Nejde odesílat nebo přijímat e-mailové zprávy za bránou firewall Cisco PIX nebo Cisco ASA se zapnutou funkcí Mailguard

  • Článek
  • Platí pro:
    Exchange Server 2013, Exchange Server 2010, Exchange Server 2016, Exchange Server 2019

Původní číslo KB: 320027

Tento článek popisuje příčinu chování, kdy nemůžete odesílat nebo přijímat e-mailové zprávy, pokud je server Exchange umístěný za zařízením brány firewall Cisco PIX nebo Cisco ASA a brána firewall PIX nebo ASA má zapnutou funkci Mailguard. Obsahuje postup vypnutí funkce Mailguard brány firewall PIX nebo ASA.

Důležité

Tento článek obsahuje informace, které vám pomůžou snížit nastavení zabezpečení nebo vypnout funkce zabezpečení v počítači. Tyto změny můžete provést a vyřešit tak konkrétní problém. Před provedením těchto změn doporučujeme vyhodnotit rizika spojená s implementací tohoto alternativního řešení v konkrétním prostředí. Pokud toto alternativní řešení implementujete, proveďte příslušné další kroky, které pomohou chránit počítač.

Příznaky

Může docházet k jednomu nebo několika z následujících chování:

  • Nemůžete přijímat internetové e-mailové zprávy.
  • Nemůžete posílat e-mailové zprávy s přílohami.
  • Na portu 25 nelze vytvořit relaci telnetu se serverem Microsoft Exchange.
  • Když odešlete příkaz EHLO na server Exchange, obdržíte příkaz nerozpoznaný nebo odpověď OK .
  • V konkrétních doménách nemůžete posílat ani přijímat poštu.
  • Problémy s ověřováním Pomocí protokolu POP3 (Post Office Protocol verze 3) – 550 5.7.1 byl odepřen přenos z místního serveru.
  • Problémy s odesíláním duplicitních e-mailových zpráv (někdy pět až šestkrát)
  • Obdržíte duplicitní příchozí zprávy protokolu SMTP (Simple Mail Transfer Protocol).
  • Klienti Microsoft Outlooku nebo Klienti Microsoft Outlook Express hlásí při pokusu o odeslání e-mailu chybu 0x800CCC79.
  • Dochází k problémům s binárním mime (8bitmim). V oznámení o nedoručení (NDR) se zobrazí text: 554 5.6.1 Typ textu, který vzdálený hostitel nepodporuje.
  • Dochází k problémům s chybějícími nebo zkomolenými přílohami.
  • K problémům se směrováním stavu propojení mezi skupinami směrování dochází, když je mezi skupinami směrování zařízení brány firewall Cisco PIX nebo Cisco ASA.
  • Příkaz X-LINK2STATE se nepředá.
  • Mezi servery prostřednictvím konektoru skupiny směrování dochází k problémům s ověřováním.

Příčina

K tomuto problému může dojít v následující situaci:

  • Server Exchange je umístěn za zařízením brány firewall Cisco PIX nebo Cisco ASA.

-A-

  • Brána firewall PIX nebo ASA má zapnutou funkci Mailguard.
  • Příkazy Auth a Auth login (rozšířené příkazy ESMTP (Extended Simple Mail Transfer Protocol) jsou odstraněny bránou firewall, takže systém si myslí, že přenášíte z jiné než místní domény.

Pokud chcete zjistit, jestli je mailguard spuštěný na bráně firewall Cisco PIX nebo Cisco ASA, připojte se přes Telnet k IP adrese záznamu MX a pak ověřte, jestli odpověď vypadá nějak takto:

220*******************************************************0*2******0***********************

2002*******2***0*00

Old versions of PIX or ASA:

220 SMTP/cmap_________________________________________ read

Poznámka

Pokud máte server ESMTP za bránou firewall PIX nebo ASA, možná budete muset vypnout funkci Mailguard, aby bylo možné správně tok pošty. Vytvoření relace Telnet na portu 25 také nemusí s příkazem fixup protocol smtp fungovat, zejména s klientem Telnet, který používá režim znaků.

Kromě brány firewall Cisco PIX nebo Cisco ASA existuje několik produktů brány firewall, které mají funkce proxy serveru SMTP, které můžou způsobit problémy uvedené výše v tomto článku. Následuje seznam výrobců brány firewall, jejichž produkty mají funkce proxy serveru SMTP:

  • Firebox watchguardu
  • Kontrolní bod
  • Raptor

Další informace najdete na webech uvedených v části Další informace.

Řešení

Upozornění

Tímto alternativním řešením může být počítač nebo síť zranitelnější vůči útokům uživatelů se zlými úmysly nebo škodlivého softwaru, jako jsou viry. Toto alternativní řešení nedoporučujeme, ale poskytujeme tyto informace, abyste ho mohli implementovat podle vlastního uvážení. Tento postup používáte na vlastní nebezpečí.

Poznámka

Brána firewall je navržená tak, aby pomáhala chránit počítač před útoky uživatelů se zlými úmysly nebo škodlivým softwarem, jako jsou viry, které k útoku na váš počítač využívají nevyžádaný příchozí síťový provoz. Než bránu firewall zakážete, musíte počítač odpojit od všech sítí včetně internetu.

Pokud chcete tento problém vyřešit, vypněte funkci Mailguard brány firewall PIX nebo ASA.

Upozornění

Pokud máte za PIX nebo ASA server ESMTP, možná budete muset vypnout funkci Mailguard, aby bylo možné správně tok pošty. Pokud použijete příkaz Telnet na port 25, nemusí to fungovat s příkazem smtp pro opravu protokolu, což je patrnější u klienta Telnet, který provádí režim znaků.

