Nie można wysyłać ani odbierać wiadomości e-mail za zaporą Cisco PIX lub Cisco ASA z włączoną funkcją Mailguard

  • Artykuł
  • Dotyczy:
    Exchange Server 2013, Exchange Server 2010, Exchange Server 2016, Exchange Server 2019

Oryginalny numer KB: 320027

W tym artykule omówiono przyczynę zachowania, którego nie można wysyłać ani odbierać wiadomości e-mail, jeśli serwer Exchange jest umieszczony za urządzeniem zapory Cisco PIX lub Cisco ASA, a zapora PIX lub ASA ma włączoną funkcję Mailguard. Zawiera kroki wyłączania funkcji Mailguard zapory PIX lub ASA.

Ważna

Ten artykuł zawiera informacje, które pokazują, jak pomóc obniżyć ustawienia zabezpieczeń lub jak wyłączyć funkcje zabezpieczeń na komputerze. Możesz wprowadzić te zmiany, aby obejść określony problem. Przed wprowadzeniem tych zmian zalecamy ocenę ryzyka związanego z zaimplementowaniem tego obejścia w określonym środowisku. Jeśli zaimplementujesz to obejście, wykonaj odpowiednie dodatkowe kroki, aby pomóc w ochronie komputera.

Symptomy

Może wystąpić co najmniej jedno z następujących zachowań:

  • Nie można odbierać internetowych wiadomości e-mail.
  • Nie można wysyłać wiadomości e-mail z załącznikami.
  • Nie można ustanowić sesji telnet z serwerem Microsoft Exchange na porcie 25.
  • Po wysłaniu polecenia EHLO do serwera Exchange otrzymasz nierozpoznane polecenie lub odpowiedź OK .
  • Nie można wysyłać ani odbierać wiadomości e-mail w określonych domenach.
  • Problemy z uwierzytelnianiem protokołu Post Office Protocol w wersji 3 (POP3) — odmowa przekazywania 550 5.7.1 z serwera lokalnego.
  • Problemy z wysyłaniem zduplikowanych wiadomości e-mail (czasami pięć do sześciu razy).
  • Otrzymujesz zduplikowane przychodzące komunikaty protokołu SMTP (Simple Mail Transfer Protocol).
  • Klienci programu Microsoft Outlook lub klienci programu Microsoft Outlook Express zgłaszają błąd 0x800CCC79 podczas próby wysłania wiadomości e-mail.
  • Występują problemy z mime binarnym (8bitmime). Otrzymasz tekst w raporcie o braku dostarczania (NDR): 554 5.6.1 Typ treści nieobsługiwany przez hosta zdalnego.
  • Występują problemy z brakującymi lub zniekształconymi załącznikami.
  • Występują problemy z routingiem stanu połączenia między grupami routingu, gdy urządzenie zapory Cisco PIX lub Cisco ASA znajduje się między grupami routingu.
  • Czasownik X-LINK2STATE nie jest przekazywany.
  • Występują problemy z uwierzytelnianiem między serwerami za pośrednictwem łącznika grupy routingu.

Przyczyna

Ten problem może wystąpić w następującej sytuacji:

  • Serwer Exchange znajduje się za urządzeniem zapory Cisco PIX lub Cisco ASA.

-I-

  • Zapora PIX lub ASA ma włączoną funkcję Mailguard.
  • Polecenia logowania uwierzytelniania i uwierzytelniania (rozszerzony protokół ESMTP) są usuwane przez zaporę, co sprawia, że system myśli, że przekazujesz z domeny nielokacyjnej.

Aby ustalić, czy aplikacja Mailguard jest uruchomiona w zaporze Cisco PIX lub Cisco ASA, telnet jest adresem IP rekordu MX, a następnie sprawdź, czy odpowiedź wygląda podobnie do następującego:

220*******************************************************0*2******0***********************

2002*******2***0*00

Old versions of PIX or ASA:

220 SMTP/cmap_________________________________________ read

Uwaga

Jeśli za zaporą PIX lub ASA znajduje się serwer ESMTP, może być konieczne wyłączenie funkcji Mailguard, aby umożliwić prawidłowy przepływ poczty. Ponadto ustanowienie sesji Telnet na porcie 25 może nie działać z fixup protocol smtp poleceniem, zwłaszcza w przypadku klienta Telnet używającego trybu znaków.

