Kan geen e-mailberichten verzenden of ontvangen achter een Cisco PIX- of Cisco ASA-firewall met de functie Mailguard ingeschakeld

  • Artikel
  • Van toepassing op:
    Exchange Server 2013, Exchange Server 2010, Exchange Server 2016, Exchange Server 2019

Origineel KB-nummer: 320027

In dit artikel wordt de oorzaak besproken van het gedrag dat u geen e-mailberichten kunt verzenden of ontvangen als een Exchange-server wordt geplaatst achter een Cisco PIX- of Cisco ASA-firewallapparaat en de PIX- of ASA-firewall de functie Mailguard heeft ingeschakeld. Het bevat stappen voor het uitschakelen van de Mailguard-functie van de PIX- of ASA-firewall.

Belangrijk

Dit artikel bevat informatie over het verlagen van beveiligingsinstellingen of het uitschakelen van beveiligingsfuncties op een computer. U kunt deze wijzigingen aanbrengen om een specifiek probleem te omzeilen. Voordat u deze wijzigingen aanbrengt, raden we u aan de risico's te evalueren die gepaard gaan met het implementeren van deze tijdelijke oplossing in uw specifieke omgeving. Als u deze tijdelijke oplossing implementeert, voert u de benodigde aanvullende stappen uit om de computer te beveiligen.

Symptomen

Mogelijk ondervindt u een of meer van de volgende gedragingen:

  • U kunt geen e-mailberichten op internet ontvangen.
  • U kunt geen e-mailberichten met bijlagen verzenden.
  • U kunt geen telnetsessie tot stand brengen met de Microsoft Exchange-server op poort 25.
  • Wanneer u een EHLO-opdracht naar de Exchange-server verzendt, ontvangt u een niet-herkende opdracht of een OK-antwoord .
  • U kunt geen e-mail verzenden of ontvangen op specifieke domeinen.
  • Problemen met Pop3-verificatie (Post Office Protocol versie 3) - 550 5.7.1-doorgifte geweigerd vanaf de lokale server.
  • Problemen met dubbele e-mailberichten die worden verzonden (soms vijf tot zes keer).
  • U ontvangt dubbele binnenkomende SMTP-berichten (Simple Mail Transfer Protocol).
  • Microsoft Outlook-clients of Microsoft Outlook Express-clients melden een 0x800CCC79 fout bij het verzenden van e-mail.
  • Er zijn problemen met binaire mime (8bitmime). U ontvangt de tekst in een rapport over niet-bezorging (NDR): 554 5.6.1 Type hoofdtekst wordt niet ondersteund door externe host.
  • Er zijn problemen met ontbrekende of vervormde bijlagen.
  • Er zijn problemen met de routering van de koppelingsstatus tussen routeringsgroepen wanneer een Cisco PIX- of Cisco ASA-firewallapparaat zich tussen de routeringsgroepen bevindt.
  • Het X-LINK2STATE werkwoord wordt niet doorgegeven.
  • Er zijn verificatieproblemen tussen servers via een routeringsgroepconnector.

Oorzaak

Dit probleem kan optreden in de volgende situatie:

  • De Exchange-server wordt achter een Cisco PIX- of Cisco ASA-firewallapparaat geplaatst.

-En-

  • Voor de PIX- of ASA-firewall is de functie Mailguard ingeschakeld.
  • De opdrachten Auth en Auth login (Extended Simple Mail Transfer Protocol [ESMTP] opdrachten) worden verwijderd door de firewall, waardoor het systeem denkt dat u vanuit een niet-lokaal domein doorgeeft.

Als u wilt bepalen of Mailguard wordt uitgevoerd op uw Cisco PIX- of Cisco ASA-firewall, gaat u via Telnet naar het IP-adres van de MX-record en controleert u of het antwoord er ongeveer als volgt uitziet:

220*******************************************************0*2******0***********************

2002*******2***0*00

Old versions of PIX or ASA:

220 SMTP/cmap_________________________________________ read

Opmerking

Als u een ESMTP-server achter de PIX- of ASA-firewall hebt, moet u mogelijk de functie Mailguard uitschakelen om e-mail correct te laten stromen. Ook werkt het tot stand brengen van een Telnet-sessie naar poort 25 mogelijk niet met de fixup protocol smtp opdracht, met name met een Telnet-client die de tekenmodus gebruikt.

