Mailguard özelliği açıkken Cisco PIX veya Cisco ASA güvenlik duvarı arkasında e-posta iletileri gönderip alamıyor

  • Makale
  • Şunlara uygulanır:
    Exchange Server 2013, Exchange Server 2010, Exchange Server 2016, Exchange Server 2019

Özgün KB numarası: 320027

Bu makalede, Bir Exchange sunucusu Cisco PIX veya Cisco ASA güvenlik duvarı cihazının arkasına yerleştirilirse ve PIX veya ASA güvenlik duvarında Mailguard özelliği açıksa e-posta iletileri gönderememe veya alamama davranışının nedeni açıklanır. PIX veya ASA güvenlik duvarının Mailguard özelliğini kapatma adımları sağlar.

Önemli

Bu makale, güvenlik ayarlarını düşürmeye veya bilgisayardaki güvenlik özelliklerini kapatmaya yardımcı olduğunu gösteren bilgiler içerir. Belirli bir soruna geçici bir çözüm bulmak için bu değişiklikleri yapabilirsiniz. Bu değişiklikleri yapmadan önce, bu geçici çözümü kendi ortamınızda uygulamayla ilişkili riskleri değerlendirmenizi öneririz. Bu geçici çözümü uygularsanız, bilgisayarın korunmasına yardımcı olmak için uygun ek adımları uygulayın.

Belirtiler

Aşağıdaki davranışlardan biriyle veya daha fazlası ile karşılaşabilirsiniz:

  • İnternet tabanlı e-posta iletileri alamazsınız.
  • Ekleri olan e-posta iletileri gönderemezsiniz.
  • 25 numaralı bağlantı noktasında Microsoft Exchange sunucusuyla telnet oturumu oluşturamazsınız.
  • Exchange sunucusuna bir EHLO komutu gönderdiğinizde, Tanınmayan bir Komut veya Tamam yanıtı alırsınız.
  • Belirli etki alanlarında posta gönderemez veya alamazsınız.
  • Postane Protokolü sürüm 3 (POP3) kimlik doğrulamasıyla ilgili sorunlar - 550 5.7.1 geçişi yerel sunucudan reddedildi.
  • Yinelenen e-posta iletilerinin gönderilmesiyle ilgili sorunlar (bazen beş ile altı kez).
  • Yinelenen gelen Basit Posta Aktarım Protokolü (SMTP) iletileri alırsınız.
  • Microsoft Outlook istemcileri veya Microsoft Outlook Express istemcileri, e-posta göndermeye çalışırken 0x800CCC79 bir hata bildirir.
  • İkili mime (8bitmime) ile ilgili sorunlar var. Metni teslim edilmedi raporunda (NDR) alırsınız: 554 5.6.1 Gövde türü Uzak Konak tarafından desteklenmiyor.
  • Eksik veya bozuk eklerle ilgili sorunlar var.
  • Bir Cisco PIX veya Cisco ASA güvenlik duvarı cihazı yönlendirme grupları arasında olduğunda yönlendirme grupları arasında bağlantı durumu yönlendirmesiyle ilgili sorunlar vardır.
  • X-LINK2STATE fiili geçirilmiyor.
  • Sunucular arasında yönlendirme grubu bağlayıcısı üzerinden kimlik doğrulaması sorunları vardır.

Neden

Bu sorun aşağıdaki durumlarda oluşabilir:

  • Exchange sunucusu bir Cisco PIX veya Cisco ASA güvenlik duvarı cihazının arkasına yerleştirilir.

-Ve-

  • PIX veya ASA güvenlik duvarında Mailguard özelliği açık.
  • Kimlik Doğrulama ve Kimlik Doğrulama oturum açma komutları (Genişletilmiş Basit Posta Aktarım Protokolü [ESMTP] komutları) güvenlik duvarı tarafından kaldırılır ve bu, sistemin yerel olmayan bir etki alanından geçiş yaptığınıza düşünmesini sağlar.

Mailguard'ın Cisco PIX veya Cisco ASA güvenlik duvarınızda çalışıp çalışmadığını belirlemek için Telnet'i MX kaydının IP adresine gönderin ve yanıtın aşağıdakine benzer olup olmadığını doğrulayın:

220*******************************************************0*2******0***********************

2002*******2***0*00

Old versions of PIX or ASA:

220 SMTP/cmap_________________________________________ read

Not

PIX veya ASA güvenlik duvarının arkasında bir ESMTP sunucunuz varsa, postanın doğru akmasını sağlamak için Posta Koruması özelliğini kapatmanız gerekebilir. Ayrıca, 25 numaralı bağlantı noktasına telnet oturumu oluşturmak, özellikle karakter modunu kullanan bir Telnet istemcisiyle birlikte komutuyla fixup protocol smtp çalışmayabilir.

