Kan ikke sende eller motta e-postmeldinger bak en Cisco PIX- eller Cisco ASA-brannmur med Mailguard-funksjonen slått på

  • Artikkel
  • Gjelder for:
    Exchange Server 2013, Exchange Server 2010, Exchange Server 2016, Exchange Server 2019

Opprinnelig KB-nummer: 320027

Denne artikkelen beskriver årsaken til virkemåten som du ikke kan sende eller motta e-postmeldinger hvis en Exchange-server plasseres bak en Cisco PIX- eller Cisco ASA-brannmurenhet, og PIX- eller ASA-brannmuren har Mailguard-funksjonen slått på. Den gir trinn for å slå av Mailguard-funksjonen i PIX- eller ASA-brannmuren.

Viktig

Denne artikkelen inneholder informasjon som viser deg hvordan du bidrar til å redusere sikkerhetsinnstillingene eller hvordan du deaktiverer sikkerhetsfunksjoner på en datamaskin. Du kan gjøre disse endringene for å omgå et bestemt problem. Før du gjør disse endringene, anbefaler vi at du evaluerer risikoene som er knyttet til å implementere denne midlertidige løsningen i det bestemte miljøet. Hvis du implementerer denne midlertidige løsningen, må du utføre eventuelle nødvendige ytterligere trinn for å beskytte datamaskinen.

Symptomer

Du kan oppleve én eller flere av følgende virkemåter:

  • Du kan ikke motta Internett-baserte e-postmeldinger.
  • Du kan ikke sende e-postmeldinger med vedlegg.
  • Du kan ikke opprette en telnet-økt med Microsoft Exchange-serveren på port 25.
  • Når du sender en EHLO-kommando til Exchange-serveren, får du en ukjent kommando eller et OK-svar .
  • Du kan ikke sende eller motta e-post på bestemte domener.
  • Problemer med godkjenning etter Office Protocol versjon 3 (POP3) – 550 5.7.1 videresending nektet fra lokal server.
  • Problemer med dupliserte e-postmeldinger som sendes (noen ganger fem til seks ganger).
  • Du mottar dupliserte SMTP-meldinger (Simple Mail Transfer Protocol).
  • Microsoft Outlook-klienter eller Microsoft Outlook Express-klienter rapporterer en 0x800CCC79 feil når du prøver å sende e-post.
  • Det er problemer med binær mime (8bitmime). Du mottar teksten i en rapport om manglende levering (NDR): Brødteksttypen 554 5.6.1 støttes ikke av ekstern vert.
  • Det er problemer med manglende eller uleselige vedlegg.
  • Det er problemer med koblingstilstandsrutingen mellom rutinggrupper når en Cisco PIX- eller Cisco ASA-brannmurenhet er mellom rutinggruppene.
  • Verbet for X-LINK2STATE sendes ikke.
  • Det er godkjenningsproblemer mellom servere over en rutinggruppekobling.

Årsak

Dette problemet kan oppstå i følgende situasjon:

  • Exchange-serveren plasseres bak en Cisco PIX- eller Cisco ASA-brannmurenhet.

-Og-

  • PIX- eller ASA-brannmuren har Mailguard-funksjonen slått på.
  • Kommandoene for godkjennings- og godkjenningspålogging (extended Simple Mail Transfer Protocol [ESMTP]-kommandoer fjernes av brannmuren, og dette får systemet til å tro at du videresender fra et ikke-lokalt domene.

For å finne ut om Mailguard kjører på Cisco PIX- eller Cisco ASA-brannmuren, telnet til IP-adressen til MX-posten, og kontroller deretter om svaret ligner på følgende:

220*******************************************************0*2******0***********************

2002*******2***0*00

Old versions of PIX or ASA:

220 SMTP/cmap_________________________________________ read

Obs!

