Non è possibile inviare o ricevere messaggi di posta elettronica dietro un firewall Cisco PIX o Cisco ASA con la funzionalità Mailguard attivata

  • Articolo
  • Si applica a:
    Exchange Server 2013, Exchange Server 2010, Exchange Server 2016, Exchange Server 2019

Numero KB originale: 320027

Questo articolo illustra la causa del comportamento che non è possibile inviare o ricevere messaggi di posta elettronica se un server Exchange è posizionato dietro un dispositivo firewall Cisco PIX o Cisco ASA e il firewall PIX o ASA ha la funzionalità Mailguard attivata. Fornisce i passaggi per disattivare la funzionalità Mailguard del firewall PIX o ASA.

Importante

Questo articolo contiene informazioni che illustrano come ridurre le impostazioni di sicurezza o come disattivare le funzionalità di sicurezza in un computer. È possibile apportare queste modifiche per risolvere un problema specifico. Prima di apportare queste modifiche, è consigliabile valutare i rischi associati all'implementazione di questa soluzione alternativa nel proprio ambiente specifico. Se si implementa questa soluzione alternativa, seguire i passaggi aggiuntivi appropriati per proteggere il computer.

Sintomi

È possibile che si verifichi uno o più dei comportamenti seguenti:

  • Non è possibile ricevere messaggi di posta elettronica basati su Internet.
  • Non è possibile inviare messaggi di posta elettronica con allegati.
  • Non è possibile stabilire una sessione telnet con il server Microsoft Exchange sulla porta 25.
  • Quando si invia un comando EHLO al server Exchange, si riceve un comando non riconosciuto o una risposta OK .
  • Non è possibile inviare o ricevere messaggi di posta elettronica in domini specifici.
  • Problemi con l'autenticazione POP3 (Post Office Protocol versione 3): inoltro 550 5.7.1 negato dal server locale.
  • Problemi relativi all'invio di messaggi di posta elettronica duplicati (talvolta da cinque a sei volte).
  • Si ricevono messaggi SMTP (Simple Mail Transfer Protocol) in ingresso duplicati.
  • I client di Microsoft Outlook o Microsoft Outlook Express segnalano un errore di 0x800CCC79 durante il tentativo di inviare messaggi di posta elettronica.
  • Ci sono problemi con mime binario (8bitmime). Il testo viene visualizzato in un report di mancato recapito( NDR): tipo di corpo 554 5.6.1 non supportato dall'host remoto.
  • Ci sono problemi con allegati mancanti o guarniti.
  • Esistono problemi con il routing dello stato del collegamento tra i gruppi di routing quando un dispositivo firewall Cisco PIX o Cisco ASA si trova tra i gruppi di routing.
  • Il verbo X-LINK2STATE non viene passato.
  • Esistono problemi di autenticazione tra i server su un connettore del gruppo di routing.

Causa

Questo problema può verificarsi nella situazione seguente:

  • Il server Exchange viene posizionato dietro un dispositivo firewall Cisco PIX o Cisco ASA.

-E-

  • Il firewall PIX o ASA ha la funzionalità Mailguard attivata.
  • I comandi Auth e Auth login (Extended Simple Mail Transfer Protocol [ESMTP]) vengono rimossi dal firewall e questo fa pensare al sistema che si stia inoltrando da un dominio non locale.The Auth and Auth login commands (Extended Simple Mail Transfer Protocol [ESMTP] commands) are stripped by the firewall, and this makes the system think that you're relaying from a non-local domain.

Per determinare se Mailguard è in esecuzione nel firewall Cisco PIX o Cisco ASA, Telnet all'indirizzo IP del record MX e quindi verificare se la risposta è simile alla seguente:

220*******************************************************0*2******0***********************

2002*******2***0*00

Old versions of PIX or ASA:

220 SMTP/cmap_________________________________________ read

Nota

Se si dispone di un server ESMTP dietro il firewall PIX o ASA, potrebbe essere necessario disattivare la funzionalità Mailguard per consentire il corretto flusso della posta. Inoltre, la definizione di una sessione Telnet sulla porta 25 potrebbe non funzionare con il comando, in particolare con un client Telnet che usa la fixup protocol smtp modalità carattere.

Oltre al firewall Cisco PIX o Cisco ASA, esistono diversi prodotti firewall con funzionalità proxy SMTP che possono generare i problemi menzionati in precedenza in questo articolo. Di seguito è riportato un elenco di produttori di firewall i cui prodotti hanno funzionalità proxy SMTP:

  • Watchguard Firebox
  • Checkpoint
  • Raptor

Per ulteriori informazioni, visitare i siti Web elencati nella sezione "Altre informazioni".

Risoluzione

Avviso

Questa soluzione alternativa potrebbe rendere il computer o la rete più vulnerabile ad attacchi di utenti malintenzionati o programmi software dannosi, ad esempio i virus. Questa soluzione alternativa non è consigliata, ma fornisce queste informazioni in modo che sia possibile implementare questa soluzione alternativa a propria discrezione. L'utilizzo di questa soluzione avviene pertanto a rischio esclusivo dell'utente.

Nota

Un firewall è progettato per proteggere il computer da attacchi da parte di utenti malintenzionati o da software dannoso, ad esempio virus che usano il traffico di rete in ingresso non richiesto per attaccare il computer. Prima di disabilitare il firewall, è necessario disconnettere il computer da tutte le reti, inclusa Internet.

Per risolvere questo problema, disattivare la funzionalità Mailguard del firewall PIX o ASA.

