Mailguard 機能がオンになっている Cisco PIX または Cisco ASA ファイアウォールの背後で電子メール メッセージを送受信できない

  • [アーティクル]
  • 適用対象:
    Exchange Server 2013, Exchange Server 2010, Exchange Server 2016, Exchange Server 2019

元の KB 番号: 320027

この記事では、Exchange サーバーが Cisco PIX または Cisco ASA ファイアウォール デバイスの背後に配置され、PIX または ASA ファイアウォールで Mailguard 機能がオンになっている場合に、電子メール メッセージを送受信できない動作の原因について説明します。 PIX または ASA ファイアウォールの Mailguard 機能をオフにする手順について説明します。

重要

この記事では、セキュリティ設定を下げる方法や、コンピューターのセキュリティ機能をオフにする方法について説明します。 これらの変更を行って、特定の問題を回避できます。 これらの変更を行う前に、特定の環境でのこの回避策の実装に関連するリスクを評価することをお勧めします。 この回避策を実装する場合は、コンピューターの保護に役立つ適切な追加の手順を実行します。

現象

次の動作の 1 つ以上が発生する可能性があります。

  • インターネット ベースの電子メール メッセージを受信することはできません。
  • 添付ファイルを含むメール メッセージを送信することはできません。
  • ポート 25 で Microsoft Exchange サーバーとの telnet セッションを確立することはできません。
  • EHLO コマンドを Exchange サーバーに送信すると、 コマンドが認識されない、OK 応答が返されます。
  • 特定のドメインでメールを送受信することはできません。
  • Post Office Protocol バージョン 3 (POP3) 認証に関する問題 - 550 5.7.1 リレーがローカル サーバーから拒否されました。
  • 重複する電子メール メッセージの送信に関する問題 (場合によっては 5 ~ 6 回)。
  • 重複する受信簡易メール転送プロトコル (SMTP) メッセージを受信します。
  • Microsoft Outlook クライアントまたは Microsoft Outlook Express クライアントは、電子メールを送信しようとしたときに0x800CCC79 エラーを報告します。
  • バイナリ MIME (8bitmime) に問題があります。 配信不能レポート (NDR): リモート ホストでサポートされていない 554 5.6.1 本文の種類のテキストを受け取ります。
  • 添付ファイルが見つからない、または文字化けしている問題があります。
  • Cisco PIX または Cisco ASA ファイアウォール デバイスがルーティング グループ間にある場合、ルーティング グループ間のリンク状態ルーティングに問題があります。
  • X-LINK2STATE 動詞は渡されません。
  • ルーティング グループ コネクタ経由でサーバー間に認証の問題があります。

原因

この問題は、次の状況で発生する可能性があります。

  • Exchange サーバは、Cisco PIX または Cisco ASA ファイアウォール デバイスの背後に配置されます。

- および -

  • PIX または ASA ファイアウォールで Mailguard 機能がオンになっています。
  • 認証および認証ログイン コマンド (拡張簡易メール転送プロトコル [ESMTP] コマンド) はファイアウォールによって削除され、これにより、システムはローカル以外のドメインから中継していると考えます。

Mailguard が Cisco PIX ファイアウォールまたは Cisco ASA ファイアウォールで実行されているかどうかを確認するには、MX レコードの IP アドレスに Telnet を接続し、応答が次のようになります。

220*******************************************************0*2******0***********************

2002*******2***0*00

Old versions of PIX or ASA:

220 SMTP/cmap_________________________________________ read

注:

PIX または ASA ファイアウォールの背後に ESMTP サーバーがある場合は、メールが正しく流れるのを許可するために Mailguard 機能をオフにする必要がある場合があります。 また、ポート 25 への Telnet セッションの確立は、特に文字モードを fixup protocol smtp 使用する Telnet クライアントでは、コマンドでは機能しない場合があります。

Cisco PIX または Cisco ASA ファイアウォールに加えて、この記事で前述した問題を生成する可能性がある SMTP プロキシ機能を備えるファイアウォール製品がいくつかあります。 次に、SMTP プロキシ機能を備えたファイアウォールの製造元の一覧を示します。

  • Watchguard Firebox
  • チェックポイント
  • ラプター

詳細については、「詳細情報」セクションに記載されている Web サイトを参照してください。

解決方法

警告

この回避策によって、コンピューターやネットワークが、悪意のあるユーザーやウイルスなどの悪質なソフトウェアからの攻撃を受けやすくなる場合があります。 この回避策はお勧めしませんが、この回避策を独自の裁量で実装できるように、この情報を提供しています。 この回避策は、自己の責任において使用してください。

注:

ファイアウォールは、悪意のあるユーザーによる攻撃や、迷惑な受信ネットワーク トラフィックを使用してコンピューターを攻撃するウイルスなどの悪意のあるソフトウェアによって、コンピューターを保護するために設計されています。 ファイアウォールを無効にする前に、インターネットを含むすべてのネットワークからコンピューターを切断する必要があります。

この問題を解決するには、PIX または ASA ファイアウォールの Mailguard 機能をオフにします。

警告

PIX または ASA の背後に ESMTP サーバーがある場合は、メールが正しく流れるように Mailguard 機能をオフにする必要がある場合があります。 ポート 25 に Telnet コマンドを使用する場合、これは fixup プロトコル smtp コマンドでは機能しない可能性があり、これは文字モードを実行する Telnet クライアントの方が顕著です。

PIX または ASA ファイアウォールの Mailguard 機能をオフにするには:

