Mailguard özelliği açıkken Cisco PIX veya Cisco ASA güvenlik duvarı arkasında e-posta iletileri göndere adresinizden veya güvenlik duvarınızda e-posta alamı ala
Özgün KB numarası: 320027
Bu makalede, bir Exchange sunucusu Cisco PIX veya Cisco ASA güvenlik duvarı cihazına yerleştirilirse ve PIX veya ASA güvenlik duvarı Mailguard özelliği açıksa, e-posta iletileri göndere almayabilecek veya alamayacak davranışın nedeni açıklanmıştır. PIX'nin veya ASA güvenlik duvarının Mailguard özelliğini kapatma adımları sağlar.
Önemli
Bu makalede, daha düşük güvenlik ayarlarına nasıl yardımcı olara yardımcı olun veya bir bilgisayarda güvenlik özelliklerini kapatmayı gösteren bilgiler yer eder. Belirli bir sorunu çözmek için bu değişiklikleri yapabilirsiniz. Bu değişiklikleri yapmaya başlamadan önce, kendi ortamınıza bu geçici çözümü uygulamakla ilişkilendirilmiş riskleri değerlendirmenizi öneririz. Bu geçici çözümün uygulanmasını sağlarsanız, bilgisayarı korumaya yardımcı olması için uygun ek adımları izleyin.
Belirtiler
Aşağıdaki davranışlardan birini veya birden fazlasını kullanabilirsiniz:
- İnternet tabanlı e-posta iletilerini alayasınız.
- Ekleri olan e-posta iletileri gönderebilirsiniz.
- Bağlantı noktası 25'te Microsoft Exchange sunucusuyla telnet oturumu kuraasınız.
- Bir EHLO komutunu Exchange, Bir Komut tanınmıyor veya Tamam yanıtı alırsınız.
- Belirli etki alanlarında posta göndere veya alaasınız.
- Postalama Protokolü sürüm Office 3 (POP3) kimlik doğrulaması - 550 5.7.1 geçişi yerel sunucudan reddedildi.
- Yinelenen e-posta iletilerinin gönderile ilgili sorunları (bazen beş - altı kez).
- Yinelenen gelen Basit Posta Aktarım Protokolü (SMTP) iletilerini alısınız.
- Microsoft Outlook veya Microsoft Outlook Express istemcileri e-posta göndermeye 0x800CCC79 bir hata bildirdiler.
- İkili mime (8bitmime) ile ilgili sorunlar vardır. Teslim edilsin raporu (NDR) metni alısınız: 554 5.6.1 Gövde türü Uzak Ana Bilgisayar tarafından desteklenmiyor.
- Eksik veya bozuk eklerle ilgili sorunlar vardır.
- Cisco PIX veya Cisco ASA güvenlik duvarı cihazı yönlendirme grupları arasındayken, yönlendirme grupları arasında bağlantı durumu yönlendirme sorunları vardır.
- X-LINK2STATE fiilsi geçirillenmez.
- Yönlendirme grubu bağlayıcısı üzerinden sunucular arasında kimlik doğrulama sorunları vardır.
Neden
Bu sorun aşağıdaki durumlarda oluşabilir:
- Otomatik Exchange Cisco PIX veya Cisco ASA güvenlik duvarı cihazına yerleştirilir.
-ve-
- PIX veya ASA güvenlik duvarında Mailguard özelliği açık.
- Auth ve Auth oturum açma komutları (Genişletilmiş Basit Posta Aktarım Protokolü [ESMTP] komutları) güvenlik duvarı tarafından kaldırılmış ve bu da sistemin yerel olmayan bir etki alanından geçişte olduğunu düşünmesini sağlar.
Mailguard'ın Cisco PIX'de mi yoksa Cisco ASA güvenlik duvarında mı çalıştığını belirlemek için, MX kaydının IP adresine Telnet yazın ve yanıtın aşağıdakine benzer olup olmadığını doğrulayın:
220*******************************************************0*2******0***********************
2002*******2**_0_00
Old versions of PIX or ASA:
220 SMTP/cmap_________________________________________ read
Not
PIX veya ASA güvenlik duvarının arkasında bir ESMTP sunucunuz varsa, postanın doğru akışına izin ver için Mailguard özelliğini kapatmanız gerekebilir. Ayrıca, özellikle karakter modu kullanan bir Telnet istemcisiyle, bağlantı noktası 25'e bir Telnet oturumu fixup protocol smtp kurmak bu komutla çalışmayabilirsiniz.
