ID do artigo: 320027 - Última revisão: terça-feira, 18 de janeiro de 2011 - Revisão: 1.0

Não é possível enviar ou receber emails atrás de um firewall Cisco PIX ou Cisco ASA

Vista lado a ladoClique aqui para exibir o artigo traduzido e o artigo original em inglês, lado a lado.
Tradução automáticaExibir Aviso de Isenção de Tradução Automática
Exibir os produtos aos quais esse artigo se aplica.
Dica do SistemaEste artigo aplica-se a um sistema operativo diferente do que está a utilizar. Foi desactivado o conteúdo do artigo, que pode não ser relevante para si.
ImportanteEste artigo contém informações que lhe mostra como ajudar a diminuir as configurações de segurança ou como desativar os recursos de segurança em um computador. Você pode fazer essas alterações para contornar um problema específico. Antes de fazer essas alterações, recomendamos que avalie os riscos associados à implementação dessa solução alternativa no ambiente específico. Se você implementar essa solução alternativa, faça quaisquer etapas apropriadas adicionais para ajudar a proteger o computador.

Nesta página

Expandir tudo | Recolher tudo

Sintomas

Você pode enfrentar um ou mais dos seguintes comportamentos:
  • Não é possível receber mensagens de email baseadas na Internet.
  • Não é possível enviar emails com anexos.
  • Não é possível estabelecer uma sessão telnet com o Microsoft Exchange servidor na porta 25.
  • Quando você envia umEHLOo comando para o servidor do Exchange, você receberá um "Command unrecognized" ou uma resposta "OK".
  • Não é possível enviar ou receber email em domínios específicos.
  • Problemas com o Post Office Protocol versão 3 (POP3) autenticação - 550 5.7.1 retransmissão negada a partir do servidor local.
  • Problemas com emails duplicados (às vezes, cinco a seis vezes que) enviados.
  • Você recebe mensagens de SMTP (Simple Mail Transfer Protocol) de entrada duplicados.
  • Microsoft clientes Outlook ou Microsoft Outlook Express relatar o erro 0x800CCC79 ao tentar enviar um email.
  • Há problemas com mime binário (8bitmime). Você pode receber o seguinte texto em um relatório de não-entrega (NDR):
    554 5.6.1 Tipo de corpo não suportado pelo host remoto.
  • Há problemas com anexos faltando ou ilegíveis.
  • Há problemas com o roteamento do estado de vínculo entre grupos de roteamento quando um dispositivo de firewall Cisco PIX ou Cisco ASA entre os grupos de roteamento.
  • O verbo X-LINK2STATE não é passado.
  • Existem problemas de autenticação entre servidores em um conector de grupo de roteamento.
Voltar para o início

Causa

Esse problema pode ocorrer na seguinte situação:
  • O servidor do Exchange está colocado atrás de um dispositivo de firewall Cisco PIX ou Cisco ASA.

    - e -
  • O PIX ou ASA firewall tem o recurso Mailguard ativado.
  • A Auth e Auth login comandos (Extended Simple Mail Transfer Protocol [ESMTP] comandos) são distribuídos pelo firewall, e isso faz com que o sistema achar que está a retransmissão de um domínio não-local.
Para determinar se o Mailguard está sendo executado no seu firewall Cisco PIX ou Cisco ASA, o Telnet para o endereço IP do registro MX e, em seguida, verifique se a resposta é semelhante à seguinte:
220*******************************************************0*2******0***********************
2002 ******* 2 *** 0 * 00

Versões antigas do PIX ou ASA:

220 SMTP/cmap_________________________________________ ler
Para obter mais informações, visite os seguintes sites da Cisco:
http://www.Cisco.com/en/US/tech/tk331/tk897/tsd_technology_support_sub-protocol_home.HTML (http://www.cisco.com/en/US/tech/tk331/tk897/tsd_technology_support_sub-protocol_home.html)
http://www.Cisco.com/en/US/products/hw/vpndevc/ps2030/products_tech_note09186a00800b2ecb.shtml (http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/products_tech_note09186a00800b2ecb.shtml)
Observação:Se você tiver um servidor ESMTP atrás do PIX ou ASA firewall, talvez seja necessário desativar o recurso Mailguard para permitir que a mensagem flua corretamente. Also, establishing a Telnet session to port 25 may not work with thefixup protocol smtpcommand, especially with a Telnet client that uses character mode.

