在 Cisco PIX 防火墙后无法发送或接收电子邮件

您可能会遇到下面的一个或多个问题：

• 无法接收基于 Internet 的电子邮件。
• 无法发送带附件的电子邮件。
• 无法在端口 25 上使用 Microsoft Exchange Server 建立 Telnet 会话。
• 在向 Exchange Server 发送 EHLO 命令时，收到“Command unrecognized”或“OK”响应。
• 无法在特定域上发送或接收邮件。
• 邮局协议版本 3 (POP3) 身份验证出现问题 - 本地服务器拒绝 550 5.7.1 中继。
• 重复发送电子邮件（有时 5 - 6 次）出现问题。
• 收到重复传入的简单邮件传输协议 (SMTP) 邮件。
• 尝试发送电子邮件时，Microsoft Outlook 客户端或 Microsoft Outlook Express 客户端报告 0x800CCC79 错误。
• 二进制 mime (8bitmime) 出现问题。在未送达报告 (NDR) 中收到以下文本：
  远程主机不支持 554 5.6.1 正文类型。
• 附件丢失或出现乱码。
• 在路由组之间存在 Cisco PIX 防火墙设备时，路由组之间的链接状态路由出现问题。
• X-LINK2STATE 谓词没有传递。
• 路由组连接器上的服务器之间出现身份验证问题。

在以下情况中可能会出现这种问题：

• Exchange Server 位于 Cisco PIX 防火墙设备后。
  
  - 并且 -
• PIX 防火墙打开了 Mailguard 功能。
• Auth 和 Auth login 命令（扩展简单邮件传输协议 [ESMTP] 命令）被防火墙剥离，这使得系统认为您正从非本地域中继。

要确定 Cisco PIX 防火墙上是否正运行 Mailguard，请 Telnet 到 MX 记录的 IP 地址，然后验证响应看上去是否类似以下内容：有关详细信息，请访问以下 Cisco 网站：注意：如果您的 ESMTP 服务器受到 PIX 防火墙保护，则可能需要关闭 Mailguard 功能以便邮件能正确传入。同时，使用 fixup protocol smtp 命令可能无法建立端口 25 的 Telnet 会话，尤其对于使用字符模式的 Telnet 客户端。

注意：除了 Cisco PIX 防火墙，还有几种具有 SMTP 代理功能的防火墙产品，也可能产生上文提到的问题。下面列出了其产品具有 SMTP 代理功能的防火墙制造商：

• Watchguard Firebox
• Checkpoint
• Raptor

有关其他信息，请访问“更多信息”部分列出的网站。

警告：此替代方法可能导致计算机或网络更易于受到恶意用户或恶意软件（如病毒）的攻击。我们不建议采用这种替代方法，此信息仅供参考，您应自行决定是否实施此替代方法。使用此替代方法需要您自担风险。

注意：防火墙专用于帮助保护您的计算机不受恶意用户或恶意软件（例如那些使用未经请求的传入网络流量攻击您的计算机的病毒）的攻击。在禁用防火墙之前，必须断开您的计算机与包括 Internet 在内的所有网络的连接。

要解决此问题，请关闭 PIX 防火墙的 Mailguard 功能。

警告：如果您的 PIX 防火墙后存在 ESMTP 服务器，则可能需要关闭 Mailguard 功能才能使邮件能够正确传输。如果对端口 25 使用 Telnet 命令，则使用 fixup protocol smtp 命令可能会不起作用，对执行字符模式的 Telnet 客户端更是如此。

要关闭 PIX 防火墙的 Mailguard 功能，请执行以下操作：

1. 建立 Telnet 会话或使用控制台登录到 PIX 防火墙。
2. 键入 enable，然后按 Enter 键。
3. 提示您输入密码时，请键入密码，然后按 Enter 键。
4. 键入 configure terminal，然后按 Enter 键。
5. 键入 no fixup protocol smtp 25，然后按 Enter 键。
6. 键入 write memory，然后按 Enter 键。
7. 重新启动或重新加载 PIX 防火墙。