Hvis du har en ESMTP-server bak PIX- eller ASA-brannmuren, må du kanskje deaktivere Mailguard-funksjonen for å tillate at e-post flyter riktig. Det kan også hende at oppretting av en Telnet-økt til port 25 ikke fungerer med fixup protocol smtp kommandoen, spesielt med en Telnet-klient som bruker tegnmodus.

I tillegg til Cisco PIX- eller Cisco ASA-brannmuren finnes det flere brannmurprodukter som har SMTP Proxy-funksjoner som kan produsere problemene som er nevnt tidligere i denne artikkelen. Følgende er en liste over brannmurprodusenter med produkter som har SMTP Proxy-funksjoner:

  • Watchguard Firebox
  • Checkpoint
  • Raptor

Hvis du vil ha mer informasjon, kan du gå til nettstedene som er oppført i delen Mer informasjon.

Løsning

Advarsel

Denne midlertidige løsningen kan gjøre en datamaskin eller et nettverk mer sårbart for angrep fra ondsinnede brukere eller skadelig programvare, for eksempel virus. Vi anbefaler ikke denne midlertidige løsningen, men gir denne informasjonen slik at du kan implementere denne midlertidige løsningen etter eget skjønn. Du bruker eventuelt denne løsningen på eget ansvar.

Obs!

En brannmur er utformet for å beskytte datamaskinen mot angrep fra ondsinnede brukere eller skadelig programvare, for eksempel virus som bruker uønsket innkommende nettverkstrafikk til å angripe datamaskinen. Før du deaktiverer brannmuren, må du koble datamaskinen fra alle nettverk, inkludert Internett.

Hvis du vil løse dette problemet, deaktiverer du Mailguard-funksjonen i PIX- eller ASA-brannmuren.

Advarsel

Hvis du har en ESMTP-server bak PIX eller ASA, må du kanskje deaktivere Mailguard-funksjonen for å gjøre det mulig for e-post å flyte riktig. Hvis du bruker Telnet-kommandoen til port 25, fungerer dette kanskje ikke med smtp-kommandoen for fixup-protokollen, og dette er mer merkbart med en Telnet-klient som utfører tegnmodus.

Slik deaktiverer du Mailguard-funksjonen i PIX- eller ASA-brannmuren:

  1. Logg deg på PIX- eller ASA-brannmuren ved å opprette en telnet-økt eller ved hjelp av konsollen.
  2. Skriv inn aktiver, og trykk deretter enter.
  3. Når du blir bedt om å oppgi passordet, skriver du inn passordet og trykker enter.
  4. Skriv inn konfigurer terminal, og trykk deretter enter.
  5. Skriv ingen fixup-protokoll smtp 25, og trykk deretter ENTER.
  6. Skriv inn skriveminne, og trykk deretter ENTER.
  7. Start PIX- eller ASA-brannmuren på nytt eller last den inn på nytt.

Mer informasjon

PIX- eller ASA Software Mailguard-funksjonen (også kalt Mailhost i tidlige versjoner) filtrerer SMTP-trafikk (Simple Mail Transfer Protocol). For PIX- eller ASA-programvareversjoner 4.0 og 4.1 mailhost brukes kommandoen til å konfigurere Mailguard. Kommandoen brukes i PIX eller ASA Software versjon 4.2 og nyere fixup protocol smtp 25 .

Obs!

Du må også ha statiske IP-adressetilordninger og kanaler for e-postserveren.

Når Mailguard er konfigurert, tillater Mailguard bare de syv SMTP minimumskravkommandoene som beskrevet i forespørsel om kommentar (RFC) 821, del 4.5.1. Disse sju nødvendige kommandoene er som følger:

  • HELO
  • E
  • RCPT
  • DATA
  • RSET
  • NOOP
  • AVSLUTTE

Andre kommandoer, for eksempel KILL og WIZ, videresendes ikke til e-postserveren av PIX- eller ASA-brannmuren. Tidlige versjoner av PIX- eller ASA-brannmuren returnerer et OK-svar , selv til kommandoer som er blokkert. Dette er ment å hindre en angriper i å vite at kommandoene er blokkert.

