В данном разделе описано решение перечисленных ниже проблем с потоком почты, когда сервер Microsoft Exchange находится за устройством брандмауэра Cisco PIX.

Причина

Эти проблемы могут возникнуть при выполнении обоих условий, указанных ниже.

  • Сервер Exchange находится за устройством брандмауэра Cisco PIX, на котором включена функция Mailguard («Защита почты»).

  • Команды Auth и Auth login протокола ESMTP удалены брандмауэром.

Примечание.
В данном случае сервер Exchange предполагает, что ретранслируется электронная почта из удаленного домена.

Чтобы проверить, включена ли на брандмауэре PIX функция Mailguard, подключитесь по telnet-протоколу к IP-адресу записи MX ресурса и проверьте, похож ли полученный ответ на следующее:

220*******************************0*2******0***********

2002*******2***0*00
Примечание.
Для упрощения чтения из этого сообщения было удалено некоторое количество звездочек (*).
Предыдущие версии устройств PIX

220 SMTP/cmap_____________________________________read

Дополнительные сведения о проверке функции Mailguard брандмауэра PIX см. на странице Testing the PIX Firewall Mailguard Feature (на английском языке).

Примечание.
Сведения о веб-узлах сторонних компаний в этом разделе предоставлены для упрощения поиска необходимых технических данных. URL-адреса могут быть изменены без предварительного уведомления. 
Примечание.
Другие брандмауэры с функцией прокси SMTP также могут стать причиной ситуации, описанной в разделе «Введение». Дополнительные сведения об этих продуктах см. ниже в разделе «Дополнительные сведения».

Решение

Если за устройством брандмауэра PIX находится ESMTP-сервер, для обеспечения корректной передачи потока почты может потребоваться выключить функцию PIX Mailguard.

Внимание!
При использовании этого обходного пути компьютер или сеть могут стать более уязвимыми для атак пользователей-злоумышленников или вредоносных программ, например вирусов. Ответственность за использование этого обходного пути несет пользователь.

Чтобы выключить функцию Mailguard, выполните действия, описанные ниже.

  1. Войдите на устройство PIX с помощью сеанса telnet или консоли.

  2. Введите команду enable и нажмите клавишу ВВОД.

  3. В ответ на запрос введите пароль и нажмите клавишу ВВОД.

  4. Введите команду configure terminal и нажмите клавишу ВВОД.

  5. Введите команду no fixup protocol smtp 25 и нажмите клавишу ВВОД.

  6. Введите команду write memory и нажмите клавишу ВВОД.

  7. Перезапустите устройство PIX или перезагрузите конфигурацию PIX.

Проверка Cisco ASA Extended SMTP дополняет традиционную проверку SMTP, предусмотренную в брандмауэре Cisco PIX Firewall версии 6.x и более ранних версий. Эта проверка обеспечивает защиту от атак на основе протокола SMTP путем ограничения типов SMTP-команд, которые могут проходить через Cisco ASA. Она также применяется на различных маршрутизаторах Cisco, включая распространенные модели Catalyst 6500 и 7600.

Дополнительные сведения см. в документах Cisco ASA 5500 Series Release Notes (на английском языке) и Configuring Application and Protocol Inspection - Cisco Systems (на английском языке).

Примечание.
Сведения о веб-узлах сторонних компаний в этом разделе предоставлены для упрощения поиска необходимых технических данных. URL-адреса могут быть изменены без предварительного уведомления. 

Дополнительные сведения

Функция PIX Mailguard (в предыдущих версиях называлась Mailhost) фильтрует SMTP-трафик. В программном обеспечении PIX версий 4.0 и 4.1 для настройки функции Mailguard используется команда mailhost. В программном обеспечении PIX версии 4.2 и более поздних версий используется команда fixup protocol smtp 25.

Примечание.
Для почтового сервера также должны быть настроены статические IP-адреса и операторы conduit.

После настройки функция Mailguard разрешает только те команды, которые формируют минимальную реализацию SMTP, описанную в разделе 4.5.1 документа RFC 821. Ниже перечислены семь команд, составляющих необходимый минимум.

