 4.2 dan kemudian,fixup protokol smtp 25 perintah ini digunakan.

Catatan Anda juga harus memiliki alamat IP statis tugas dan saluran pernyataan untuk server mail Anda.

Ketika Mailguard dikonfigurasi, Mailguard memungkinkan hanya tujuh SMTP minimum yang diwajibkan perintah seperti yang dijelaskan dalam permintaan untuk komentar (RFC) 821, bagian 4.5.1. Perintah ini tujuh diperlukan Berikut ini:
HELO
SURAT
RCPT
DATA
RSET
NOOP
BERHENTI
Lain perintah, seperti membunuh dan WIZ tidak diteruskan ke server e-mail dengan PIX atau ASA firewall. Versi awal PIX atau ASA firewall kembali respon "OK", bahkan untuk perintah yang diblokir. Hal ini dimaksudkan untuk mencegah penyerang dari pengetahuan bahwa perintah telah diblokir.

Untuk melihat RFC 821, kunjungi Website RFC berikut ini:
http://www.FAQs.org/rfcs/rfc821.html (http://www.faqs.org/rfcs/rfc821.html)
Semua perintah lain ditolak dengan "500 perintah tidak diakui"respon.

Pada Cisco PIX dan ASA firewall dengan firmware versi 5.1 dan kemudian,fixup protokol smtp perintah perubahan karakter dalam spanduk SMTP tanda bintang kecuali untuk "2", "0", "0" karakter. Carriage return (CR) dan linefeed (LF) karakter akan diabaikan. Dalam versi 4,4, semua karakter dalam spanduk SMTP dikonversi ke tanda bintang.
Kembali ke atas

Tes Mailguard untuk fungsi yang tepat

Karena fitur Mailguard mungkin kembali "OK" Respon untuk semua perintah, mungkin sulit untuk menentukan apakah aktif. Untuk menentukan Apakah Mailguard fitur yang menghalangi perintah yang tidak sah, ikuti langkah-langkah berikut.

CatatanLangkah-langkah berikut berdasarkan PIX atau ASA software versi 4.0 dan 4.1. Untuk menguji versi PIX atau ASA perangkat lunak (versi 4.2 dan kemudian), gunakanfixup protokol smtp 25 perintah dan yang sesuai statis dan Conduit pernyataan untuk email Anda server.

Dengan Mailguard dimatikan

  1. PIX atau ASA firewall, menggunakan statis dan saluran perintah untuk memungkinkan semua host di pada TCP port 25 (SMPT).
  2. Menetapkan sesi telnet pada antarmuka eksternal PIX atau ASA firewall pada port 25.
  3. Ketik perintah yang tidak sah, dan kemudian tekan ENTER. Untuk contoh, jenis Goodmorning, kemudian tekan MASUKKAN.

    Anda menerima respon berikut:
    500 Perintah tidak dikenal.

Dengan Mailguard diaktifkan

  1. Penggunaan mailhost atau fixup protokol smtp 25perintah untuk menghidupkan fitur Mailguard pada antarmuka eksternal PIX atau ASA firewall.
  2. Menetapkan sesi telnet pada antarmuka eksternal PIX atau ASA firewall pada port 25.
  3. Ketik perintah yang tidak sah, dan kemudian tekan ENTER. Untuk contoh, jenis Goodmorning, kemudian tekan MASUKKAN.

    Anda menerima respon berikut:
    Baiklah.
Ketika Mailguard fitur dimatikan, mail server menanggapi perintah yang tidak sah dengan pesan "500 perintah tidak dikenal". Namun, ketika Mailguard fitur diaktifkan, PIX atau ASA firewall penyadapan perintah yang tidak sah, karena melewati firewall hanya tujuh minimum diperlukan SMTP perintah. PIX atau ASA firewall menanggapi dengan "OK" Apakah perintah sah atau tidak.