Avviso

Se si dispone di un server ESMTP dietro PIX o ASA, potrebbe essere necessario disattivare la funzionalità Mailguard per consentire il corretto flusso della posta. Se si usa il comando Telnet per la porta 25, questo potrebbe non funzionare con il comando smtp del protocollo di correzione e ciò è più evidente con un client Telnet che esegue la modalità carattere.

Per disattivare la funzionalità Mailguard del firewall PIX o ASA:

  1. Accedere al firewall PIX o ASA stabilendo una sessione telnet o usando la console.
  2. Digitare enable (Abilita) e quindi premere INVIO.
  3. Quando viene richiesta la password, digitare la password e quindi premere INVIO.
  4. Digitare configure terminal (Configura terminale) e quindi premere INVIO.
  5. Digitare no fixup protocol smtp 25 e quindi premere INVIO.
  6. Digitare write memory (Memoria di scrittura) e quindi premere INVIO.
  7. Riavviare o ricaricare il firewall PIX o ASA.

Ulteriori informazioni

La funzionalità PIX o ASA Software Mailguard (chiamata anche Mailhost nelle versioni precedenti) filtra il traffico SMTP (Simple Mail Transfer Protocol). Per PIX o ASA Software versioni 4.0 e 4.1, il mailhost comando viene usato per configurare Mailguard. In PIX o ASA Software versione 4.2 e successive viene usato il fixup protocol smtp 25 comando .

Nota

È inoltre necessario disporre di assegnazioni di indirizzi IP statici e istruzioni conduit per il server di posta elettronica.

Quando Mailguard è configurato, Mailguard consente solo i sette comandi SMTP minimi richiesti come descritto nella richiesta di commento (RFC) 821, sezione 4.5.1. Questi sette comandi obbligatori sono i seguenti:

  • HELO
  • POSTA
  • RCPT
  • DATI
  • RSET
  • NOOP
  • SMETTERE

Altri comandi, ad esempio KILL e WIZ, non vengono inoltrati al server di posta elettronica dal firewall PIX o ASA. Le prime versioni del firewall PIX o ASA restituiscono una risposta OK , anche ai comandi bloccati. Ciò ha lo scopo di impedire a un utente malintenzionato di sapere che i comandi sono stati bloccati.

Per visualizzare RFC 821, visitare il sito Web RFC RFC 821 - Simple Mail Transfer Protocol.

Tutti gli altri comandi vengono rifiutati con la risposta non riconosciuta del comando 500 .

Nei firewall Cisco PIX e ASA con le versioni del firmware 5.1 e successive, il fixup protocol smtp comando modifica i caratteri nel banner SMTP in asterischi, ad eccezione dei caratteri "2", "0", "0". I caratteri ritorno a capo (CR) e l'avanzamento riga (LF) vengono ignorati. Nella versione 4.4 tutti i caratteri nel banner SMTP vengono convertiti in asterischi.

Testare Mailguard per la funzione corretta

Poiché la funzionalità Mailguard può restituire una risposta OK a tutti i comandi, potrebbe essere difficile determinare se è attiva. Per determinare se la funzionalità Mailguard blocca i comandi non validi, seguire questa procedura.

Nota

I passaggi seguenti sono basati su PIX o software ASA versione 4.0 e 4.1. Per testare versioni successive del software PIX o ASA (versione 4.2 e successive), usare il fixup protocol smtp 25 comando e le istruzioni statiche e conduit appropriate per il server di posta elettronica.

Con Mailguard disattivato

  1. Nel firewall PIX o ASA usare i comandi statici e conduit per consentire a tutti gli host di accedere sulla porta TCP 25 (SMPT).

  2. Stabilire una sessione telnet sull'interfaccia esterna del firewall PIX o ASA sulla porta 25.

  3. Digitare un comando non valido e quindi premere INVIO. Ad esempio, digitare goodmorning e quindi premere INVIO.

    Si riceve la risposta: 500 Comando non riconosciuto.

Con Mailguard attivato

  1. Usare mailhost o il fixup protocol smtp 25 comando per attivare la funzionalità Mailguard nell'interfaccia esterna del firewall PIX o ASA.

  2. Stabilire una sessione telnet sull'interfaccia esterna del firewall PIX o ASA sulla porta 25.

  3. Digitare un comando non valido e quindi premere INVIO. Ad esempio, digitare goodmorning e quindi premere INVIO.

    Si riceve la risposta: OK.

Quando la funzionalità Mailguard è disattivata, il server di posta risponde al comando non valido con il messaggio 500 Command non riconosciuto . Tuttavia, quando la funzionalità Mailguard è attivata, il firewall PIX o ASA intercetta il comando non valido, perché il firewall supera solo i sette comandi SMTP minimi necessari. Il firewall PIX o ASA risponde con OK se il comando è valido o meno.

Per impostazione predefinita, il firewall PIX o ASA impedisce a tutte le connessioni esterne di accedere all'interno degli host. Usare le istruzioni di comando statiche, access-list e access-group per consentire l'accesso esterno.

Per altre informazioni sui prodotti firewall con funzionalità proxy SMTP, visitare i siti Web seguenti:

Dichiarazione di non responsabilità sulle informazioni di terze parti

I prodotti di terzi citati in questo articolo sono prodotti da società indipendenti da Microsoft. Microsoft non rilascia alcuna garanzia implicita o esplicita relativa alle prestazioni o all'affidabilità di tali prodotti

Dichiarazione di non responsabilità di contatti di terze parti

Microsoft fornisce informazioni di contatto di terze parti allo scopo di facilitare l'individuazione del supporto tecnico. Queste informazioni di contatto sono soggette a modifica senza preavviso. Microsoft non garantisce la precisione delle informazioni di contatto di terzi.