Mailguard 기능이 켜져 있는 Cisco PIX 또는 Cisco ASA 방화벽 뒤에 전자 메일 메시지를 보내거나 받을 수 없습니다.

  • 아티클
  • 적용 대상:
    Exchange Server 2013, Exchange Server 2010, Exchange Server 2016, Exchange Server 2019

원래 KB 번호: 320027

이 문서에서는 Exchange 서버가 Cisco PIX 또는 Cisco ASA 방화벽 디바이스 뒤에 배치되고 PIX 또는 ASA 방화벽에 Mailguard 기능이 설정된 경우 전자 메일 메시지를 보내거나 받을 수 없는 동작의 원인을 설명합니다. PIX 또는 ASA 방화벽의 Mailguard 기능을 해제하는 단계를 제공합니다.

중요

이 문서에는 보안 설정을 낮추는 방법 또는 컴퓨터에서 보안 기능을 끄는 방법을 보여 주는 정보가 포함되어 있습니다. 특정 문제를 해결하기 위해 이러한 변경을 수행할 수 있습니다. 이러한 변경을 하기 전에 특정 환경에서 이 해결 방법을 구현하는 것과 관련된 위험을 평가하는 것이 좋습니다. 이 해결 방법을 구현하는 경우 컴퓨터를 보호하는 데 도움이 되는 적절한 추가 단계를 수행합니다.

증상

다음 동작 중 하나 이상이 발생할 수 있습니다.

  • 인터넷 기반 전자 메일 메시지를 받을 수 없습니다.
  • 첨부 파일이 있는 전자 메일 메시지는 보낼 수 없습니다.
  • 포트 25에서 Microsoft Exchange 서버를 사용하여 텔넷 세션을 설정할 수 없습니다.
  • Exchange 서버에 EHLO 명령을 보내면 인식 할 수 없는 명령 또는 확인 응답을 받게 됩니다.
  • 특정 도메인에서는 메일을 보내거나 받을 수 없습니다.
  • POP3(Post Office Protocol 버전 3) 인증 문제 - 550 5.7.1 릴레이가 로컬 서버에서 거부되었습니다.
  • 중복된 전자 메일 메시지가 전송되는 문제(때로는 5~6회).
  • 들어오는 SMTP(Simple Mail Transfer Protocol) 메시지가 중복됩니다.
  • Microsoft Outlook 클라이언트 또는 Microsoft Outlook Express 클라이언트는 전자 메일을 보내려고 할 때 0x800CCC79 오류를 보고합니다.
  • 이진 mime(8bitmime)에 문제가 있습니다. NDR(배달 못 함 보고서): 원격 호스트에서 지원되지 않는 554 5.6.1 본문 형식에서 텍스트를 받습니다.
  • 첨부 파일이 없거나 왜곡된 문제가 있습니다.
  • Cisco PIX 또는 Cisco ASA 방화벽 디바이스가 라우팅 그룹 간에 있을 때 라우팅 그룹 간의 연결 상태 라우팅에 문제가 있습니다.
  • X LINK2STATE 동사는 전달되지 않습니다.
  • 라우팅 그룹 커넥터를 통해 서버 간에 인증 문제가 있습니다.

원인

이 문제는 다음과 같은 상황에서 발생할 수 있습니다.

  • Exchange 서버는 Cisco PIX 또는 Cisco ASA 방화벽 디바이스 뒤에 배치됩니다.

-및-

  • PIX 또는 ASA 방화벽에 Mailguard 기능이 켜져 있습니다.
  • 인증 및 인증 로그인 명령(확장 단순 메일 전송 프로토콜 [ESMTP] 명령)은 방화벽에 의해 제거되므로 시스템에서 로컬이 아닌 도메인에서 릴레이하고 있다고 생각하게 됩니다.

Mailguard가 Cisco PIX 또는 Cisco ASA 방화벽에서 실행 중인지 확인하려면 텔넷에서 MX 레코드의 IP 주소로 이동하고 응답이 다음과 유사한지 확인합니다.