  • HELO

  • MAIL

  • RCPT

  • DATA

  • RSET

  • NOOP

  • QUIT

Дополнительные сведения см. в документе RFC821 - Simple Mail Transfer Protocol (на английском языке).

Остальные команды, например KILL и WIZ, не передаются брандмауэром PIX на почтовый сервер. В ранних версиях брандмауэра PIX отправляется ответ «ОК», даже если команда блокируется. Это не позволяет злоумышленнику определить, какие команды были заблокированы. Все остальные команды отвергаются с ответом «500 Команда не опознана».

В брандмауэрах Cisco PIX с микропрограммой версии 5.1 или более поздних версий команда fixup protocol smtp заменяет символы в заголовке SMTP звездочками (*), за исключением символов «2,» «0,» и «0». Знаки возврата каретки (CR) и перевода строки (LF) игнорируются. В версии 4.4 все символы в заголовке SMTP заменяются звездочками.

Определение правильности работы функции Mailguard

Поскольку функция Mailguard может давать ответ «ОК» на все команды, может оказаться затруднительным определить, активна ли эта функция. Чтобы проверить, блокирует ли функция Mailguard недопустимые команды, выполните действия, описанные ниже.

Примечание.
Эти действия предполагают использование программного обеспечения PIX версий 4.0 и 4.1. Для проверки более поздних версий программного обеспечения PIX, например 4.2, используйте команду fixup protocol smtp 25 вместе с соответствующими операторами static и conduit для почтового сервера.

Если функция Mailguard выключена, выполните действия, указанные ниже.

  1. Чтобы разрешить входящий трафик от всех узлов на TCP-порт 25 (SMTP), используйте в брандмауэре PIX командыstatic и conduit.

  2. Установите сеанс telnet с внешним интерфейсом брандмауэра PIX через порт 25.

  3. Введите недопустимую команду и нажмите клавишу ВВОД. Например, введите goodmorning и нажмите клавишу ВВОД. Будет получен ответ «500 Команда не опознана».

Если функция Mailguard включена, выполните действия, указанные ниже.

  1. Чтобы включить функцию Mailguard на внешнем интерфейсе брандмауэра PIX, используйте команду mailhost или fixup protocol smtp 25.

  2. Установите сеанс telnet с внешним интерфейсом брандмауэра PIX через порт 25.

  3. Введите недопустимую команду и нажмите клавишу ВВОД. Например, введите goodmorning и нажмите клавишу ВВОД. Будет получен ответ «ОК».

Когда функция Mailguard отключена, почтовый сервер при получении недопустимых команд дает ответ «500 Команда не опознана». Однако если функция Mailguard включена, брандмауэр PIX перехватывает недопустимую команду, потому что он пропускает только семь минимально необходимых SMTP-команд. Брандмауэр PIX дает ответ «ОК» независимо от того, является команда допустимой или нет. По умолчанию брандмауэр PIX блокирует все исходящие соединения внутренних узлов. Чтобы разрешить внешний доступ, используйте операторы static, access-list и access-group.

Дополнительные сведения об этих командах см. в документе The Cisco Command Reference (на английском языке).

Дополнительные сведения о настройке брандмауэра Cisco PIX см. в руководствах на странице Cisco PIX Firewall Software Configuration Guides (на английском языке).

Другие продукты с функциональными возможностями прокси SMTP

Функции прокси SMTP предусмотрены в следующих продуктах:

  • Watchguard Firebox;

  • Checkpoint;

  • Raptor.

В этих продуктах по умолчанию включена функция прокси SMTP или SMTP-фильтр. Следовательно, могут наблюдаться симптомы, перечисленные в разделе «Введение».

Дополнительные сведения об этих продуктах сторонних производителей см. на веб-сайтах WatchGuard, Check Point и Symantec.

Примечание.
Сведения о веб-узлах сторонних компаний в этом разделе предоставлены для упрощения поиска необходимых технических данных. URL-адреса могут быть изменены без предварительного уведомления.