  1. telnet セッションを確立するか、コンソールを使用して PIX または ASA ファイアウォールにサインインします。
  2. 「enable」と入力し、Enter キーを押します。
  3. パスワードの入力を求められたら、パスワードを入力し、Enter キーを押します。
  4. configure terminal」と入力し、Enter キーを押します。
  5. 「no fixup protocol smtp 25」と入力し、Enter キーを押します。
  6. 「書き込みメモリ」と入力し、Enter キーを押します。
  7. PIX または ASA ファイアウォールを再起動または再読み込みします。

詳細

PIX または ASA Software Mailguard 機能 (初期バージョンでは Mailhost とも呼ばれます) は、簡易メール転送プロトコル (SMTP) トラフィックをフィルター処理します。 PIX または ASA Software バージョン 4.0 および 4.1 の場合、 mailhost コマンドを使用して Mailguard を構成します。 PIX または ASA Software バージョン 4.2 以降では、 fixup protocol smtp 25 コマンドが使用されます。

注:

また、メール サーバーの静的 IP アドレスの割り当てとコンジット ステートメントも必要です。

Mailguard が構成されている場合、Mailguard では、コメント要求 (RFC) 821、セクション 4.5.1 で説明されているように、7 つの SMTP 最小必須コマンドのみを許可します。 これらの 7 つの必須コマンドは次のとおりです。

  • Helo
  • メール
  • Rcpt
  • データ
  • RSET
  • Noop
  • 終了

KILL や WIZ などの他のコマンドは、PIX または ASA ファイアウォールによってメール サーバーに転送されません。 PIX または ASA ファイアウォールの初期バージョンでは、ブロックされているコマンドに対しても OK 応答が返されます。 これは、攻撃者がコマンドがブロックされたという知識を防ぐことを目的としています。

RFC 821 を表示するには、RFC Web サイト RFC 821 - 簡易メール転送プロトコルにアクセスします。

他のすべてのコマンドは、 500 コマンドが認識されない 応答で拒否されます。

ファームウェア バージョン 5.1 以降の Cisco PIX および ASA ファイアウォールでは、 fixup protocol smtp コマンドは SMTP バナーの文字をアスタリスクに変更します。ただし、"2"、"0"、"0" 文字は除きます。 復帰 (CR) 文字と改行 (LF) 文字は無視されます。 バージョン 4.4 では、SMTP バナー内のすべての文字がアスタリスクに変換されます。

Mailguard で適切な機能をテストする

Mailguard 機能は、すべてのコマンドに 対して OK 応答を返す可能性があるため、アクティブかどうかを判断するのが難しい場合があります。 Mailguard 機能が無効なコマンドをブロックしているかどうかを判断するには、次の手順に従います。

注:

次の手順は、PIX または ASA ソフトウェア バージョン 4.0 と 4.1 に基づいています。 以降のバージョンの PIX または ASA ソフトウェア (バージョン 4.2 以降) をテストするには、コマンドと、メール サーバーに適切な静的ステートメントとコンジット ステートメントを使用fixup protocol smtp 25します。

Mailguard がオフになっている状態

  1. PIX または ASA ファイアウォールで、静的コマンドとコンジット コマンドを使用して、TCP ポート 25 (SMPT) 上のすべてのホストを許可します。

  2. ポート 25 の PIX または ASA ファイアウォールの外部インターフェイスで telnet セッションを確立します。

  3. 無効なコマンドを入力し、Enter キーを押します。 たとえば、「 goodmorning」と入力し、Enter キーを押します。

    応答を受け取ります: 500 コマンドが認識されません

Mailguard を有効にした状態

  1. mailhost または コマンドを fixup protocol smtp 25 使用して、PIX または ASA ファイアウォールの外部インターフェイスで Mailguard 機能をオンにします。

  2. ポート 25 の PIX または ASA ファイアウォールの外部インターフェイスで telnet セッションを確立します。

  3. 無効なコマンドを入力し、Enter キーを押します。 たとえば、「 goodmorning」と入力し、Enter キーを押します。

    [ OK] という応答が表示されます。

Mailguard 機能がオフの場合、メール サーバーは、 500 コマンドが認識されない メッセージで無効なコマンドに応答します。 ただし、Mailguard 機能をオンにすると、PIX または ASA ファイアウォールは、ファイアウォールが必要な最小 SMTP コマンドを 7 つだけ渡すので、無効なコマンドをインターセプトします。 PIX または ASA ファイアウォールは、コマンドが有効かどうかに関係なく 、OK で応答します。

既定では、PIX または ASA ファイアウォールは、すべての外部接続がホスト内へのアクセスをブロックします。 外部アクセスを許可するには、静的、アクセス リスト、および access-group コマンド ステートメントを使用します。

SMTP プロキシ機能を持つファイアウォール製品の詳細については、次の Web サイトを参照してください。

サードパーティの情報に関する免責事項

この資料に記載されているサードパーティ製品は、マイクロソフトと関連のない他社の製品です。 明示的か黙示的かにかかわらず、これらの製品のパフォーマンスや信頼性についてマイクロソフトはいかなる責任も負わないものとします。

サードパーティのお問い合わせ窓口に関する免責事項

他社テクニカル サポートのお問い合わせ窓口は、ユーザーの便宜のために提供されているものであり、 将来予告なしに変更されることがあります。 マイクロソフトは、掲載されている情報に対して、いかなる責任も負わないものとします。