220*******************************************************0*2******0***********************

2002*******2***0*00

Old versions of PIX or ASA:

220 SMTP/cmap_________________________________________ read

참고

PIX 또는 ASA 방화벽 뒤에 ESMTP 서버가 있는 경우 메일이 올바르게 흐르도록 허용하려면 Mailguard 기능을 해제해야 할 수 있습니다. 또한 포트 25에 대한 텔넷 세션을 설정하는 것은 명령, fixup protocol smtp 특히 문자 모드를 사용하는 텔넷 클라이언트에서 작동하지 않을 수 있습니다.

Cisco PIX 또는 Cisco ASA 방화벽 외에도 이 문서의 앞부분에서 언급한 문제를 생성할 수 있는 SMTP 프록시 기능이 있는 여러 방화벽 제품이 있습니다. 다음은 제품에 SMTP 프록시 기능이 있는 방화벽 제조업체 목록입니다.

  • Watchguard Firebox
  • 검사점
  • 랩 터

자세한 내용은 "추가 정보" 섹션에 나열된 웹 사이트를 방문하세요.

해결 방법

경고

해결 방법으로 인해 컴퓨터나 네트워크가 악의적인 사용자나 바이러스와 같은 악성 소프트웨어의 공격에 취약해질 수 있습니다. 이 해결 방법은 권장하지 않지만 사용자의 재량에 따라 이 해결 방법을 구현할 수 있도록 이 정보를 제공하고 있습니다. 그러므로 이 해결 방법을 사용하여 발생하는 모든 위험은 전적으로 사용자 책임입니다.

참고

방화벽은 악의적인 사용자 또는 원치 않는 들어오는 네트워크 트래픽을 사용하여 컴퓨터를 공격하는 바이러스와 같은 악성 소프트웨어의 공격으로부터 컴퓨터를 보호하도록 설계되었습니다. 방화벽을 사용하지 않도록 설정하기 전에 인터넷을 포함한 모든 네트워크에서 컴퓨터의 연결을 끊어야 합니다.

이 문제를 resolve PIX 또는 ASA 방화벽의 Mailguard 기능을 끕니다.

경고

PIX 또는 ASA 뒤에 ESMTP 서버가 있는 경우 메일이 올바르게 흐르도록 메일 보호 기능을 해제해야 할 수 있습니다. 텔넷 명령을 사용하여 포트 25를 사용하는 경우 수정 프로토콜 smtp 명령에서는 작동하지 않을 수 있으며 문자 모드를 수행하는 텔넷 클라이언트에서 더 두드러집니다.

PIX 또는 ASA 방화벽의 Mailguard 기능을 해제하려면 다음을 수행합니다.

  1. 텔넷 세션을 설정하거나 콘솔을 사용하여 PIX 또는 ASA 방화벽에 로그인합니다.
  2. enable을 입력한 다음 Enter 키를 누릅니다.
  3. 암호를 입력하라는 메시지가 표시되면 암호를 입력한 다음 Enter 키를 누릅니다.
  4. 터미널 구성을 입력한 다음 Enter 키를 누릅니다.
  5. 수정 프로토콜 smtp 25를 입력하지 않고 Enter 키를 누릅니다.
  6. 쓰기 메모리를 입력한 다음 Enter 키를 누릅니다.
  7. PIX 또는 ASA 방화벽을 다시 시작하거나 다시 로드합니다.

추가 정보

PIX 또는 ASA 소프트웨어 메일 보호 기능(초기 버전에서는 Mailhost라고도 함)이 SMTP(Simple Mail Transfer Protocol) 트래픽을 필터링합니다. PIX 또는 ASA Software 버전 4.0 및 4.1의 mailhost 경우 이 명령은 Mailguard를 구성하는 데 사용됩니다. PIX 또는 ASA 소프트웨어 버전 4.2 이상에서는 명령이 fixup protocol smtp 25 사용됩니다.

참고

메일 서버에 대한 고정 IP 주소 할당 및 도관 문도 있어야 합니다.

Mailguard가 구성되면 Mailguard는 RFC(주석 요청) 821, 섹션 4.5.1에 설명된 대로 7개의 SMTP 최소 필수 명령만 허용합니다. 이러한 7개의 필수 명령은 다음과 같습니다.

  • Helo
  • 메일
  • Rcpt
  • 데이터
  • Rset
  • NOOP
  • 종료

KILL 및 WIZ와 같은 다른 명령은 PIX 또는 ASA 방화벽을 통해 메일 서버로 전달되지 않습니다. 초기 버전의 PIX 또는 ASA 방화벽은 차단된 명령에도 OK 응답을 반환합니다. 이는 공격자가 명령이 차단되었다는 사실을 알지 못하도록 하기 위한 것입니다.