Cisco PIX veya Cisco ASA güvenlik duvarının yanı sıra, bu makalenin önceki bölümlerinde bahsedilen sorunları oluşturabilecek SMTP Proxy özelliklerine sahip çeşitli güvenlik duvarı ürünleri vardır. Ürünleri SMTP Proxy özelliklerine sahip güvenlik duvarı üreticilerinin listesi aşağıdadır:

  • Watchguard Firebox
  • Denetim noktası
  • Raptor

Daha fazla bilgi için "Daha fazla bilgi" bölümünde listelenen web sitelerini ziyaret edin.

Çözüm

Uyarı

Bu geçici çözüm, bilgisayarın veya ağın kötü niyetli kullanıcılar tarafından gerçekleştirilecek saldırılara veya virüsler gibi kötü amaçlı yazılımlara karşı daha savunmasız kalmasına neden olabilir. Bu geçici çözümü önermeyiz, ancak bu geçici çözümü kendi takdirinize bağlı olarak uygulayabilmeniz için bu bilgileri sağlıyoruz. Bu çözümü kullanmak kendi sorumluluğunuzdadır.

Not

Güvenlik duvarı, bilgisayarınızı kötü amaçlı kullanıcılar veya bilgisayarınıza saldırmak için istenmeyen gelen ağ trafiği kullanan virüsler gibi kötü amaçlı yazılımlara karşı korumaya yardımcı olmak için tasarlanmıştır. Güvenlik duvarınızı devre dışı bırakmadan önce, bilgisayarınızın İnternet de dahil olmak üzere tüm ağlardan bağlantısını kesmeniz gerekir.

Bu sorunu çözmek için PIX veya ASA güvenlik duvarının Mailguard özelliğini kapatın.

Uyarı

PIX veya ASA'nın arkasında bir ESMTP sunucunuz varsa, postanın doğru akmasını mümkün kılmak için Mailguard özelliğini kapatmanız gerekebilir. 25 numaralı bağlantı noktası için Telnet komutunu kullanırsanız, bu düzeltme protokolü smtp komutuyla çalışmayabilir ve bu, karakter modunu gerçekleştiren bir Telnet istemcisinde daha belirgindir.

PIX veya ASA güvenlik duvarının Mailguard özelliğini kapatmak için:

  1. Telnet oturumu oluşturarak veya konsolunu kullanarak PIX veya ASA güvenlik duvarında oturum açın.
  2. Etkinleştir yazın ve Enter tuşuna basın.
  3. Parolanız istendiğinde parolanızı yazın ve Enter tuşuna basın.
  4. Terminali yapılandır yazın ve Enter tuşuna basın.
  5. Düzeltme protokolü smtp 25 yazın ve Enter tuşuna basın.
  6. Bellek yazın ve Enter tuşuna basın.
  7. PIX veya ASA güvenlik duvarını yeniden başlatın veya yeniden yükleyin.

Daha fazla bilgi

PIX veya ASA Software Mailguard özelliği (erken sürümlerde Mailhost olarak da adlandırılır) Basit Posta Aktarım Protokolü (SMTP) trafiğini filtreler. PIX veya ASA Software sürüm 4.0 ve 4.1 için, mailhost Mailguard'ı yapılandırmak için komutu kullanılır. PIX veya ASA Software sürüm 4.2 ve sonraki sürümlerde fixup protocol smtp 25 komutu kullanılır.

Not

Posta sunucunuz için statik IP adresi atamalarına ve kanal deyimlerine de sahip olmanız gerekir.

Mailguard yapılandırıldığında, Mailguard açıklama isteği (RFC) 821, bölüm 4.5.1'de açıklandığı gibi yalnızca yedi SMTP en düşük gerekli komutuna izin verir. Bu yedi gerekli komut aşağıdaki gibidir:

  • HELO
  • POSTA
  • RCPT
  • VERİ
  • RSET
  • NOOP
  • BIRAK

KILL ve WIZ gibi diğer komutlar PIX veya ASA güvenlik duvarı tarafından posta sunucusuna iletilir. PIX veya ASA güvenlik duvarının ilk sürümleri engellenen komutlara bile Tamam yanıtı döndürür. Bu, bir saldırganın komutların engellendiği bilgisini engellemeye yöneliktir.

