安全 : Cisco ASA 5500 系列自适应安全设备

ASA ESMTP和SMTP检查不允许在Telnet的某些命令

2015 年 8 月 28 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 4 月 23 日) | 反馈


目录


简介

本文描述最佳方法通过ASA排除故障与SMTP和ESMTP流量的连接问题。

注意: 贡献用马格纳斯Mortensen, Cisco TAC工程师。

先决条件

要求

本文档没有任何特定的要求。

使用的组件

本文档中的信息根据Cisco ASA 5500系列自适应安全设备(ASA)。

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

规则

有关文档规则的详细信息,请参阅 Cisco 技术提示规则

问题

当您通过在ASA和ESMTP时的Telnet测试一个电子邮件服务器或者SMTP检查启用,某些命令,例如直升机EHLO,返回指示命令的550错误没有了解。当ESMTP或SMTP检查禁用时,命令了解。

解决方案

ESMTP和SMTP检查强制执行通过ASA允许仅某些命令的策略。如果mail命令发送没有允许,由Xs替换,使命令无效对客户端和服务器。

通常允许的命令在思科ASA系列命令参考的Inspect esmtp部分列出。直升机EHLO通常允许;然而,命令是否被认可取决于您测试的方法。

例如, Telnet在电线的一不同数据包发送单个每个字符,但是实际电子邮件客户端和服务器发送整个in命令一数据包。如果使用Telnet,并且键入H, Telnet客户端发送H到电子邮件服务器。因为ESMTP和SMTP检查不认可H作为有效命令, ASA用X替换H并且通过它。如果继续键入ELO,每个字符单个发送,并且ASA把每个字符变成X。服务器接收final命令作为和错误正如所料。

如果使用Telnet测试连接,您必须配置应用程序发送整个in命令一数据包。(Microsoft Windows远程登录程序能每次发送线路而不是字符由字符。)按CTRL+]退出远程登录会话和类型发送直升机。此操作发送整个命令而不是各自的字符。

作为替代方案,您能使用另一个程序,例如Netcat。Netcat发送一行行的命令并且是测试网络插槽和数据传输的一套非常电动工具。然而,佳解决方案是测试与一个实际电子邮件程序的连接和捕获在ASA的流量进一步测试的。

相关的思科支持社区讨论

思科支持社区是您提问、解答问题、分享建议以及与工作伙伴协作的论坛。


相关信息


Document ID: 113423