Segurança : Dispositivos de segurança adaptáveis Cisco ASA 5500 Series

O ASA ESMTP e inspeção de SMTP não permite determinados comandos sobre o telnet

14 Outubro 2016 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback


Índice


Introdução

Este documento descreve a melhor maneira de resolver problemas de conectividade com tráfego SMTP e ESMTP por meio de um ASA.

Nota: Contribuído por Magnus Mortensen, engenheiro de TAC da Cisco.

Pré-requisitos

Requisitos

Não existem requisitos específicos para este documento.

Componentes Utilizados

A informação neste documento é baseada na ferramenta de segurança adaptável do Cisco 5500 Series (ASA).

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Problema

Quando você testa um servidor de e-mail com o telnet no ASA e o ESMTP ou a inspeção de SMTP é permitido, determinados comandos, tais como o HELO ou o EHLO, retorno um erro 550 que indique o comando não estão compreendidos. Quando o ESMTP ou a inspeção de SMTP são desabilitados, os comandos estão compreendidos.

Solução

O ESMTP e a inspeção de SMTP reforçam uma política que permita somente determinados comandos com o ASA. Se um comando mail é enviado não esteja permitido que, é substituída por Xs, que faz o comando inválido ao cliente e ao server.

Os comandos que são permitidos normalmente são alistados na seção do esmtp da inspeção da referência de comandos da série de Cisco ASA. O HELO e EHLO são permitidos normalmente; contudo, se o comando está reconhecido depende do método por que você testa.

Por exemplo, o telnet envia cada caráter individualmente em um pacote diferente no fio, mas os clientes de e-mail e os server reais enviam o comando inteiro em um pacote. Se você usa o telnet e você datilografa H, o cliente telnet envia um H ao servidor de e-mail. Desde que o ESMTP e a inspeção de SMTP não reconhecem H como um comando válido, o ASA substitui o H com um X e passa-o avante. Se você continua datilografar ELO, cada caráter está enviado individualmente, e o ASA transforma cada caráter em um X. O server recebe o comando final como o e os erros para fora como esperado.

Se você usa o telnet para testar a Conectividade, você deve configurar o aplicativo enviar o comando inteiro em um pacote. (O programa do telnet de Microsoft Windows pode enviar uma linha em um momento em vez do caráter pelo caráter.) Pressione CTRL+] para retirar a sessão de Telnet, e o tipo envia o HELO. Esta ação envia o comando inteiro em vez dos caracteres individuais.

Como uma alternativa, você pode usar um outro programa, tal como o netcat. O netcat envia a linha de comandos pela linha e é muito uma ferramenta de força para testar os soquetes e as transferências de dados da rede. Contudo, a melhor solução é testar a Conectividade com um programa de email real e capturar o tráfego no ASA para uns testes mais adicionais.


Informações Relacionadas


Document ID: 113423