Sécurité : Dispositifs de sécurité adaptatifs dédiés de la gamme Cisco ASA 5500

L'inspection ASA ESMTP et de SMTP ne permettent pas certaines maîtrises de telnet

16 décembre 2015 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires


Contenu


Introduction

Ce document décrit la meilleure manière de dépanner des problèmes de Connectivité avec le trafic de SMTP et ESMTP par une ASA.

Remarque: Contribué par Magnus Mortensen, ingénieur TAC Cisco.

Conditions préalables

Conditions requises

Aucune spécification déterminée n'est requise pour ce document.

Composants utilisés

Les informations dans ce document sont basées sur l'appliance de sécurité adaptable de gamme Cisco 5500 (ASA).

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Problème

Quand vous examinez un serveur de mail par le telnet sur l'inspection ASA et ESMTP ou de SMTP est activé, certaines commandes, telles que l'HÉLICOPTÈRE ou l'EHLO, retour une erreur 550 qui indique la commande n'est pas comprises. Quand l'inspection ESMTP ou de SMTP est désactivée, les commandes sont comprises.

Solution

L'inspection ESMTP et de SMTP imposent une stratégie qui permet seulement certaines commandes par l'ASA. Si on envoie une commande de messagerie qui n'est pas permise, elle est remplacée par Xs, qui rend la commande non valide au client et au serveur.

Des commandes qui sont normalement permises sont répertoriées dans la section d'esmtp d'examiner de la référence de commandes de gamme de Cisco ASA. On permet normalement l'HÉLICOPTÈRE et les EHLO ; cependant, si la commande est identifiée dépend de la méthode par laquelle vous testez.

Par exemple, le telnet envoie chaque caractère individuellement dans un paquet différent sur le fil, mais les clients de messagerie et les serveurs réels envoient la commande entière en un paquet. Si vous utilisez le telnet et vous tapez H, le client Telnet envoie un H au serveur de mail. Puisque l'inspection ESMTP et de SMTP n'identifient pas H comme commande valide, l'ASA remplace le H par un X et le passe le long. Si vous poursuivez pour taper ELO, chaque caractère est envoyé individuellement, et l'ASA transforme chaque caractère en X. Le serveur reçoit la commande finale en tant que et des erreurs comme prévues.

Si vous employez le telnet pour tester la Connectivité, vous devez configurer l'application pour envoyer la commande entière en un paquet. (Le programme de telnet de Microsoft Windows peut envoyer une ligne à la fois au lieu du caractère par le caractère.) Appuyez sur CTRL+] pour quitter la session de telnet, et le type envoient l'HÉLICOPTÈRE. Cette action envoie la commande entière au lieu de différents caractères.

Comme alternative, vous pouvez utiliser un autre programme, tel que Netcat. Netcat envoie des commandes ligne par ligne et est très une machine-outil pour tester des sockets et des transferts des données de réseau. Cependant, la meilleure solution est de tester la Connectivité avec un programme d'email réel et de capturer le trafic sur l'ASA pour davantage de test.

Conversations connexes de la communauté de soutien de Cisco

Le site Cisco Support Community est un forum où vous pouvez poser des questions, répondre à des questions, faire part de suggestions et collaborer avec vos pairs.


Informations connexes


Document ID: 113423