Segurança : Cisco Email Security Appliance

Como eu pesquiso defeitos porque uma mensagem não foi recebida pelo ESA?

19 Setembro 2015 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback

Índice

Contribuído por Jackie Fleming e por Enrico Werner, engenheiros de TAC da Cisco.

Pergunta:

Como eu pesquiso defeitos porque uma mensagem não foi recebida pelo ESA?

Para pesquisar defeitos a recepção da mensagem, você precisa de conhecer os endereços IP de Um ou Mais Servidores Cisco ICM NT usados enviando o correio pela organização que envia o correio.  Geralmente, contactar o administrador do correio da organização do remetente é a maioria de modo preciso obter esta informação. Na ausência desta opção, você pode usar alguns outros recursos:

  • SenderBase- se você incorpora um domínio à caixa da busca em http://www.senderbase.org, você receberá uma lista de IPs de emissão conhecido para esse domínio.
  • Logs do correio - Se você recebeu com sucesso o correio do domínio no passado, você pode olhar em logs do correio para uma daquelas entregas bem-sucedidas. 
  • DNS -  Você pode olhar acima os registros MX para o domínio. A maioria de organizações menores usam os mesmos server de entrada e de partida.  Para organizações maiores ou mais segmentadas, esta opção não revelará provavelmente a informação necessária.

Uma vez que você conhece os endereços IP de Um ou Mais Servidores Cisco ICM NT, você precisará de procurar os logs do correio. A utilidade do grep é uma boa ferramenta por esse motivo.  Se você está executando Windows, você pode usar o achado na almofada ou no bloco de notas da palavra ou transferir uma utilidade do grep do Internet.  Unix e o Mac OSX têm o grep construído dentro e podem ser alcançados de um shell. A linha de comando grep olharia como esta (onde '10.2.3.4' é o endereço IP de Um ou Mais Servidores Cisco ICM NT que você está procurando por):

grep '10.2.3.4' file.log do host>

Se o server do remetente está conectando com sucesso a seu server, você verá uma linha similar ao seguinte quando você procura por seu IP:

Quarta-feira 2 de fevereiro 23:43:11 2008 informações: O host novo test.ironport.com dns do reverso de 10.2.3.4 do endereço do gerenciamento de interface S TP ICID 6 (10.0.0.1) verificou o nenhum

Você pode então procurar por todas as linhas que envolvem o ICID (conexão recebida ID).  As linhas que você encontra dir-lhe-ão que se enviaram da informação, se enviaram à informação, e os ID de mensagem (MEADOS DE) ligaram com a conexão.  Procurar em

Outros utilizam ferramentas disponível para pesquisar defeitos isto são a injeção debugam logs.  Você precisará o endereço IP de Um ou Mais Servidores Cisco ICM NT dos server de emissão primeiramente.  Uma vez que você tem estes, use os comandos do logconfig e selecione este tipo do log.  Uma vez o log é configurado e comprometido, você pode mandar o usuário enviar um mensagem de teste e (supor seu server conecta a seu ESA) o ESA registrará a conversação SMTP inteira.  Isto permitirá que você ver o ponto da divisão em uma comunicação.

Se não há ainda nenhuma conexão e assim nenhumas mensagens recebidas, a próxima etapa é mandar o administrador de emissão dos server verificar seus logs e/ou usar o telnet para testar manualmente a emissão de uma mensagem do mail server.  Isto imitará o server que tenta entregar a seu ESA e seu ESA reagirá o mesmos como se o aplicativo de server de emissão o enviou.

Se o teste vai completamente, mas o aplicativo de servidor falha quando tenta enviar o correio, este indica edições da entrega no servidor remoto. O administrador do servidor remoto precisará de rever os logs para diagnosticar os erros. 

Uma causa comum da recepção atrasada ou falhada é que o IP de emissão dos server não tem o DNS reverso configurado corretamente fazendo com que um retardo longo (segundos 30+) para que o ESA forneça um banner do SMTP.  Alguns aplicativos de servidor alcançarão seu intervalo configurado e fecharão a sessão antes de enviar o correio devido à bandeira atrasada.  A solução é neste caso estender o intervalo ou executar o DNS reverso.  A ação recomendada é executar o DNS reverso para todos os server do correio que entregam a outros server do correio de Internet.  Considera-se etiqueta apropriada do Internet e permite-se que os server do correio confirmem a identidade do server a nível muito básico.


Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Document ID: 118014