安全 : Cisco IronPort Email 安全设备

什么“发送方中止的接收中止的”和“接收”邮件日志的含义?

2016 年 10 月 27 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 8 月 22 日) | 反馈

简介

本文描述在“发送方中止之间的接收中止的”和“接收的区别”如在用思科电子邮件安全工具(ESA)和Cisco安全管理设备和消息跟踪中看到关联的邮件日志(SMA)。

贡献用Jai鳃和罗伯特Sherwin, Cisco TAC工程师。

“在邮件日志中止的”接收是什么意思?

“中止的MID XXX接收”表明网络问题结束了从接收端的连接,或者发送方突然关闭连接。“MID XXX”是不可能顺利地注入消息的消息ID。在许多情况下看到“中止”它的接收是中断流量的防火墙或SMTP意识安全设备。

当设备接受重置时的一过早的TCP [FIN]标志或连接以下示例说明建立对ESA的一个远程客户端SMTP连接跟随由关闭在应用层之下的连接,典型地被看到:

Thu Aug 14 11:04:31 2014 Info: New SMTP ICID 10293 interface Management
(192.168.0.199) address 192.168.0.200 reverse dns host ns.example.com verified no
Thu Aug 14 11:04:31 2014 Info: ICID 10293 RELAY SG RELAY_SG match 192.168.0.200
SBRS not enabled
Thu Aug 14 11:04:51 2014 Info: Start MID 1404 ICID 10293
Thu Aug 14 11:04:51 2014 Info: MID 1404 ICID 10293 From: <user@domain.com>
Thu Aug 14 11:05:00 2014 Info: MID 1404 ICID 10293 RID 0 To: <end_user@example.com>
Thu Aug 14 11:05:36 2014 Info: ICID 10293 lost
Thu Aug 14 11:05:36 2014 Info: Message aborted MID 1404 Receiving aborted
Thu Aug 14 11:05:36 2014 Info: Message finished MID 1404 aborted
Thu Aug 14 11:05:36 2014 Info: ICID 10293 close

它在监听程序可以也意味着不成功Inbound连接的“超时”被到达了,默认情况下是五分钟,配置。这发生,当数据未发送时,在超时被到达前:

Wed Aug 20 22:20:07 2014 Info: Start MID 1558778 ICID 3875465
Wed Aug 20 22:20:07 2014 Info: MID 1558778 ICID 3875465 From: <sndr@xyz.com>
Wed Aug 20 22:20:07 2014 Info: MID 1558778 ICID 3875465 RID 0 To: <recip@abc.com>
Wed Aug 20 22:25:07 2014 Info: Message aborted MID 1558778 Receiving aborted
Wed Aug 20 22:25:07 2014 Info: Message finished MID 1558778 aborted

“发送方中止的接收”邮件日志的是什么意思?

“发送方中止的MID XXX接收”表明它是发送在“数据前” “离开的”结束SMTP会话的发送方侧。“MID XXX”是不可能顺利地注入消息的消息ID。

以下示例说明建立对ESA的一个远程客户端SMTP连接跟随由关闭在应用层的客户端连接用“离开的” SMTP命令:

Thu Aug 14 13:08:49 2014 Info: New SMTP ICID 10318 interface Management
(192.168.0.199) address 192.168.0.200 reverse dns host ns.example.com verified no
Thu Aug 14 13:08:49 2014 Info: ICID 10318 RELAY SG RELAY_SG match 192.168.0.200
SBRS not enabled
Thu Aug 14 13:08:56 2014 Info: Start MID 1412 ICID 10318
Thu Aug 14 13:08:56 2014 Info: MID 1412 ICID 10318 From: <user@domain.com>
Thu Aug 14 13:09:03 2014 Info: MID 1412 ICID 10318 RID 0 To: <end_user@example.com>
Thu Aug 14 13:09:06 2014 Info: Message aborted MID 1412 Receiving aborted by sender
Thu Aug 14 13:09:06 2014 Info: Message finished MID 1412 aborted
Thu Aug 14 13:09:06 2014 Info: ICID 10318 close

故障排除

  • 调查进一步,有问题的合作伙伴的域的邮件服务器的设置的射入调试日志。射入调试日志将正确地显示您什么您从该主机有设备。

    注意: 您可能需要配置射入在合作伙伴的DNS MX记录列出的每台邮件主机的调试日志。



  • 您可以也发现它benefical在通信时运行设备的一数据包捕获显示完整连接和握手和可能造成连接inturrupted的相关的问题。 

相关信息



Document ID: 118295