Vypnutí funkce Mailguard brány firewall PIX nebo ASA:

  1. Přihlaste se k bráně firewall PIX nebo ASA vytvořením relace telnet nebo pomocí konzoly.
  2. Zadejte enable a stiskněte Enter.
  3. Po zobrazení výzvy k zadání hesla zadejte heslo a stiskněte Enter.
  4. Zadejte konfigurovat terminál a stiskněte klávesu Enter.
  5. Zadejte no fixup protocol smtp 25 a stiskněte Klávesu Enter.
  6. Zadejte paměť pro zápis a stiskněte klávesu Enter.
  7. Restartujte nebo znovu načtěte bránu firewall PIX nebo ASA.

Další informace

Funkce PIX nebo ASA Software Mailguard (v raných verzích označovaná také jako Mailhost) filtruje provoz protokolu SMTP (Simple Mail Transfer Protocol). Pro PIX nebo ASA Software verze 4.0 a 4.1 se mailhost ke konfiguraci Mailguardu používá příkaz . V softwaru PIX nebo ASA verze 4.2 a novější fixup protocol smtp 25 se používá příkaz .

Poznámka

Pro poštovní server musíte mít také přiřazení statických IP adres a příkazy pro konduit.

Když je mailguard nakonfigurovaný, mailguard povoluje pouze sedm příkazů smtp minimálních požadovaných, jak je popsáno v požadavku na komentář (RFC) 821, oddíl 4.5.1. Těchto sedm požadovaných příkazů je následující:

  • HELO
  • MAIL
  • RCPT
  • DAT
  • RSET
  • NOOP
  • UKONČETE

Ostatní příkazy, například KILL a WIZ, nejsou přes bránu firewall PIX nebo ASA přesměrovávat na poštovní server. Dřívější verze brány firewall PIX nebo ASA vrací odpověď OK , a to i u zablokovaných příkazů. Cílem je zabránit útočníkovi v tom, aby věděl, že příkazy byly zablokovány.

Pokud chcete zobrazit RFC 821, navštivte web RFC: RFC 821 – Simple Mail Transfer Protocol.

Všechny ostatní příkazy jsou odmítnuty s nerozpoznanou odpovědí 500 Command .

V bránách firewall Cisco PIX a ASA s firmwarem verze 5.1 a novější fixup protocol smtp změní příkaz znaky v banneru SMTP na hvězdičky s výjimkou znaků "2", "0", "0". Znaky návratu na začátek řádku (CR) a LF (Linefeed) jsou ignorovány. Ve verzi 4.4 se všechny znaky v banneru SMTP převedou na hvězdičky.

Test správné funkce Mailguardu

Vzhledem k tomu, že funkce Mailguard může u všech příkazů vrátit odpověď OK , může být obtížné určit, jestli je aktivní. Pokud chcete zjistit, jestli funkce Mailguard neblokuje neplatné příkazy, postupujte takto.

Poznámka

Následující kroky jsou založené na softwaru PIX nebo ASA verze 4.0 a 4.1. Pokud chcete otestovat novější verze softwaru PIX nebo ASA (verze 4.2 a novější), použijte fixup protocol smtp 25 příkaz a příslušné staticképříkazy a příkazy pro připojení k poštovnímu serveru.

S vypnutým mailguardem

  1. V bráně firewall PIX nebo ASA povolte všem hostitelům na portu TCP 25 (SMPT) příkazy static a conduit.

  2. Na externím rozhraní brány firewall PIX nebo ASA na portu 25 vytvořte relaci telnet.

  3. Zadejte neplatný příkaz a stiskněte klávesu ENTER. Zadejte například goodmorning a stiskněte Enter.

    Zobrazí se odpověď: 500 – Příkaz není rozpoznán.

Se zapnutou funkcí Mailguard

  1. Pomocí mailhostu nebo fixup protocol smtp 25 příkazu zapněte funkci Mailguard na externím rozhraní brány firewall PIX nebo ASA.

  2. Na externím rozhraní brány firewall PIX nebo ASA na portu 25 vytvořte relaci telnet.

  3. Zadejte neplatný příkaz a stiskněte enter. Zadejte například goodmorning a stiskněte Enter.

    Obdržíte odpověď: OK.

Když je funkce Mailguard vypnutá, poštovní server odpoví na příkaz, který není platný s nerozpoznanou zprávou 500 Command . Pokud je ale zapnutá funkce Mailguard, brána firewall PIX nebo ASA zachytí neplatný příkaz, protože brána firewall předává pouze sedm minimálních požadovaných příkazů SMTP. Brána firewall PIX nebo ASA odpoví ok, jestli je příkaz platný nebo ne.

Brána firewall PIX nebo ASA ve výchozím nastavení blokuje všechna vnější připojení v přístupu k hostitelům. K povolení vnějšího přístupu použijte příkazy static, access-list a access-group.

Další informace o produktech brány firewall, které mají funkce proxy serveru SMTP, najdete na následujících webech:

Informace třetích stran – právní omezení

Produkty třetích stran, o nichž se hovoří v tomto článku, jsou vyráběny společnostmi nezávislými na společnosti Microsoft. Společnost Microsoft neposkytuje žádnou záruku (implicitně předpokládanou ani jinou) týkající se výkonu a spolehlivosti těchto produktů.

Kontaktní informace třetích stran právních omezení

Společnost Microsoft vám usnadňuje získání technické podpory poskytnutím informací o kontaktech na jiné výrobce. Tyto informace se mohou změnit bez předchozího upozornění. Společnost Microsoft neručí za správnost informací o kontaktech na jiné výrobce.