セキュリティ : Cisco PIX 500 シリーズ セキュリティ アプライアンス

PIXファイアウォール メールガード機能のテスト

2003 年 12 月 1 日 - ライター翻訳版
その他のバージョン: PDFpdf | 機械翻訳版 (2013 年 8 月 21 日) | 英語版 (2008 年 9 月 26 日) | フィードバック

目次


概要

PIXソフトウェアのメールガード機能により、不要なSMTPトラフィックを排除できます。PIXソフトウェア バージョン4.0および4.1では、 mailhost コマンドを使用してメールガード機能を設定します。PIXソフトウェア バージョン4.2以降では、このコマンドではなく、fixup protocol smtp 25 コマンドを使用して設定し、また、メール サーバに対し static および conduit (access-listでも可)を設定する必要があります。

メールガードを設定すると、RFC 821 leaving cisco.comのセクション 4.5.1に記載されている最低限必要な7つのSMTPコマンドだけが許可されます。最低限必要な7つのコマンドとは、HELO、MAIL、RCPT、DATA、RSET、NOOP、およびQUITです。KILL、WIZなどの他のコマンドは、PIXによって傍受され、ネットワーク内部のメール サーバには送信されません。PIXは、拒否したコマンドに対しても "OK"と応答するので、攻撃者はコマンドが妨害されたことを認識できません。

設定の性質上、Mailhost 機能をテストするのは容易ではありません。すべてが OK として戻されるので、正常に動作しているかどうか確認できないからです。

ハードウェアおよびソフトウェアのバージョン

ここに記載されている情報は、次のソフトウェアおよびハードウェアのバージョンに基づいています。

  • PIXソフトウェア バージョン4.0以降

メールガードのテスト

ここでは、メールガードをテストし、正しく機能しているかどうかを確認する手順について説明します。以下のテストは、PIXソフトウェア バージョン4.0および4.1の mailhost コマンドを使用して実行しています。バージョン4.2以降でテストを実行する場合には、パート2で fixup protocol smtp 25 コマンドを使用し、メールサーに対し static conduit を追加してください。

パート 1 - メールガードを使用しない場合

  1. PIX上で、TCP 25 (SMTP) の標準の static conduit を作成し、すべてのホストを組み込みます。
      static  111.222.111.1 10.2.1.1
    conduit 111.222.111.1 25 tcp 0.0.0.0 0.0.0.0

  2. PIX以外から、111.222.111.1のポート25にTelnet接続します。
    yourusername@generic-host%  telnet 111.222.111.1 25
    Trying 111.222.121.1 ? Connected to 111.222.111.1. Escape character is ?^]? 220-mail.foobar.com Sendmail (thermonuclear mailer) 8.6.11 ready for meltdown at Tue, 17 Jun 1997 1:23:23 20 ESMTP spoken here

  3. 不正なコマンドを入力すると、サーバからタイプ500メッセージが戻されます。
    Some-bogus-command
    
      
    
     500 Command unrecognized
    
         

パート 2 - メールガードを使用する場合

  1. mailhost コマンドを使用して、PIXにメールガードを設定します。
    mailhost 111.222.111.1 10.2.1.1
    
         

  2. パート1と同様にTelnet接続し、不正コマンドを入力します。
    yourusername@generic-host%  telnet 111.222.111.1 25
    
             
    
       Trying 111.222.121.1 ?
    
       Connected to 111.222.111.1.
    
       Escape character is ?^]?
    
       220-mail.foobar.com Sendmail (thermonuclear mailer) 8.6.11
    
       ready for meltdown at Tue, 17 Jun 1997 1:25:42
    
       220 ESMTP spoken here
    
       
    
     some-bogus-command
    
       
    
     OK
    
         

    PIXにより不正コマンドが傍受され、"OK"が戻されます。

 

メールガードの機能

パート 1では、メールサーバが無効または受理できないコマンドを受信した場合、 "500 Command unrecognized"メッセージが生成されます。パート 2では、メールガードを設定したので、PIXがすべてのコマンドを傍受 し、有効なコマンド(7つの最低限必要なSMTPコマンド)だけをファイアウォールで保護されたメールサーバに送信します。PIXは、コマンドをメールサーバに送信したか、または拒否したかに関係なく、送信元のユーザに対して "OK"を戻します。したがって、メールシステムの攻撃を試みたユーザを混乱させることができます。メールガード機能はバージョン4.2以降でも同様に動作しますが、mailhost コマンドの代わりに、 fixup protocol smtp 25 コマンドを使用して設定します。

注:PIXでESMTPサーバを保護する場合には、メールを適切に送信するためにメールガード機能をオフにする必要があります。また、fixup protocol smtp コマンドを使用した場合、ポート25にTelnet接続できないことがあります。特に、Telnetクライアントがキャラクタ モードの場合には接続できません。


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 4733