Observação:Besides the Cisco PIX or Cisco ASA firewall, there are several firewall products that have SMTP Proxy capabilities that may produce the issues that are mentioned earlier in this article. The following is a list of firewall manufacturers whose products have SMTP Proxy features:
  • Watchguard Firebox
  • Checkpoint
  • Raptor

For additional information, visit the Web sites listed in the "More Information" section.
Voltar para o início

Resolução

AvisoThis workaround may make a computer or a network more vulnerable to attack by malicious users or by malicious software such as viruses. We do not recommend this workaround but are providing this information so that you can implement this workaround at your own discretion. Use this workaround at your own risk.

Observação:A firewall is designed to help protect your computer from attack by malicious users or by malicious software such as viruses that use unsolicited incoming network traffic to attack your computer. Before you disable your firewall, you must disconnect your computer from all networks, including the Internet.

To resolve this issue, turn off the Mailguard feature of the PIX or ASA firewall.

AvisoIf you have an ESMTP server behind the PIX or ASA, you may have to turn off the Mailguard feature to make it possible for mail to correctly flow. If you use the Telnet command to port 25, this may not work with thefixup protocol smtpcommand, and this is more noticeable with a Telnet client that performs character mode.

To turn off the Mailguard feature of the PIX or ASA firewall:
  1. Log on to the PIX or ASA firewall by establishing a telnet session or by using the console.
  2. Tipoenable, and then press ENTER.
  3. When you are prompted for your password, type your password, and then press ENTER.
  4. Tipoconfigure terminal, and then press ENTER.
  5. Tipono fixup protocol smtp 25, and then press ENTER.
  6. Tipowrite memory, and then press ENTER.
  7. Restart or reload the PIX or ASA firewall.
Voltar para o início

Mais Informações

The PIX or ASA Software Mailguard feature (also called Mailhost in early versions) filters Simple Mail Transfer Protocol (SMTP) traffic. For PIX or ASA Software versions 4.0 and 4.1, themailhostcommand is used to configure Mailguard. In PIX or ASA Software version 4.2 and later, thefixup protocol smtp 25command is used.

Observação:You must also have static IP address assignments and conduit statements for your mail server.

When Mailguard is configured, Mailguard allows only the seven SMTP minimum-required commands as described in request for comment (RFC) 821, section 4.5.1. These seven required commands are the following:
HELO
MAIL
RCPT
DATA
RSET
NOOP
QUIT
Other commands, such as KILL and WIZ are not forwarded to the mail server by the PIX or ASA firewall. Early versions of the PIX or ASA firewall return an "OK" response, even to commands that are blocked. This is intended to prevent an attacker from the knowledge that the commands have been blocked.

To view RFC 821, visit the following RFC Web site:
http://www.faqs.org/rfcs/rfc821.html (http://www.faqs.org/rfcs/rfc821.html)
All other commands are rejected with the "500 Command unrecognized" response.

On Cisco PIX and ASA firewalls with firmware versions 5.1 and later, thefixup protocol smtpcommand changes the characters in the SMTP banner to asterisks except for the "2", "0", "0 " characters. Carriage return (CR) and linefeed (LF) characters are ignored. In version 4.4, all characters in the SMTP banner are converted to asterisks.
Voltar para o início

Test Mailguard for proper function

Because the Mailguard feature may return an "OK" response to all commands, it may be hard to determine whether it is active. To determine whether the Mailguard feature is blocking commands that are not valid, follow these steps.

Observação:The following steps are based on PIX or ASA software version 4.0 and 4.1. To test later versions of PIX or ASA software (version 4.2 and later), use thefixup protocol smtp 25command and the appropriatestaticeconduitstatements for your mail server.

