Не удается отправлять или получать сообщения электронной почты за брандмауэром Cisco PIX или Cisco ASA с включенной функцией Mailguard

  • Статья
  • Применяется к:
    Exchange Server 2013, Exchange Server 2010, Exchange Server 2016, Exchange Server 2019

Исходный номер базы знаний: 320027

В этой статье рассматривается причина, из-за которой невозможно отправлять или получать сообщения электронной почты, если сервер Exchange server находится за устройством брандмауэра Cisco PIX или Cisco ASA, а в брандмауэре PIX или ASA включена функция Mailguard. В ней приведены инструкции по отключению функции Mailguard брандмауэра PIX или ASA.

Важно!

В этой статье содержатся сведения о том, как снизить параметры безопасности или отключить функции безопасности на компьютере. Эти изменения можно внести, чтобы обойти определенную проблему. Перед внесением этих изменений рекомендуется оценить риски, связанные с реализацией этого обходного решения в конкретной среде. Если вы реализуете это обходное решение, выполните все необходимые дополнительные действия для защиты компьютера.

Симптомы

Вы можете столкнуться с одним или несколькими из следующих действий:

  • Вы не можете получать сообщения электронной почты через Интернет.
  • Вы не можете отправлять сообщения электронной почты с вложениями.
  • Вы не можете установить сеанс telnet с сервером Microsoft Exchange server через порт 25.
  • При отправке команды EHLO на сервер Exchange Server вы получаете нераспознанный или ответ ОК .
  • Вы не можете отправлять или получать почту в определенных доменах.
  • Проблемы с проверкой подлинности по протоколу POP3 (POP3) — ретрансляция 5.7.1 550 запрещена с локального сервера.
  • Проблемы с отправкой повторяющихся сообщений электронной почты (иногда пять-шесть раз).
  • Вы получаете дублирующиеся входящие сообщения SMTP.
  • Клиенты Microsoft Outlook или Клиенты Microsoft Outlook Express сообщают об ошибке 0x800CCC79 при попытке отправить сообщение электронной почты.
  • Существуют проблемы с двоичным mime (8bitmime). Вы получите текст в отчете о недоставке (NDR): 554 5.6.1 Тип текста, не поддерживаемый удаленным узлом.
  • Существуют проблемы с отсутствующими или искаженными вложениями.
  • Существуют проблемы с маршрутизацией состояния канала между группами маршрутизации, когда устройство брандмауэра Cisco PIX или Cisco ASA находится между группами маршрутизации.
  • Команда X-LINK2STATE не передается.
  • Существуют проблемы с проверкой подлинности между серверами через соединитель группы маршрутизации.

Причина

Эта проблема может возникнуть в следующей ситуации:

  • Сервер Exchange server размещается за устройством брандмауэра Cisco PIX или Cisco ASA.

-и-

  • В брандмауэре PIX или ASA включена функция Mailguard.
  • Команды аутентификации и аутентификации входа (команды расширенного простого протокола передачи почты [ESMTP]) удаляются брандмауэром, и это заставляет систему подумать, что вы выполняете ретрансляцию из нелокционного домена.

Чтобы определить, работает ли Mailguard в брандмауэре Cisco PIX или Cisco ASA, telnet на IP-адрес записи MX, а затем проверьте, выглядит ли ответ следующим образом:

220*******************************************************0*2******0***********************

2002*******2***0*00

Old versions of PIX or ASA:

220 SMTP/cmap_________________________________________ read

Примечание.

Если у вас есть сервер ESMTP за брандмауэром PIX или ASA, может потребоваться отключить функцию Mailguard, чтобы разрешить правильную передачу почты. Кроме того, установка сеанса Telnet к порту 25 может не работать с fixup protocol smtp командой, особенно с клиентом Telnet, использующим символьный режим.

Помимо брандмауэра Cisco PIX или Cisco ASA, существует несколько продуктов брандмауэра с возможностями прокси-сервера SMTP, которые могут привести к проблемам, упомянутым ранее в этой статье. Ниже приведен список производителей брандмауэра, продукты которых имеют функции прокси-сервера SMTP:

  • Watchguard Firebox
  • Контрольной точки
  • Raptor

Дополнительные сведения см. на веб-сайтах, перечисленных в разделе "Дополнительные сведения".

Разрешение

Предупреждение

Это обходное решение повышает уязвимость компьютера или сети к атакам пользователей-злоумышленников или вредоносных программ, например вирусов. Мы не рекомендуем использовать это решение, но предоставляем эти сведения, чтобы вы могли реализовать это решение по своему усмотрению. Ответственность за использование этого обходного пути несет пользователь.

Примечание.

Брандмауэр предназначен для защиты компьютера от атак злоумышленников или вредоносных программ, таких как вирусы, которые используют незапрошенный входящий сетевой трафик для атаки на компьютер. Перед отключением брандмауэра необходимо отключить компьютер от всех сетей, включая Интернет.

Чтобы устранить эту проблему, отключите функцию Mailguard брандмауэра PIX или ASA.

Предупреждение

Если у вас есть сервер ESMTP за PIX или ASA, может потребоваться отключить функцию Mailguard, чтобы обеспечить правильную отправку почты. Если вы используете команду Telnet для порта 25, это может не работать с командой SMTP для протокола исправления, и это более заметно для клиента Telnet, который выполняет символьный режим.