Oprócz zapory Cisco PIX lub Cisco ASA istnieje kilka produktów zapory, które mają możliwości serwera proxy SMTP, które mogą powodować problemy wymienione wcześniej w tym artykule. Poniżej znajduje się lista producentów zapór, których produkty mają funkcje serwera proxy SMTP:

  • Straż pożarna
  • Punkt kontrolny
  • Raptor

Aby uzyskać dodatkowe informacje, odwiedź witryny internetowe wymienione w sekcji "Więcej informacji".

Rozwiązanie

Ostrzeżenie

To obejście problemu może narazić komputer lub sieć na większe zagrożenie ze strony złośliwych użytkowników lub szkodliwego oprogramowania takiego jak wirusy. Nie zalecamy tego obejścia, ale udostępniamy te informacje, aby można było zaimplementować to obejście według własnego uznania. To obejście użytkownicy stosują na własną odpowiedzialność.

Uwaga

Zapora ma na celu ochronę komputera przed atakiem złośliwych użytkowników lub złośliwego oprogramowania, takiego jak wirusy, które używają niechcianego przychodzącego ruchu sieciowego do ataku na komputer. Przed wyłączeniem zapory należy odłączyć komputer od wszystkich sieci, w tym Internetu.

Aby rozwiązać ten problem, wyłącz funkcję Mailguard zapory PIX lub ASA.

Ostrzeżenie

Jeśli masz serwer ESMTP za PIX lub ASA, może być konieczne wyłączenie funkcji Mailguard, aby umożliwić prawidłowy przepływ poczty. Jeśli używasz polecenia Telnet do portu 25, może to nie działać z poleceniem smtp protokołu fixup i jest to bardziej zauważalne w przypadku klienta Telnet, który wykonuje tryb znaków.

Aby wyłączyć funkcję Mailguard zapory PIX lub ASA:

  1. Zaloguj się do zapory PIX lub ASA, ustanawiając sesję telnet lub używając konsoli programu .
  2. Wpisz włącz, a następnie naciśnij klawisz Enter.
  3. Po wyświetleniu monitu o podanie hasła wpisz hasło, a następnie naciśnij klawisz Enter.
  4. Wpisz skonfiguruj terminal, a następnie naciśnij klawisz Enter.
  5. Nie wpisz protokołu fixup smtp 25, a następnie naciśnij klawisz Enter.
  6. Wpisz pamięć zapisu, a następnie naciśnij klawisz Enter.
  7. Uruchom ponownie lub ponownie załaduj zaporę PIX lub ASA.

Więcej informacji

Funkcja PIX lub ASA Software Mailguard (nazywana również Mailhost we wczesnych wersjach) filtruje ruch protokołu SMTP (Simple Mail Transfer Protocol). W przypadku oprogramowania PIX lub ASA w wersjach 4.0 i 4.1 mailhost polecenie służy do konfigurowania narzędzia Mailguard. W wersji PIX lub ASA Software w wersji 4.2 lub nowszej fixup protocol smtp 25 jest używane polecenie .

Uwaga

Musisz również mieć statyczne przypisania adresów IP i instrukcje conduit dla serwera poczty.

Po skonfigurowaniu narzędzia Mailguard aplikacja Mailguard zezwala tylko na siedem poleceń wymaganych przez protokół SMTP, zgodnie z opisem w sekcji 4.5.1 żądania komentarza (RFC) 821. Oto siedem wymaganych poleceń:

  • HELO
  • POCZTY
  • RCPT
  • DANYCH
  • RSET
  • NOOP
  • ZAMKNIJ

Inne polecenia, takie jak KILL i WIZ, nie są przekazywane do serwera poczty przez zaporę PIX lub ASA. Wczesne wersje zapory PIX lub ASA zwracają odpowiedź OK , nawet do zablokowanych poleceń. Ma to na celu uniemożliwienie atakującemu wiedzy, że polecenia zostały zablokowane.