Hvis du vil vise RFC 821, kan du gå til RFC-nettstedet: RFC 821 - Simple Mail Transfer Protocol.

Alle andre kommandoer avvises med 500-kommandoens ukjente svar.

På Cisco PIX- og ASA-brannmurer med fastvareversjoner 5.1 og nyere fixup protocol smtp endrer kommandoen tegnene i SMTP-banneret til stjerner bortsett fra tegnene «2», «0», «0». Vognreturtegn (CR) og linjefeed (LF) ignoreres. I versjon 4.4 konverteres alle tegnene i SMTP-banneret til stjerner.

Test Mailguard for riktig funksjon

Fordi Mailguard-funksjonen kan returnere et OK-svar på alle kommandoer, kan det være vanskelig å finne ut om den er aktiv. Følg disse trinnene for å finne ut om Mailguard-funksjonen blokkerer kommandoer som ikke er gyldige.

Obs!

Følgende trinn er basert på PIX eller ASA-programvareversjon 4.0 og 4.1. Hvis du vil teste senere versjoner av PIX eller ASA-programvare (versjon 4.2 og nyere), bruker fixup protocol smtp 25 du kommandoen og de riktige statiske og kanaluttrykkene for e-postserveren.

Med Mailguard slått av

  1. Bruk de statiske kommandoene og kanalkommandoene på PIX- eller ASA-brannmuren for å tillate alle verter på TCP-port 25 (SMPT).

  2. Opprett en telnet-økt på det eksterne grensesnittet til PIX- eller ASA-brannmuren på port 25.

  3. Skriv inn en ugyldig kommando, og trykk deretter ENTER. Skriv for eksempel inn goodmorning, og trykk deretter ENTER.

    Du får svaret: 500 Kommando ukjent.

Med Mailguard slått på

  1. Bruk mailhost eller fixup protocol smtp 25 kommandoen til å aktivere Mailguard-funksjonen på det eksterne grensesnittet til PIX- eller ASA-brannmuren.

  2. Opprett en telnet-økt på det eksterne grensesnittet til PIX- eller ASA-brannmuren på port 25.

  3. Skriv inn en ugyldig kommando, og trykk deretter ENTER. Skriv for eksempel inn goodmorning, og trykk deretter ENTER.

    Du får svaret: OK.

Når Mailguard-funksjonen er slått av, svarer e-postserveren på kommandoen som ikke er gyldig med meldingen 500 Kommando ukjent. Når Mailguard-funksjonen er slått på, avskjærer imidlertid PIX- eller ASA-brannmuren kommandoen som ikke er gyldig, fordi brannmuren bare passerer de sju minimum nødvendige SMTP-kommandoene. PIX- eller ASA-brannmuren svarer med OK om kommandoen er gyldig eller ikke.

Som standard blokkerer PIX- eller ASA-brannmuren alle eksterne tilkoblinger fra tilgang til verter. Bruk de statiske kommandosetningene, tilgangslisten og tilgangsgruppen til å tillate ekstern tilgang.

Hvis du vil ha mer informasjon om brannmurprodukter som har SMTP Proxy-funksjoner, kan du gå til følgende nettsteder:

Ansvarsfraskrivelse for informasjon fra tredjeparter

Tredjepartsproduktene som er omtalt i denne artikkelen, produseres av selskaper som er uavhengige av Microsoft. Microsoft gir ingen garantier, implisitt eller på annen måte, om disse produktenes ytelse eller pålitelighet.

Ansvarsfraskrivelse for informasjon fra tredjeparter

Microsoft tilbyr kontaktopplysninger for tredjeparter for å hjelpe deg å finne teknisk kundestøtte. Disse kontaktopplysningene kan endres uten forvarsel. Microsoft garanterer ikke nøyaktigheten til disse kontaktopplysningene for tredjeparter.