安全 : Cisco IronPort Email 安全设备

为什么在STARTTLS以后和"500 #5.5.1命令以后看到没被认可的” EHLO ?

2015 年 8 月 28 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 4 月 23 日) | 反馈

简介

本文描述您为什么看到“”在邮件服务器通信和TLS失败方面关联与思科给安全工具(ESA)发电子邮件。

贡献用Timo Steinlein和罗伯特Sherwin, Cisco TAC工程师。

为什么在STARTTLS以后和"500 #5.5.1命令以后看到没被认可的” EHLO ?

TLS为入站或出局的消息失效。

在EHLO命令以后, ESA响应对外部邮件服务器与:

250-8BITMIME\
250-SIZE 14680064
250 XXXXXXXA

在命令“STARTTLS”以后在SMTP会话, ESA响应对外部邮件服务器与:

500 #5.5.1 command not recognized

STARTTLS的内部测验是成功的。那含义,当优良绕过防火墙, STARTTLS工作,例如与本地邮件服务器或telnet射入测验的STARTTLS连接。

问题典型地被看到,当您使用思科PIX或思科ASA防火墙时,当SMTP包侦测(SMTP和ESMTP检查, SMTP修正协议),并且STARTTLS命令在防火墙没有允许。

使用的Cisco PIX防火墙版本早于7.2(3)多种ESMTP安全协议不正确地终止连接由于在解释重复的报头的一bug。ESMTP安全协议包括“修正”, “ESMTP Inspect”,和其他。

关闭在PIX的所有ESMTP安全功能或者升级PIX到7.2(3)或以后或者两个。因为此问题发生在运行PIX的远程电子邮件目的地,也许不是实用的关闭此或推荐关闭它。如果有机会做建议,防火墙升级应该解决此问题。

一些,不是所有,问题归结于信息标题包括在其他报头内的,值得注意地域密钥的签名报头,并且域锁上已确定邮件。当仍有PIX不正确地终止SMTP会话并且导致交付失败的其他情况时, DK和DKIM签字是一个已知原因。临时地禁用的DK或DKIM也许暂时解决此问题,但是佳解决方案是为了禁用所有PIX的用户能升级或这些安全功能。

思科建议所有客户继续签署与DKIM的消息和考虑使用此功能,如果如此不已经执行。

关于SMTP和ESMTP检查(PIX/ASA 7.x以上)请参阅:

http://www.cisco.com/cisco/web/support/CN/108/1081/1081227_pix7x-mailserver.html

ESMTP TLS配置:

pix(config)#policy-map global_policy
pix(config-pmap)#class inspection_default
pix(config-pmap-c)#no inspect esmtp
pix(config-pmap-c)#exit
pix(config-pmap)#exit

关于SMTP修正协议请参阅:

http://www.cisco.com/en/US/docs/security/pix/pix62/configuration/guide/fixup.html

您能查看与fixup命令的显示的明确(可配置)修正协议设置。可配置协议的默认设置如下:

show fixup
fixup protocol ftp 21
fixup protocol http 80
fixup protocol h323 1720
fixup protocol rsh 514
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol sip 5060

相关信息


相关的思科支持社区讨论

思科支持社区是您提问、解答问题、分享建议以及与工作伙伴协作的论坛。


Document ID: 118550