RFC 821'i görüntülemek için RFC web sitesini ziyaret edin: RFC 821 - Basit Posta Aktarım Protokolü.

Diğer tüm komutlar 500 Komutu tanınmayan yanıtla reddedilir .

Cisco PIX ve ASA güvenlik duvarlarında üretici yazılımı sürümleri 5.1 ve üzeri olan komut, SMTP başlığındaki karakterleri "2", fixup protocol smtp "0", "0" karakterleri dışında yıldız işareti olarak değiştirir. Satır başı (CR) ve satır besleme (LF) karakterleri yoksayılır. Sürüm 4.4'te, SMTP başlığındaki tüm karakterler yıldız işaretine dönüştürülür.

Düzgün işlev için Mailguard'ları test edin

Mailguard özelliği tüm komutlara tamam yanıtı döndürebileceğinden etkin olup olmadığını belirlemek zor olabilir. Posta Koruması özelliğinin geçerli olmayan komutları engelleyip engellemediğini belirlemek için aşağıdaki adımları izleyin.

Not

Aşağıdaki adımlar PIX veya ASA yazılım sürümü 4.0 ve 4.1'i temel alır. PIX veya ASA yazılımının sonraki sürümlerini (sürüm 4.2 ve üzeri) test etmek için, posta sunucunuz için komutunu ve uygun statik ve kanal deyimlerini kullanınfixup protocol smtp 25.

Mailguard kapalıyken

  1. PIX veya ASA güvenlik duvarında, 25 numaralı TCP bağlantı noktasındaki (SMPT) tüm konaklara izin vermek için statik ve kanal komutlarını kullanın.

  2. PIX veya ASA güvenlik duvarının 25 numaralı bağlantı noktasındaki dış arabiriminde bir telnet oturumu oluşturun.

  3. Geçerli olmayan bir komut yazın ve ENTER tuşuna basın. Örneğin, goodmorning yazıp Enter tuşuna basın.

    Şu yanıtı alırsınız: 500 Komut tanınmadı.

Mailguard açıkken

  1. PIX veya ASA güvenlik duvarının fixup protocol smtp 25 dış arabiriminde Mailguard özelliğini açmak için mailhost veya komutunu kullanın.

  2. PIX veya ASA güvenlik duvarının 25 numaralı bağlantı noktasındaki dış arabiriminde bir telnet oturumu oluşturun.

  3. Geçerli olmayan bir komut yazın ve Enter tuşuna basın. Örneğin, goodmorning yazıp Enter tuşuna basın.

    Yanıtı alırsınız: Tamam.

Posta Koruması özelliği kapatıldığında, posta sunucusu 500 Komut tanınmayan iletisiyle geçerli olmayan komuta yanıt verir. Ancak, Posta Koruması özelliği açıldığında, güvenlik duvarı yalnızca yedi minimum gerekli SMTP komutunu geçtiğinden, PIX veya ASA güvenlik duvarı geçerli olmayan komutu durdurur. PIX veya ASA güvenlik duvarı, komutun geçerli olup olmadığını tamam ile yanıtlar.

Varsayılan olarak, PIX veya ASA güvenlik duvarı tüm dış bağlantıların konakların içine erişmesini engeller. Dış erişime izin vermek için statik, access-list ve access-group komut deyimlerini kullanın.

SMTP Proxy özelliklerine sahip güvenlik duvarı ürünleri hakkında daha fazla bilgi için aşağıdaki web sitelerini ziyaret edin:

Üçüncü taraf bilgileri hakkında yasal uyarı

Bu makalede adı geçen üçüncü taraf ürünleri Microsoft'tan bağımsız şirketler tarafından üretilmektedir. Microsoft, bu ürünlerin performansı veya güvenilirliği ile ilgili örtük veya başka türlü hiçbir garanti vermez.

Üçüncü tarafla iletişim sorumluluk reddi

Microsoft, teknik destek bulmanıza yardımcı olmak üzere üçüncü taraf iletişim bilgilerini sağlamaktadır. Bu iletişim bilgileri önceden haber verilmeksizin değiştirilebilir. Microsoft bu üçüncü taraf iletişim bilgilerinin doğruluğunu garanti etmez.