Não é possível enviar ou receber mensagens de correio electrónico protegido por um firewall Cisco PIX ou Cisco ASA

Poderá detectar um ou mais dos seguintes comportamentos:

• Não pode receber mensagens de correio electrónico da Internet.
• Não é possível enviar mensagens de correio electrónico com anexos.
• Não é possível estabelecer uma sessão de telnet com o Microsoft Exchange servidor na porta 25.
• Quando envia umEHLOo comando para o servidor do Exchange, recebe uma resposta "OK" ou um "Command unrecognized".
• Não é possível enviar ou receber correio em domínios específicos.
• Problemas com o Post Office Protocol versão 3 (POP3) autenticação - 550 5.7.1 reencaminhamento negado do servidor local.
• Problemas com mensagens de correio electrónico em duplicado que são enviados (por vezes cinco a seis vezes).
• Pode recebe mensagens Simple Mail Transfer Protocol (SMTP) duplicados.
• Os clientes Microsoft Outlook ou Microsoft Outlook Express clientes comunicam um erro 0x800CCC79 quando tentar enviar correio electrónico.
• Existem problemas com mime binário (8bitmime). Recebe o seguinte texto num relatório de falha de entrega (NDR):
  Tipo de corpo de 554 5.6.1 não suportado pelo anfitrião remoto.
• Existem problemas com anexos em falta ou danificados.
• Existem problemas com o encaminhamento de estado de ligação entre grupos de encaminhamento quando é um dispositivo de firewall Cisco PIX ou Cisco ASA entre os grupos de encaminhamento.
• O verbo X LINK2STATE não é transmitido.
• Existem problemas de autenticação entre servidores num conector de grupo de encaminhamento.

Este problema pode ocorrer na seguinte situação:

• O servidor do Exchange é colocado atrás de um dispositivo de firewall Cisco PIX ou Cisco ASA.
  
  - e -
• O PIX ou ASA firewall tem a funcionalidade Mailguard activada.
• A autenticação e a autenticação comandos de início de sessão (Extended Simple Mail Transfer Protocol [ESMTP] comandos) são removidos pelo firewall, e isto faz com que o sistema pensar que são a retransmissão de um domínio não local.

Para determinar se a funcionalidade Mailguard está executar no firewall Cisco PIX ou Cisco ASA, Telnet para o endereço IP do registo MX e, em seguida, verificar se a resposta tem um aspecto semelhante ao seguinte:Para mais informações, visite os seguintes Web sites da Cisco:NotaSe tiver um servidor ESMTP por detrás do PIX ou ASA firewall, poderá ter de desactivar a funcionalidade Mailguard para permitir correio seja apresentado correctamente. Além disso, estabelecer uma sessão de Telnet à porta 25 poderá não funcionar com ofixup protocol smtpcomando, especialmente com um cliente Telnet que utilize o modo de caracteres.

NotaPara além de firewall Cisco PIX ou Cisco ASA, existem vários produtos de firewall que tenham capacidades de proxy de SMTP que podem produzir os problemas que são mencionados anteriormente neste artigo. Segue-se uma lista de fabricantes de firewalls cujos produtos têm funcionalidades de proxy de SMTP:

• Watchguard Firebox
• Ponto de verificação
• Raptor

Para obter informações adicionais, visite os Web sites listados na secção "Mais informação".

AvisoEsta medida pode tornar um computador ou uma rede mais vulnerável a ataques de utilizadores mal intencionados ou software malicioso, como vírus. A Microsoft não recomenda esta solução alternativa, mas estão a fornecer estas informações para que possa implementar esta solução alternativa à sua própria responsabilidade. Utilize esta solução alternativa na sua conta e risco.

NotaA firewall is designed to help protect your computer from attack by malicious users or by malicious software such as viruses that use unsolicited incoming network traffic to attack your computer. Before you disable your firewall, you must disconnect your computer from all networks, including the Internet.

To resolve this issue, turn off the Mailguard feature of the PIX or ASA firewall.

WarningIf you have an ESMTP server behind the PIX or ASA, you may have to turn off the Mailguard feature to make it possible for mail to correctly flow. If you use the Telnet command to port 25, this may not work with thefixup protocol smtpcommand, and this is more noticeable with a Telnet client that performs character mode.