With Mailguard turned off

  1. On the PIX or ASA firewall, use the static and conduit commands to allow all hosts in on TCP port 25 (SMPT).
  2. Establish a telnet session on the external interface of the PIX or ASA firewall on port 25.
  3. Type a command that is not valid, and then press ENTER. For example, typegoodmorning, and then press ENTER.

    You receive the following response:
    500 Command unrecognized.

With Mailguard turned on

  1. Use themailhostor thefixup protocol smtp 25command to turn on the Mailguard feature on the external interface of the PIX or ASA firewall.
  2. Establish a telnet session on the external interface of the PIX or ASA firewall on port 25.
  3. Type a command that is not valid, and then press ENTER. For example, typegoodmorning, and then press ENTER.

    You receive the following response:
    OK.
Quando o recurso Mailguard está desativado, o servidor de email responde o comando não é válido com a mensagem "500 Command unrecognized". No entanto, quando o recurso Mailguard está ativado, o PIX ou firewall ASA intercepta o comando não é válido, porque o firewall passa apenas os sete mínimos necessários comandos SMTP. O PIX ou ASA firewall responde com "OK" se o comando é válido ou não.

Por padrão, o ASA ou PIX firewall bloqueia todo fora de conexões de acesso a hosts internos. Use a static, access-list e instruções de comando do grupo de acesso para permitir o acesso externo. Para obter informações adicionais sobre esses comandos, visite o seguinte site da Cisco:
http://www.Cisco.com/UniverCD/CC/td/doc/Product/iaabu/PIX/pix_60/config/Commands.htm (http://www.cisco.com/univercd/cc/td/doc/product/iaabu/pix/pix_60/config/commands.htm)
Para obter informações adicionais sobre como configurar o firewall Cisco PIX ou ASA, visite os seguintes sites da Cisco:
http://www.Cisco.com/UniverCD/CC/td/doc/Product/iaabu/PIX/pix_v52/config/Commands.htm#xtocid1604922 (http://www.cisco.com/univercd/cc/td/doc/product/iaabu/pix/pix_v52/config/commands.htm#xtocid1604922)
http://www.Cisco.com/en/US/products/sw/secursw/ps2120/products_installation_and_configuration_guides_list.HTML (http://www.cisco.com/en/US/products/sw/secursw/ps2120/products_installation_and_configuration_guides_list.html)
http://www.Cisco.com/en/US/products/hw/vpndevc/ps2030/products_tech_note09186a00800b2ecb.shtml (http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/products_tech_note09186a00800b2ecb.shtml)


Para obter mais informações sobre produtos de firewall que têm recursos SMTP proxy, visite os seguintes sites:
http://www.watchguard.com (http://www.watchguard.com)
http://www.checkpoint.com (http://www.checkpoint.com)
http://www.Symantec.com/Business/index.JSP (http://www.symantec.com/business/index.jsp)
Os produtos de terceiros mencionados neste artigo são fabricados por empresas independem da Microsoft. Microsoft não dá garantia, implícita ou não em relação ao desempenho ou confiabilidade desses produtos.A Microsoft fornece informações de contato de terceiros para ajudá-lo a encontrar suporte técnico. Estas informações para contato podem ser alteradas sem aviso prévio. A Microsoft não garante a precisão dessas informações de contato de terceiros.
Voltar para o início
A informação contida neste artigo aplica-se a:
  • Microsoft Exchange Server 2010 Standard
  • Microsoft Exchange Server 2010 Enterprise
  • Microsoft Exchange Server 2007 Standard Edition
  • Microsoft Exchange Server 2007 Enterprise Edition
  • Microsoft Exchange Server 2003 Standard Edition
  • Microsoft Exchange 2000 Server Standard Edition
  • Microsoft Exchange Server 5.5 Standard Edition
Voltar para o início
Palavras-chave: 
kbprb kbmt KB320027 KbMtpt
Voltar para o início
Tradução automáticaTradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine Translation ou MT), não tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em português a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradução automática não é sempre perfeita, podendo conter erros de vocabulário, sintaxe ou gramática. A Microsoft não é responsável por incoerências, erros ou prejuízos ocorridos em decorrência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualizações freqüentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 320027  (http://support.microsoft.com/kb/320027/en-us/ )
Voltar para o início