Cisco PIX veya Cisco ASA güvenlik duvarının yanı sıra, bu makalenin başlarında açıklanan sorunları üretecek SMTP Proxy özelliklerine sahip çeşitli güvenlik duvarı ürünleri de vardır. Ürünleri SMTP Ara Sunucusu özelliklerine sahip olan güvenlik duvarı üreticilerinin listesi aşağıdadır:
- Watchguard Firebox
- Denetim noktası
- 2010
Daha fazla bilgi için "Daha fazla bilgi" bölümünde listelenen web sitelerini ziyaret edin.
Çözüm
Uyarı
Bu geçici çözüm, bilgisayar ya da ağın kötü amaçlı kullanıcılar veya virüs gibi kötü amaçlı yazılımlar tarafından saldırıya karşı daha korumasız hale gelir. Bu geçici çözümü önerilmez, ancak bu bilgileri sağlayarak bu geçici çözümü kendi takdirinize göre uygulayasınız. Bu geçici çözümü kullanmanın riski size aittir.
Not
Güvenlik duvarı, bilgisayarınızın kötü amaçlı kullanıcılar veya bilgisayarınıza saldırı amacıyla istenmeyen gelen ağ trafiğini kullanan virüsler gibi kötü amaçlı yazılımlara karşı korunmasına yardımcı olmak üzere tasarlanmıştır. Güvenlik duvarınızı devre dışı bırakmadan önce, bilgisayarınızın İnternet dahil tüm ağlarla bağlantısını kesmalısınız.
Bu sorunu çözmek için, PIX veya ASA güvenlik duvarının Mailguard özelliğini kapatın.
Uyarı
PIX veya ASA'nın arkasında bir ESMTP sunucunuz varsa, postanın doğru akmaya neden olmak için Mailguard özelliğini kapatmanız gerekir. Bağlantı noktası 25 için Telnet komutunu kullanırsanız, bu düzeltme protokolü smtp komutuyla çalışmayabilirsiniz ve bu, karakter modu gerçekleştiren bir Telnet istemcisiyle daha fark edilebilir.
PIX'nin veya ASA güvenlik duvarının Mailguard özelliğini kapatmak için:
- Telnet oturumu kurarak veya konsolu kullanarak PIX veya ASA güvenlik duvarında oturum açın.
- enable yazın ve Enter tuşuna basın.
- Parolanız istendiğinde, parolanızı yazın ve Enter tuşuna basın.
- Terminal yapılandır yazın ve Enter tuşuna basın.
- Düzeltme protokolü yok smtp 25 yazın ve Enter tuşuna basın.
- Bellek yazın ve Enter tuşuna basın.
- PIX veya ASA güvenlik duvarını yeniden başlatın veya yeniden yükleyin.
Daha fazla bilgi
PIX veya ASA Software Mailguard özelliği (önceki sürümlerde Mailhost olarak da adlandırılan) Basit Posta Aktarım Protokolü (SMTP) trafiğini filtreler. PIX veya ASA Software'in 4.0 ve 4.1 sürümleri için komut mailhost Mailguard'ı yapılandırmak için kullanılır. PIX veya ASA Software sürüm 4.2 ve fixup protocol smtp 25 sonraki sürümlerde komut kullanılır.
Not
Ayrıca posta sunucunuz için statik IP adresi atamaları ve uygun kurallarınız olmalıdır.
Mailguard yapılandırıldığında, Mailguard açıklama isteği (RFC) 821, bölüm 4.5.1'de açıklandığı gibi yalnızca yedi SMTP minimum gerekli komutlara izin verir. Bu yedi gerekli komut aşağıdaki gibidir:
- HELO
- RCPT
- VE VERILERI
- RSET
- NOOP
- QUIT
KILL ve WIZ gibi diğer komutlar PIX veya ASA güvenlik duvarı tarafından posta sunucusuna iletmaz. PIX veya ASA güvenlik duvarının önceki sürümleri, engellenen komutlara bile Tamam yanıtı verir. Bunun amacı, bir saldırganin komutların engellenmiş olduğunu bilgisiyle engellenmiş olmasıdır.