RFC 821을 보려면 RFC 웹 사이트 RFC 821 - 단순 메일 전송 프로토콜을 방문하세요.

다른 모든 명령은 500 명령 인식할 수 없는 응답으로 거부됩니다.

펌웨어 버전이 5.1 이상인 Cisco PIX 및 ASA 방화벽에서 명령은 SMTP 배너의 문자를 "2", fixup protocol smtp "0", "0" 문자를 제외하고 별표로 변경합니다. CR(캐리지 리턴) 및 LF(줄 바꿈) 문자는 무시됩니다. 버전 4.4에서는 SMTP 배너의 모든 문자가 별표로 변환됩니다.

적절한 함수에 대한 Mailguard 테스트

Mailguard 기능은 모든 명령에 대한 OK 응답을 반환할 수 있으므로 활성 상태인지 확인하기 어려울 수 있습니다. Mailguard 기능이 유효하지 않은 명령을 차단하고 있는지 확인하려면 다음 단계를 수행합니다.

참고

다음 단계는 PIX 또는 ASA 소프트웨어 버전 4.0 및 4.1을 기반으로 합니다. 이후 버전의 PIX 또는 ASA 소프트웨어(버전 4.2 이상)를 테스트하려면 명령과 메일 서버에 적절한 정적도관 문을 사용합니다fixup protocol smtp 25.

Mailguard가 꺼져 있는 경우

  1. PIX 또는 ASA 방화벽에서 정적 및 도관 명령을 사용하여 TCP 포트 25(SMPT)의 모든 호스트를 허용합니다.

  2. 포트 25에서 PIX 또는 ASA 방화벽의 외부 인터페이스에 텔넷 세션을 설정합니다.

  3. 유효하지 않은 명령을 입력한 다음 Enter 키를 누릅니다. 예를 들어 goodmorning을 입력한 다음 Enter 키를 누릅니다.

    500 명령을 인식할 수 없음이라는 응답이 표시됩니다.

Mailguard가 켜져 있는 경우

  1. mailhost 또는 명령을 사용하여 PIX 또는 fixup protocol smtp 25 ASA 방화벽의 외부 인터페이스에서 Mailguard 기능을 켭니다.

  2. 포트 25에서 PIX 또는 ASA 방화벽의 외부 인터페이스에 텔넷 세션을 설정합니다.

  3. 잘못된 명령을 입력한 다음 Enter 키를 누릅니다. 예를 들어 goodmorning을 입력한 다음 Enter 키를 누릅니다.

    다음과 같은 응답을 받 습니다.

Mailguard 기능이 꺼지면 메일 서버는 500 명령 인식할 수 없는 메시지와 함께 유효하지 않은 명령에 응답합니다. 그러나 Mailguard 기능이 켜져 있으면 방화벽이 필요한 최소 7개의 SMTP 명령만 전달하므로 PIX 또는 ASA 방화벽은 유효하지 않은 명령을 가로채는 것입니다. PIX 또는 ASA 방화벽은 명령이 유효한지 여부에 관계없이 확인 으로 응답합니다.

기본적으로 PIX 또는 ASA 방화벽은 모든 외부 연결이 내부 호스트에 액세스하지 못하도록 차단합니다. 정적, 액세스 목록 및 액세스 그룹 명령 문을 사용하여 외부 액세스를 허용합니다.

SMTP 프록시 기능이 있는 방화벽 제품에 대한 자세한 내용은 다음 웹 사이트를 참조하세요.

타사 정보 고지 사항

이 문서에 나와 있는 다른 공급업체 제품은 Microsoft와 무관한 회사에서 제조한 것입니다. Microsoft는 이들 제품의 성능이나 안정성에 관하여 명시적이든 묵시적이든 어떠한 보증도 하지 않습니다.

타사 연락처 고지

이 문서에 포함된 다른 공급업체의 연락처 정보는 기술 지원을 받는 데 도움을 주기 위한 것입니다. 이 연락처 정보는 공지 없이 변경될 수 있습니다. Microsoft는 이러한 다른 공급업체 연락처 정보의 정확성을 보증하지 않습니다.