To turn off the Mailguard feature of the PIX or ASA firewall:

1. Log on to the PIX or ASA firewall by establishing a telnet session or by using the console.
2. Tipoenable, and then press ENTER.
3. When you are prompted for your password, type your password, and then press ENTER.
4. Tipoconfigure terminal, and then press ENTER.
5. Tipono fixup protocol smtp 25, and then press ENTER.
6. Tipowrite memory, and then press ENTER.
7. Restart or reload the PIX or ASA firewall.

The PIX or ASA Software Mailguard feature (also called Mailhost in early versions) filters Simple Mail Transfer Protocol (SMTP) traffic. For PIX or ASA Software versions 4.0 and 4.1, themailhostcommand is used to configure Mailguard. In PIX or ASA Software version 4.2 and later, thefixup protocol smtp 25command is used.

NotaYou must also have static IP address assignments and conduit statements for your mail server.

When Mailguard is configured, Mailguard allows only the seven SMTP minimum-required commands as described in request for comment (RFC) 821, section 4.5.1. These seven required commands are the following:Other commands, such as KILL and WIZ are not forwarded to the mail server by the PIX or ASA firewall. Early versions of the PIX or ASA firewall return an "OK" response, even to commands that are blocked. This is intended to prevent an attacker from the knowledge that the commands have been blocked.

To view RFC 821, visit the following RFC Web site:All other commands are rejected with the "500 Command unrecognized" response.

On Cisco PIX and ASA firewalls with firmware versions 5.1 and later, thefixup protocol smtpcommand changes the characters in the SMTP banner to asterisks except for the "2", "0", "0 " characters. Carriage return (CR) and linefeed (LF) characters are ignored. In version 4.4, all characters in the SMTP banner are converted to asterisks.

Test Mailguard for proper function

Because the Mailguard feature may return an "OK" response to all commands, it may be hard to determine whether it is active. To determine whether the Mailguard feature is blocking commands that are not valid, follow these steps.

NotaThe following steps are based on PIX or ASA software version 4.0 and 4.1. To test later versions of PIX or ASA software (version 4.2 and later), use thefixup protocol smtp 25command and the appropriatestaticeconduitstatements for your mail server.

With Mailguard turned off

1. On the PIX or ASA firewall, use the static and conduit commands to allow all hosts in on TCP port 25 (SMPT).
2. Establish a telnet session on the external interface of the PIX or ASA firewall on port 25.
3. Type a command that is not valid, and then press ENTER. For example, typegoodmorning, and then press ENTER.
   
   You receive the following response:
   500 Command unrecognized.

With Mailguard turned on

1. Use themailhostor thefixup protocol smtp 25command to turn on the Mailguard feature on the external interface of the PIX or ASA firewall.
2. Establish a telnet session on the external interface of the PIX or ASA firewall on port 25.
3. Type a command that is not valid, and then press ENTER. For example, typegoodmorning, and then press ENTER.
   
   You receive the following response:
   OK.

Quando a funcionalidade Mailguard está desactivada, o servidor de correio responde ao comando que não é válido com a mensagem "500 Command unrecognized". No entanto, quando a funcionalidade Mailguard está activada, o PIX ou firewall ASA intercepta o comando não é válido, porque a firewall transmite apenas os sete mínimos necessários comandos de SMTP. O PIX ou ASA firewall responde com "OK" se o comando é válido ou não.

Por predefinição, o PIX ou ASA firewall bloqueia todas as fora ligações acedam dentro de anfitriões. Utilize o estática, lista de acesso e as instruções de comando de grupo de acesso para permitir acesso externo. Para obter informações adicionais sobre estes comandos, visite o seguinte Web site da Cisco:Para obter informações adicionais sobre como configurar o firewall Cisco PIX ou ASA, visite os seguintes Web sites da Cisco:

Para mais informações sobre produtos de firewall que tenham capacidades de proxy de SMTP, visite os seguintes Web sites:Os produtos de outros fabricantes explicado neste artigo são fabricados por empresas independentes da Microsoft. A Microsoft não oferece nenhuma garantia, implícita ou outra, sobre o desempenho ou fiabilidade destes produtos.A Microsoft fornece informações de contacto de outros fabricantes para o ajudar a encontrar suporte técnico. Estas informações de contacto poderão ser alterado sem aviso prévio. A Microsoft não garante a precisão destas informações de contacto de terceiros.