Чтобы отключить функцию Mailguard брандмауэра PIX или ASA, выполните следующие действия.

  1. Войдите в брандмауэр PIX или ASA, установив сеанс telnet или с помощью консоли.
  2. Введите enable и нажмите клавишу ВВОД.
  3. При появлении запроса на ввод пароля введите пароль и нажмите клавишу ВВОД.
  4. Введите configure terminal и нажмите клавишу ВВОД.
  5. Введите протокол SMTP 25 без исправления и нажмите клавишу ВВОД.
  6. Введите память записи и нажмите клавишу ВВОД.
  7. Перезапустите или перезагрузите брандмауэр PIX или ASA.

Дополнительная информация

Функция PIX или ASA Software Mailguard (в ранних версиях также называется Mailhost) фильтрует трафик SMTP. Для PIX или ASA Software версий 4.0 и 4.1 mailhost команда используется для настройки Mailguard. В PIX или ASA Software версии 4.2 и более поздних fixup protocol smtp 25 используется команда .

Примечание.

Для почтового сервера также должны быть назначены статические IP-адреса и операторы канала.

Если mailguard настроена, Mailguard разрешает только семь минимально необходимых команд SMTP, как описано в разделе 4.5.1 запроса на комментарий (RFC) 821. Ниже перечислены семь обязательных команд.

  • HELO
  • ПОЧТЫ
  • RCPT
  • ДАННЫХ
  • RSET
  • NOOP
  • БРОСИТЬ

Другие команды, такие как KILL и WIZ, не перенаправляются на почтовый сервер брандмауэром PIX или ASA. В ранних версиях брандмауэра PIX или ASA ответ ОК возвращается даже для заблокированных команд. Это позволяет злоумышленнику не знать, что команды заблокированы.

Чтобы просмотреть RFC 821, посетите веб-сайт RFC: RFC 821 — простой протокол передачи почты.

Все остальные команды отклоняются с нераспознанным ответом 500 Command .

В брандмауэрах Cisco PIX и ASA с версиями встроенного ПО версии 5.1 и более поздних fixup protocol smtp команда изменяет символы в баннере SMTP на звездочки, за исключением символов "2", "0", "0". Символы возврата каретки (CR) и строки (LF) игнорируются. В версии 4.4 все символы в баннере SMTP преобразуются в звездочки.

Проверка Mailguard для правильной функции

Так как функция Mailguard может возвращать ответ ОК для всех команд, может быть трудно определить, активна ли она. Чтобы определить, блокирует ли функция Mailguard недопустимые команды, выполните следующие действия.

Примечание.

Следующие шаги основаны на программном обеспечении PIX или ASA версии 4.0 и 4.1. Чтобы протестировать более поздние версии программного обеспечения PIX или ASA (версии 4.2 и более поздних), используйте fixup protocol smtp 25 команду и соответствующие статические операторы и операторы канала для почтового сервера.

Если Mailguard отключена

  1. В брандмауэре PIX или ASA используйте статические команды и команды conduit, чтобы разрешить вход всех узлов через TCP-порт 25 (SMPT).

  2. Установите сеанс telnet во внешнем интерфейсе брандмауэра PIX или ASA через порт 25.

  3. Введите недопустимую команду и нажмите клавишу ВВОД. Например, введите goodmorning и нажмите клавишу ВВОД.

    Вы получите ответ 500 Command unrecognized.

С включенной функцией Mailguard

  1. Используйте mailhost или команду , fixup protocol smtp 25 чтобы включить функцию Mailguard во внешнем интерфейсе брандмауэра PIX или ASA.

  2. Установите сеанс telnet во внешнем интерфейсе брандмауэра PIX или ASA через порт 25.

  3. Введите недопустимую команду и нажмите клавишу ВВОД. Например, введите goodmorning и нажмите клавишу ВВОД.

    Вы получите ответ: ОК.

Если функция Mailguard отключена, почтовый сервер отвечает на команду, которая недопустима, сообщением 500 Command нераспознано . Однако если функция Mailguard включена, брандмауэр PIX или ASA перехватывает недопустимую команду, так как брандмауэр пропускает только семь минимальных необходимых команд SMTP. Брандмауэр PIX или ASA отвечает ОК , независимо от того, допустима команда или нет.

По умолчанию брандмауэр PIX или ASA блокирует доступ ко всем внешним подключениям внутри узлов. Используйте командные инструкции static, access-list и access-group, чтобы разрешить доступ извне.

Дополнительные сведения о продуктах брандмауэра с возможностями прокси-сервера SMTP см. на следующих веб-сайтах:

Заявление об отказе от ответственности за сведения о продуктах сторонних производителей

В этой статье упомянуты программные продукты независимых производителей. Корпорация Майкрософт не дает никаких гарантий, подразумеваемых и прочих, относительно производительности и надежности этих продуктов.

Заявление об отказе от ответственности за контактные данные сторонней организации

Контактные данные сторонних организаций предоставлены в этой статье с целью помочь пользователям получить необходимую техническую поддержку. Эти данные могут быть изменены без предварительного уведомления. Корпорация Майкрософт не дает гарантий относительно правильности приведенных контактных данных сторонних производителей.