Segurança : Cisco Email Security Appliance

Que fazem “receber abortada” e “receber abortada pelo remetente” nos logs do correio significam?

15 Outubro 2016 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback

Introdução

Este documento descreve a diferença entre a “recepção abortada” e a “recepção abortada pelo remetente” como visto nos logs e no rastreamento de mensagem do correio associados com a ferramenta de segurança do email de Cisco (ESA) e o dispositivo do Gerenciamento do Cisco Security (S A).

Contribuído pela brânquia de Jai e pelo Robert Sherwin, engenheiros de TAC da Cisco.

Que “receber abortada” nos logs do correio significa?

“A recepção MEADOS DE XXX abortada” indica que a conexão do lado receptor esteve terminada por um problema de rede, ou o remetente apenas fechou a conexão abruptamente. “o XXX MEADOS DE” é o ID de mensagem da mensagem que não poderia com sucesso ser injetada. Em muitos casos de ver a “recepção abortada” lhe são um Firewall ou um dispositivo de segurança S TP-ciente que esteja interrompendo o tráfego.

O exemplo seguinte ilustra um cliente remoto que estabelece uma conexão SMTP ao ESA seguido pela conexão que fecha-se abaixo da camada de aplicativo, considerada tipicamente quando o dispositivo recebe uma bandeira prematura do [FIN] TCP ou uma conexão restaurada:

Thu Aug 14 11:04:31 2014 Info: New SMTP ICID 10293 interface Management
(192.168.0.199) address 192.168.0.200 reverse dns host ns.example.com verified no
Thu Aug 14 11:04:31 2014 Info: ICID 10293 RELAY SG RELAY_SG match 192.168.0.200
SBRS not enabled
Thu Aug 14 11:04:51 2014 Info: Start MID 1404 ICID 10293
Thu Aug 14 11:04:51 2014 Info: MID 1404 ICID 10293 From: <user@domain.com>
Thu Aug 14 11:05:00 2014 Info: MID 1404 ICID 10293 RID 0 To: <end_user@example.com>
Thu Aug 14 11:05:36 2014 Info: ICID 10293 lost
Thu Aug 14 11:05:36 2014 Info: Message aborted MID 1404 Receiving aborted
Thu Aug 14 11:05:36 2014 Info: Message finished MID 1404 aborted
Thu Aug 14 11:05:36 2014 Info: ICID 10293 close

Pode-se igualmente simplesmente significar que o “intervalo para conexões de entrada mal sucedidas” esteve alcançado, que é cinco minutos à revelia, configurou no ouvinte. Isto ocorre quando nenhum dados foi enviado antes que o intervalo esteja alcançado:

Wed Aug 20 22:20:07 2014 Info: Start MID 1558778 ICID 3875465
Wed Aug 20 22:20:07 2014 Info: MID 1558778 ICID 3875465 From: <sndr@xyz.com>
Wed Aug 20 22:20:07 2014 Info: MID 1558778 ICID 3875465 RID 0 To: <recip@abc.com>
Wed Aug 20 22:25:07 2014 Info: Message aborted MID 1558778 Receiving aborted
Wed Aug 20 22:25:07 2014 Info: Message finished MID 1558778 aborted

Que “receber abortada pelo remetente” nos logs do correio significa?

“A recepção MEADOS DE XXX abortada pelo remetente” indica que é o lado do remetente que enviou “parado” antes dos “dados” para terminar uma conversação SMTP. “o XXX MEADOS DE” é o ID de mensagem da mensagem que não poderia com sucesso ser injetada.

O exemplo seguinte ilustra um cliente remoto que estabelece uma conexão SMTP ao ESA seguido pelo lado do cliente que fecha a conexão na camada de aplicativo com o comando S TP “parado”:

Thu Aug 14 13:08:49 2014 Info: New SMTP ICID 10318 interface Management
(192.168.0.199) address 192.168.0.200 reverse dns host ns.example.com verified no
Thu Aug 14 13:08:49 2014 Info: ICID 10318 RELAY SG RELAY_SG match 192.168.0.200
SBRS not enabled
Thu Aug 14 13:08:56 2014 Info: Start MID 1412 ICID 10318
Thu Aug 14 13:08:56 2014 Info: MID 1412 ICID 10318 From: <user@domain.com>
Thu Aug 14 13:09:03 2014 Info: MID 1412 ICID 10318 RID 0 To: <end_user@example.com>
Thu Aug 14 13:09:06 2014 Info: Message aborted MID 1412 Receiving aborted by sender
Thu Aug 14 13:09:06 2014 Info: Message finished MID 1412 aborted
Thu Aug 14 13:09:06 2014 Info: ICID 10318 close

Troubleshooting

  • Para investigar mais, a injeção estabelecida debuga logs para o mail server do domínio do sócio na pergunta. A injeção debuga logs mostrar-lhe-á exatamente o que você obtém desse host ao dispositivo.

    Nota: Você pode precisar de configurar a injeção debuga logs para cada host de correio alistado nos registros DNS MX do sócio.



  • Você pode igualmente encontrar o benefical para executar uma captura de pacote de informação no dispositivo durante uma comunicação para mostrar a conexão e o aperto de mão completos, e as edições associadas que podem fazer com que a conexão sido inturrupted. 

Informações Relacionadas



Document ID: 118295