Naast de Cisco PIX- of Cisco ASA-firewall zijn er verschillende firewallproducten met SMTP-proxymogelijkheden die de problemen kunnen veroorzaken die eerder in dit artikel worden genoemd. Hier volgt een lijst met firewallfabrikanten waarvan de producten SMTP-proxyfuncties hebben:

  • Watchguard Firebox
  • Checkpoint
  • Raptor

Ga voor meer informatie naar de websites die worden vermeld in de sectie 'Meer informatie'.

Oplossing

Waarschuwing

Deze tijdelijke oplossing kan een computer of een netwerk kwetsbaarder maken voor aanvallen door kwaadwillende gebruikers of door schadelijke software zoals virussen. We raden deze tijdelijke oplossing niet aan, maar bieden deze informatie, zodat u deze tijdelijke oplossing naar eigen inzicht kunt implementeren. Het gebruik van deze methode is voor uw eigen risico.

Opmerking

Een firewall is ontworpen om uw computer te beschermen tegen aanvallen door kwaadwillende gebruikers of door schadelijke software zoals virussen die ongevraagd binnenkomend netwerkverkeer gebruiken om uw computer aan te vallen. Voordat u de firewall uitschakelt, moet u de verbinding van uw computer verbreken met alle netwerken, inclusief internet.

U kunt dit probleem oplossen door de mailguard-functie van de PIX- of ASA-firewall uit te schakelen.

Waarschuwing

Als u een ESMTP-server achter de PIX of ASA hebt, moet u mogelijk de functie Mailguard uitschakelen om het mogelijk te maken dat de e-mail correct kan stromen. Als u de Telnet-opdracht gebruikt voor poort 25, werkt dit mogelijk niet met de smtp-opdracht fixup-protocol en dit is meer merkbaar bij een Telnet-client die tekenmodus uitvoert.

De Mailguard-functie van de PIX- of ASA-firewall uitschakelen:

  1. Meld u aan bij de PIX- of ASA-firewall door een telnet-sessie tot stand te brengen of met behulp van de console.
  2. Typ inschakelen en druk op Enter.
  3. Wanneer u om uw wachtwoord wordt gevraagd, typt u uw wachtwoord en drukt u op Enter.
  4. Typ terminal configureren en druk op Enter.
  5. Typ no fixup protocol smtp 25 en druk op Enter.
  6. Typ schrijfgeheugen en druk op Enter.
  7. Start de PIX- of ASA-firewall opnieuw op of laad deze opnieuw.

Meer informatie

De functie PIX of ASA Software Mailguard (ook wel Mailhost genoemd in eerdere versies) filtert SMTP-verkeer (Simple Mail Transfer Protocol). Voor PIX- of ASA-softwareversies 4.0 en 4.1 wordt de mailhost opdracht gebruikt om Mailguard te configureren. In PIX of ASA Software versie 4.2 en hoger wordt de fixup protocol smtp 25 opdracht gebruikt.

Opmerking

U moet ook statische IP-adrestoewijzingen en conduit-instructies voor uw e-mailserver hebben.

Wanneer Mailguard is geconfigureerd, staat Mailguard alleen de zeven minimaal vereiste SMTP-opdrachten toe, zoals beschreven in RFC 821(Request for Comment) 4.5.1. Deze zeven vereiste opdrachten zijn als volgt:

  • HELO
  • MAIL
  • RCPT
  • GEGEVENS
  • RSET
  • NOOP
  • SLUIT

Andere opdrachten, zoals KILL en WIZ, worden niet doorgestuurd naar de e-mailserver door de PIX- of ASA-firewall. Vroege versies van de PIX- of ASA-firewall retourneren een OK-antwoord , zelfs op opdrachten die zijn geblokkeerd. Dit is bedoeld om te voorkomen dat een aanvaller weet dat de opdrachten zijn geblokkeerd.

