文章編號: 320027 - 上次校閱: 2011年1月18日 - 版次: 1.0

無法傳送或接收 Cisco PIX 或 Cisco ASA 防火牆後面的電子郵件訊息

中英文對照顯示按一下這裡顯示機器翻譯的中英文對照
機器翻譯檢視機器翻譯免責聲明
檢視此文章適用的產品。
系統提示本文適用於您使用的作業系統之外的作業系統。與您不相關的文章內容已停用。
重要本文將告訴您,如何協助較低的安全性設定或如何關閉電腦上的安全性功能的資訊。 您可以進行這些變更,為特定的問題尋求替代解決方案。 在進行這些變更之前先我們建議您先評估在特定環境中實作這項替代解決方案相關聯的風險。 如果您決定使用此解決方案,採取任何其他的適當步驟,以協助保護電腦。

在此頁中

全部展開 | 全部摺疊

徵狀

您可能會遇到一或多個下列行為:
  • 您不能接收網際網路電子郵件訊息。
  • 您無法傳送電子郵件訊息的附件。
  • 您不能建立與 Microsoft Exchange 的 Telnet 工作階段在連接埠 25 上的伺服器。
  • 當您傳送的EHLO您收到 「 命令無法辨認的"OK"的回應指令到 Exchange 的伺服器。
  • 您無法傳送或接收上特定網域的郵件。
  • 郵局通訊協定,第 3 (POP3) 版的問題驗證-550 5.7.1 轉送拒絕授與本機伺服器。
  • 重複的電子郵件訊息傳送 (有時五到六倍) 的問題。
  • 您會收到重複的連入 (SMTP) 郵件。
  • 嘗試傳送電子郵件時,Microsoft Outlook 用戶端或 Microsoft Outlook Express 的用戶端將報告 0x800CCC79 錯誤。
  • 有二進位 MIME (8bitmime) 的問題。 在 [將未傳遞報告 (NDR) 中收到下列文字:
    超過 554 5.6.1 主體類型不支援的遠端主機。
  • 有遺漏或亂碼的附件的問題。
  • 有將連結狀態路由 Cisco PIX 或 Cisco ASA 的防火牆裝置時之間路由群組的路由群組之間的問題。
  • X LINK2STATE 動詞命令不會傳遞。
  • 透過路由群組連接器的伺服器之間有驗證問題。
回此頁最上方

發生的原因

在下列情況下,可能會發生這個問題:
  • Exchange 伺服器位於背後 Cisco PIX 或 Cisco ASA 的防火牆裝置。

    -以及-
  • PIX 或 ASA 防火牆已開啟的 Mailguard 功能。
  • 驗證和授權登入命令由防火牆,移除 (延伸簡易郵件傳送通訊協定 [ESMTP] 指令),而且這會讓認為您會轉送從非本機網域系統。
若要判斷 Mailguard Cisco PIX 或 Cisco ASA 防火牆,Telnet MX] 記錄的 IP 位址上執行,然後確認是否回應看起來類似下列:
220*******************************************************0*2******0***********************
2002 ******* 2 正在 0 * 00

PIX 或 ASA 的舊版本:

220 的 SMTP/cmap_________________________________________ 讀取
如需詳細資訊,請造訪下列 Cisco 網站:
http://www.cisco.com/en/US/tech/tk331/tk897/tsd_technology_support_sub-protocol_home.html (http://www.cisco.com/en/US/tech/tk331/tk897/tsd_technology_support_sub-protocol_home.html)
http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/products_tech_note09186a00800b2ecb.shtml (http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/products_tech_note09186a00800b2ecb.shtml)
附註如果您有背後 PIX 或 ASA ESMTP 伺服器防火牆,您可能必須關閉 Mailguard 功能,以允許正確傳送郵件。 而且,建立連接埠 25 的 Telnet 工作階段可能不適用於修復通訊協定 SMTP尤其是使用 Telnet 用戶端使用字元模式的指令。