Aby wyświetlić RFC 821, odwiedź witrynę internetową RFC: RFC 821 — Simple Mail Transfer Protocol.

Wszystkie inne polecenia są odrzucane z nierozpoznaną odpowiedzią polecenia 500 .

W zapory Cisco PIX i ASA z oprogramowaniem układowym w wersji 5.1 lub nowszej fixup protocol smtp polecenie zmienia znaki na banerze SMTP na gwiazdki z wyjątkiem znaków "2", "0", "0". Znaki powrotu karetki (CR) i linefeed (LF) są ignorowane. W wersji 4.4 wszystkie znaki na banerze SMTP są konwertowane na gwiazdki.

Testowanie narzędzia Mailguard pod kątem prawidłowej funkcji

Ponieważ funkcja Mailguard może zwrócić odpowiedź OK do wszystkich poleceń, może być trudno określić, czy jest aktywna. Aby ustalić, czy funkcja Mailguard blokuje nieprawidłowe polecenia, wykonaj następujące kroki.

Uwaga

Poniższe kroki są oparte na oprogramowaniu PIX lub ASA w wersji 4.0 i 4.1. Aby przetestować nowsze wersje oprogramowania PIX lub ASA (wersja 4.2 i nowsze), użyj fixup protocol smtp 25 polecenia i odpowiednich instrukcji statycznych i przewodowych dla serwera poczty.

Po wyłączeniu funkcji Mailguard

  1. Na zaporze PIX lub ASA użyj poleceń statycznych i conduit, aby zezwolić na wszystkie hosty na porcie TCP 25 (SMPT).

  2. Ustanawianie sesji telnet w interfejsie zewnętrznym zapory PIX lub ASA na porcie 25.

  3. Wpisz nieprawidłowe polecenie, a następnie naciśnij klawisz ENTER. Na przykład wpisz goodmorning, a następnie naciśnij klawisz Enter.

    Otrzymasz odpowiedź: Nierozpoznane polecenie 500.

Z włączoną funkcją Mailguard

  1. Użyj elementu mailhost lub fixup protocol smtp 25 polecenia, aby włączyć funkcję Mailguard w interfejsie zewnętrznym zapory PIX lub ASA.

  2. Ustanawianie sesji telnet w interfejsie zewnętrznym zapory PIX lub ASA na porcie 25.

  3. Wpisz nieprawidłowe polecenie, a następnie naciśnij klawisz Enter. Na przykład wpisz goodmorning, a następnie naciśnij klawisz Enter.

    Otrzymasz odpowiedź: OK.

Po wyłączeniu funkcji Mailguard serwer poczty odpowiada na nieprawidłowe polecenie z nierozpoznaną wiadomością polecenia 500 . Jednak po włączeniu funkcji Mailguard zapora PIX lub ASA przechwytuje nieprawidłowe polecenie, ponieważ zapora przekazuje tylko siedem minimalnych wymaganych poleceń SMTP. Zapora PIX lub ASA odpowiada ok, czy polecenie jest prawidłowe, czy nie.

Domyślnie zapora PIX lub ASA blokuje dostęp wszystkich połączeń zewnętrznych do hostów. Użyj statycznych instrukcji poleceń listy dostępu i grupy dostępu, aby zezwolić na dostęp zewnętrzny.

Aby uzyskać więcej informacji o produktach zapory z funkcjami serwera proxy SMTP, odwiedź następujące witryny sieci Web:

Zastrzeżenie dotyczące innych firm

Produkty innych firm omówione w tym artykule są wytwarzane przez producentów niezależnych od firmy Microsoft. Firma Microsoft nie udziela żadnych gwarancji, dorozumianych ani żadnego innego rodzaju, w odniesieniu do wydajności lub niezawodności tych produktów.

Wyłączenie odpowiedzialności za kontakty z osobami trzecimi

Firma Microsoft udostępnia informacje dotyczące sposobów kontaktowania się z innymi firmami, aby ułatwić uzyskanie niezbędnej pomocy technicznej. Informacje te mogą zostać zmienione bez powiadomienia. Firma Microsoft nie gwarantuje dokładności informacji dotyczących innych firm.