RFC 821'i görüntülemek için RFC web sitesini ziyaret edin: RFC 821 - Basit Posta Aktarım Protokolü.
Diğer tüm komutlar 500 Komut tanınmayan yanıtla reddedilir.
Bellenim 5.1 ve sonraki sürümlerine sahip Cisco PIX ve ASA güvenlik duvarlarında, komut SMTP başlığında karakterleri yıldız işaretleriyle değiştirir; fixup protocol smtp yalnızca "2", "0", "0 " karakterlerini kullanır. Satır başı (CR) ve satır besleme (LF) karakterleri göz ardı edilir. Sürüm 4.4'te, SMTP başlığında yer alan tüm karakterler yıldız işaretine dönüştürülür.
Düzgün işlev için Mailguard'ı test etmek
Mailguard özelliği tüm komutlara Tamam yanıtı verdiği için, etkin olup olmadığını belirlemek zor olabilir. Mailguard özelliğinin geçerli olmayan komutları engelleyerek engel olup olmadığını belirlemek için bu adımları izleyin.
Not
Aşağıdaki adımlar PIX veya ASA yazılım sürümü 4.0 ve 4.1'i temel alarak ve 1. PIX veya ASA yazılımının sonraki sürümlerini (sürüm 4.2 ve sonrası) test etmek için, komutu ve posta sunucunuza ilişkin uygun statik ve uygun uygun statik fixup protocol smtp 25 kullanım deyimlerini kullanın.
Mailguard kapalı olarak
PIX veya ASA güvenlik duvarında, statik ve uygun komutları kullanarak TCP bağlantı noktası 25'te (SMPT) tüm ana bilgisayarları kullanın.
Bağlantı noktası 25'te PIX'nin veya ASA güvenlik duvarının dış arabiriminde bir telnet oturumu kurabilirsiniz.
Geçerli değilse bir komut yazın ve ENTER tuşuna basın. Örneğin, goodmorning yazın ve Enter tuşuna basın.
Yanıt alırsınız: 500 Komut tanınmadı.
Mailguard açıkken
Mailhost'u veya komutu kullanarak PIX veya ASA güvenlik duvarının dış arabiriminde
fixup protocol smtp 25Mailguard özelliğini açabilirsiniz.Bağlantı noktası 25'te PIX'nin veya ASA güvenlik duvarının dış arabiriminde bir telnet oturumu kurabilirsiniz.
Geçerli değildir bir komut yazın ve Enter tuşuna basın. Örneğin, goodmorning yazın ve Enter tuşuna basın.
Yanıtı alırsınız: Tamam.
Mailguard özelliği kapalı olduğunda, posta sunucusu 500 Komut tanınmayan iletiyle geçerli olmayan komuta yanıt verir. Bununla birlikte, Mailguard özelliği açıkken PIX veya ASA güvenlik duvarı geçerli değil komutun önünü kesiyor, çünkü güvenlik duvarı gerekli en az yedi SMTP komutunu geçiyor. PIX veya ASA güvenlik duvarı, komutun geçerli olup olmadığıyla ilgili Tamam'a yanıt verir.
Varsayılan olarak, PIX veya ASA güvenlik duvarı tüm dış bağlantıların içindeki ana bilgisayarlara erişmesini engeller. Statik, erişim listesi ve erişim grubu komut deyimlerini kullanarak dışarıdan erişime izin verme.
SMTP Ara Sunucusu özelliklerine sahip güvenlik duvarı ürünleri hakkında daha fazla bilgi için aşağıdaki web sitelerini ziyaret edin:
Üçüncü taraf bilgileri hakkında yasal uyarı
Bu makalede adı geçen üçüncü taraf ürünleri Microsoft'tan bağımsız şirketler tarafından üretilmektedir. Microsoft, bu ürünlerin performansı veya güvenilirliği ile ilgili örtük veya başka türlü hiçbir garanti vermez.
Üçüncü tarafla iletişim sorumluluk reddi
Microsoft, teknik destek bulmanıza yardımcı olmak üzere üçüncü taraf iletişim bilgilerini sağlamaktadır. Bu iletişim bilgileri önceden haber verilmeksizin değiştirilebilir. Microsoft bu üçüncü taraf iletişim bilgilerinin doğruluğunu garanti etmez.