Secara default, PIX atau ASA firewall blok semua di luar sambungan dari mengakses dalam host. Menggunakan statis, akses-daftar dan akses-kelompok perintah pernyataan untuk mengizinkan akses luar. Untuk informasi tambahan tentang perintah ini, kunjungi Website Cisco berikut ini:
http://www.Cisco.com/univercd/cc/TD/doc/Product/iaabu/pix/pix_60/config/commands.htm (http://www.cisco.com/univercd/cc/td/doc/product/iaabu/pix/pix_60/config/commands.htm)
Untuk informasi tambahan tentang cara mengkonfigurasi firewall Cisco PIX atau ASA, silahkan kunjungi situs Cisco Web berikut:
http://www.Cisco.com/univercd/cc/TD/doc/Product/iaabu/pix/pix_v52/config/commands.htm#xtocid1604922 (http://www.cisco.com/univercd/cc/td/doc/product/iaabu/pix/pix_v52/config/commands.htm#xtocid1604922)
http://www.Cisco.com/en/US/products/sw/secursw/ps2120/products_installation_and_configuration_guides_list.html (http://www.cisco.com/en/US/products/sw/secursw/ps2120/products_installation_and_configuration_guides_list.html)
http://www.Cisco.com/en/US/products/HW/vpndevc/ps2030/products_tech_note09186a00800b2ecb.shtml (http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/products_tech_note09186a00800b2ecb.shtml)


Untuk informasi lebih lanjut tentang produk firewall yang memiliki kemampuan SMTP Proxy, kunjungi Website berikut:
http://www.Watchguard.com (http://www.watchguard.com)
http://www.Checkpoint.com (http://www.checkpoint.com)
http://www.Symantec.com/Business/index.jsp (http://www.symantec.com/business/index.jsp)
Produk pihak ketiga yang dibahas di artikel ini dibuat oleh perusahaan yang independen terhadap Microsoft. Microsoft tidak memberikan garansi, secara tersirat atau dalam bentuk apa pun, terkait kinerja atau keandalan produk ini.Microsoft menyediakan informasi kontak pihak ketiga untuk membantu Anda menemukan dukungan teknis. Informasi kontak ini dapat berubah tanpa pemberitahuan. Microsoft tidak menjamin ketepatan dari kontak pihak ketiga ini informasi.
Kembali ke atas
Berlaku bagi:
  • Microsoft Exchange Server 2010 Standard
  • Microsoft Exchange Server 2010 Enterprise
  • Microsoft Exchange Server 2007 Standard Edition
  • Microsoft Exchange Server 2007 Enterprise Edition
  • Microsoft Exchange Server 2003 Standard Edition
  • Microsoft Exchange 2000 Server Standard Edition
  • Microsoft Exchange Server 5.5 Standard Edition
Kembali ke atas
Kata kunci: 
kbprb kbmt KB320027 KbMtid
Kembali ke atas
Penerjemahan MesinPenerjemahan Mesin
PENTING: Artikel ini diterjemahkan menggunakan perangkat lunak mesin penerjemah Microsoft dan bukan oleh seorang penerjemah. Microsoft menawarkan artikel yang diterjemahkan oleh seorang penerjemah maupun artikel yang diterjemahkan menggunakan mesin sehingga Anda akan memiliki akses ke seluruh artikel baru yang diterbitkan di Pangkalan Pengetahuan (Knowledge Base) dalam bahasa yang Anda gunakan. Namun, artikel yang diterjemahkan menggunakan mesin tidak selalu sempurna. Artikel tersebut mungkin memiliki kesalahan kosa kata, sintaksis, atau tata bahasa, hampir sama seperti orang asing yang berbicara dalam bahasa Anda. Microsoft tidak bertanggung jawab terhadap akurasi, kesalahan atau kerusakan yang disebabkan karena kesalahan penerjemahan konten atau penggunaannya oleh para pelanggan. Microsoft juga sering memperbarui perangkat lunak mesin penerjemah.
Klik disini untuk melihat versi Inggris dari artikel ini:320027  (http://support.microsoft.com/kb/320027/en-us/ )
Kembali ke atas