PIX 软件的 Mailguard 功能（在早期版本中也称为 Mailhost）可以筛选简单邮件传输协议 (SMTP) 流量。对于 PIX 软件版本 4.0 和 4.1，使用“mailhost”命令配置 Mailguard。在 PIX 软件版本 4.2 和更高版本中，则使用 fixup protocol smtp 25 命令进行配置。

注意：您还必须为您的邮件服务器分配了静态 IP 地址和使用了 conduit 语句。

配置 Mailguard 时，Mailguard 只允许使用七个 SMTP 必需的命令（如请求注释 (RFC) 821 的 4.5.1 节中所述）。这七个必需的命令是：其他命令（例如 KILL 和 WIZ）将不会由 PIX 防火墙传递到邮件服务器。即使命令被阻止，早期版本的 PIX 防火墙也会返回“OK”响应。这旨在防止攻击者知道命令已阻止。

要查看 RFC 821，请访问以下 RFC 网站： 使用“500 命令未被识别”响应来拒绝所有其他命令。

在具有固件版本 5.1 和更高版本的 Cisco PIX 防火墙中，“fixup protocol smtp”命令会将 SMTP 横幅中的字符更改为星号（字符“2”、“0”、“0 ”除外）。回车键 (CR) 和换行符 (LF) 被忽略。在版本 4.4 中，SMTP 横幅中的所有字符都转换为星号。

测试 Mailguard 的功能是否正常

由于 Mailguard 功能可能返回“确定”响应所有命令，所以可能很难决定其是否处于活动状态。要确定 Mailguard 功能是否阻止无效命令，请按照以下步骤操作：

注意：以下步骤基于 PIX 软件版本 4.0 和 4.1。要测试更高版本的 PIX 软件（版本 4.2 和更高版本），请对邮件服务器使用“fixup protocol smtp 25”命令，以及合适的“static”和“conduit”语句。

Mailguard 关闭时

1. 在 PIX 防火墙上，使用 static 和 conduit 命令以允许在 TCP 端口 25 (SMPT) 上进入所有主机。
2. 在 PIX 防火墙端口 25 的外部接口上建立 Telnet 会话。
3. 键入一个无效命令，然后按 Enter 键。例如，键入 goodmorning，然后按 Enter 键。
   
   您将收到下列响应：
   500 命令未被识别。

Mailguard 打开时

1. 使用 mailhost 或“fixup protocol smtp 25”命令，以打开 PIX 防火墙的外部接口上的 Mailguard 功能。
2. 在 PIX 防火墙端口 25 的外部接口上建立 Telnet 会话。
3. 键入一个无效命令，然后按 Enter 键。例如，键入 goodmorning，然后按 Enter 键。
   
   您将收到下列响应：
   确定。

关闭 Mailguard 功能时，邮件服务器使用“500 Command unrecognized”消息响应无效命令。但是，打开 Mailguard 功能时，PIX 防火墙会截取无效命令，因为防火墙仅传递七个必需的 SMTP 命令。不论命令是否有效，PIX 防火墙都响应“OK”。

默认情况下，PIX 防火墙阻止所有外部连接访问内部主机。使用 static、access-list、access-group 命令语句以允许外部访问。有关这些命令的其他信息，请访问下面的 Cisco 网站：有关如何配置 Cisco PIX 防火墙的其他信息，请访问下列 Cisco 网站：

有关具备 SMTP 代理功能的防火墙产品的详细信息，请访问下列网站：本文中提到的第三方产品由 Microsoft 以外的其他公司提供。对于这些产品的性能或可靠性，Microsoft 不作任何暗示保证或其他形式的保证。Microsoft 提供了第三方联系信息以便于您寻求技术支持。这些联系信息如有更改，恕不另行通知。Microsoft 不保证这些第三方联系信息的准确性。