附註除了 Cisco PIX 或 Cisco ASA] 防火牆有數個具有本文稍早所述的問題,可能會產生的 SMTP Proxy 功能的防火牆產品。 以下是其產品有 SMTP Proxy 功能的防火牆製造商的清單:
  • Watchguard Firebox
  • 檢查點
  • raptor

如需詳細資訊,請造訪 < 其他資訊 > 一節中所列的網站。
回此頁最上方

解決方案

警告此因應措施可能會使電腦或網路更容易遭受惡意使用者或惡意軟體 (例如病毒) 的攻擊。 我們不建議使用此解決方法,但會提供這項資訊,讓您可以在您自己的慎重決定使用此解決方案。 在您自己的風險,請使用此因應措施。

附註防火牆是設計用來協助保護電腦,免於遭受惡意使用者或惡意軟體 (例如,使用來路不明的連入網路傳輸攻擊您的電腦病毒。 停用防火牆之前先必須以包括網際網路的所有網路都中斷您的電腦。

如果要解決這個問題,關閉 [Mailguard 功能,PIX 或 ASA 的防火牆。

警告If you have an ESMTP server behind the PIX or ASA, you may have to turn off the Mailguard feature to make it possible for mail to correctly flow. If you use the Telnet command to port 25, this may not work with thefixup protocol smtpcommand, and this is more noticeable with a Telnet client that performs character mode.

To turn off the Mailguard feature of the PIX or ASA firewall:
  1. Log on to the PIX or ASA firewall by establishing a telnet session or by using the console.
  2. 型別enable, and then press ENTER.
  3. When you are prompted for your password, type your password, and then press ENTER.
  4. 型別configure terminal, and then press ENTER.
  5. 型別no fixup protocol smtp 25, and then press ENTER.
  6. 型別write memory, and then press ENTER.
  7. Restart or reload the PIX or ASA firewall.
回此頁最上方

其他相關資訊

The PIX or ASA Software Mailguard feature (also called Mailhost in early versions) filters Simple Mail Transfer Protocol (SMTP) traffic. For PIX or ASA Software versions 4.0 and 4.1, themailhostcommand is used to configure Mailguard. In PIX or ASA Software version 4.2 and later, thefixup protocol smtp 25command is used.

附註You must also have static IP address assignments and conduit statements for your mail server.

When Mailguard is configured, Mailguard allows only the seven SMTP minimum-required commands as described in request for comment (RFC) 821, section 4.5.1. These seven required commands are the following:
HELO
MAIL
RCPT
DATA
RSET
NOOP
QUIT
Other commands, such as KILL and WIZ are not forwarded to the mail server by the PIX or ASA firewall. Early versions of the PIX or ASA firewall return an "OK" response, even to commands that are blocked. This is intended to prevent an attacker from the knowledge that the commands have been blocked.

To view RFC 821, visit the following RFC Web site:
http://www.faqs.org/rfcs/rfc821.html (http://www.faqs.org/rfcs/rfc821.html)
All other commands are rejected with the "500 Command unrecognized" response.

On Cisco PIX and ASA firewalls with firmware versions 5.1 and later, thefixup protocol smtpcommand changes the characters in the SMTP banner to asterisks except for the "2", "0", "0 " characters. Carriage return (CR) and linefeed (LF) characters are ignored. In version 4.4, all characters in the SMTP banner are converted to asterisks.
回此頁最上方

Test Mailguard for proper function

Because the Mailguard feature may return an "OK" response to all commands, it may be hard to determine whether it is active. To determine whether the Mailguard feature is blocking commands that are not valid, follow these steps.

附註The following steps are based on PIX or ASA software version 4.0 and 4.1. To test later versions of PIX or ASA software (version 4.2 and later), use thefixup protocol smtp 25command and the appropriatestaticconduitstatements for your mail server.