Als u RFC 821 wilt weergeven, gaat u naar de RFC-website: RFC 821 - Simple Mail Transfer Protocol.

Alle andere opdrachten worden geweigerd met het niet-herkende antwoord van de 500-opdracht .

Op Cisco PIX- en ASA-firewalls met firmwareversie 5.1 en hoger worden met de fixup protocol smtp opdracht de tekens in de SMTP-banner gewijzigd in sterretjes, met uitzondering van de tekens '2', '0', '0'. Tekens voor carriage return (CR) en linefeed (LF) worden genegeerd. In versie 4.4 worden alle tekens in de SMTP-banner geconverteerd naar sterretjes.

Mailguard testen voor de juiste functie

Omdat de functie Mailguard een OK-antwoord kan retourneren op alle opdrachten, is het mogelijk moeilijk om te bepalen of deze actief is. Volg deze stappen om te bepalen of de mailguard-functie ongeldige opdrachten blokkeert.

Opmerking

De volgende stappen zijn gebaseerd op PIX- of ASA-softwareversie 4.0 en 4.1. Als u latere versies van PIX- of ASA-software (versie 4.2 en hoger) wilt testen, gebruikt u de fixup protocol smtp 25 opdracht en de juiste statische en conduit-instructies voor uw e-mailserver.

Met Mailguard uitgeschakeld

  1. Gebruik op de PIX- of ASA-firewall de opdrachten static en conduit om alle hosts toe te staan op TCP-poort 25 (SMPT).

  2. Stel een telnetsessie in op de externe interface van de PIX- of ASA-firewall op poort 25.

  3. Typ een ongeldige opdracht en druk op Enter. Typ bijvoorbeeld goodmorning en druk op Enter.

    U ontvangt het antwoord: 500 Command niet herkend.

Met Mailguard ingeschakeld

  1. Gebruik de mailhost of de fixup protocol smtp 25 opdracht om de functie Mailguard in te schakelen op de externe interface van de PIX- of ASA-firewall.

  2. Stel een telnetsessie in op de externe interface van de PIX- of ASA-firewall op poort 25.

  3. Typ een ongeldige opdracht en druk op Enter. Typ bijvoorbeeld goodmorning en druk op Enter.

    U ontvangt het antwoord: OK.

Wanneer de functie Mailguard is uitgeschakeld, reageert de e-mailserver op de opdracht die niet geldig is met het niet-herkende bericht 500-opdracht . Wanneer de functie Mailguard echter is ingeschakeld, onderschept de PIX- of ASA-firewall de opdracht die niet geldig is, omdat de firewall alleen de zeven minimaal vereiste SMTP-opdrachten doorgeeft. De PIX- of ASA-firewall reageert met OK , ongeacht of de opdracht geldig is of niet.

Standaard blokkeert de PIX- of ASA-firewall alle externe verbindingen voor toegang tot hosts. Gebruik de opdrachtinstructies statisch, toegangslijst en toegangsgroep om externe toegang toe te staat.

Ga naar de volgende websites voor meer informatie over firewallproducten met SMTP-proxymogelijkheden:

Disclaimerinformatie van derden

De producten van derden die in dit artikel worden vermeld, worden vervaardigd door bedrijven die onafhankelijk zijn van Microsoft. Microsoft verleent dan ook geen enkele garantie, impliciet noch anderszins, omtrent de prestaties of de betrouwbaarheid van deze producten.

Disclaimerinformatie van derden

Microsoft verstrekt deze contactinformatie om u te helpen bij het aanvragen van technische ondersteuning. Deze contactinformatie kan zonder voorafgaande kennisgeving worden gewijzigd. Microsoft kan niet instaan voor de juistheid van deze contactinformatie.