With Mailguard turned off

  1. On the PIX or ASA firewall, use the static and conduit commands to allow all hosts in on TCP port 25 (SMPT).
  2. Establish a telnet session on the external interface of the PIX or ASA firewall on port 25.
  3. Type a command that is not valid, and then press ENTER. For example, typegoodmorning, and then press ENTER.

    You receive the following response:
    500 Command unrecognized.

With Mailguard turned on

  1. Use themailhostor thefixup protocol smtp 25command to turn on the Mailguard feature on the external interface of the PIX or ASA firewall.
  2. Establish a telnet session on the external interface of the PIX or ASA firewall on port 25.
  3. Type a command that is not valid, and then press ENTER. For example, typegoodmorning, and then press ENTER.

    You receive the following response:
    OK.
Mailguard 功能關閉時郵件伺服器會回應 「 500 無法辨認的命令 」 訊息無效的命令。 但是,當 Mailguard 功能已開啟的 [PIX 或 ASA 防火牆會攔截不正確,因為防火牆會傳遞只有七個最小必要的 SMTP 命令的命令。 PIX 或 ASA 防火牆回應 [確定] 命令是否有效與否。

預設情況下,PIX 或 ASA 防火牆封鎖所有外存取內部主機的連線。 使用靜態、 存取清單和存取群組命令陳述式,以允許外部存取。 取得更多資訊有關這些命令,請造訪下列 Cisco 網站:
http://www.cisco.com/univercd/cc/td/doc/product/iaabu/pix/pix_60/config/commands.htm (http://www.cisco.com/univercd/cc/td/doc/product/iaabu/pix/pix_60/config/commands.htm)
取得更多資訊有關如何設定 Cisco PIX 或 ASA 防火牆,請造訪下列 Cisco 網站:
http://www.cisco.com/univercd/cc/td/doc/product/iaabu/pix/pix_v52/config/commands.htm#xtocid1604922 (http://www.cisco.com/univercd/cc/td/doc/product/iaabu/pix/pix_v52/config/commands.htm#xtocid1604922)
http://www.cisco.com/en/US/products/sw/secursw/ps2120/products_installation_and_configuration_guides_list.html (http://www.cisco.com/en/US/products/sw/secursw/ps2120/products_installation_and_configuration_guides_list.html)
http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/products_tech_note09186a00800b2ecb.shtml (http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/products_tech_note09186a00800b2ecb.shtml)


有關 SMTP Proxy 功能的防火牆產品的詳細資訊,請造訪下列網站:
http://www.watchguard.com (http://www.watchguard.com)
http://www.checkpoint.com (http://www.checkpoint.com)
http://www.symantec.com/business/index.jsp (http://www.symantec.com/business/index.jsp)
在本文所討論的協力廠商產品是由 Microsoft 以外的公司所製造的。。 Microsoft 不保證,暗示或其他有關這些產品的效能或可靠性。。Microsoft 所提供的協力廠商聯絡資訊,可以協助您尋找技術支援。 這份連絡資訊可能會變更恕不另行通知。 Microsoft 不保證此第三方連絡資訊的正確性。
回此頁最上方
這篇文章中的資訊適用於:
  • Microsoft Exchange Server 2010 Standard
  • Microsoft Exchange Server 2010 Enterprise
  • Microsoft Exchange Server 2007 Standard Edition
  • Microsoft Exchange Server 2007 Enterprise Edition
  • Microsoft Exchange Server 2003 Standard Edition
  • Microsoft Exchange 2000 Server Standard Edition
  • Microsoft Exchange Server 5.5 Standard Edition
回此頁最上方
關鍵字:?
kbprb kbmt KB320027 KbMtzh
回此頁最上方
機器翻譯機器翻譯
重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。
按一下這裡查看此文章的英文版本:320027? (http://support.microsoft.com/kb/320027/en-us/ )
回此頁最上方
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。