Seguridad : Cisco Email Security Appliance

¿Qué puede hacer el anuncio SMTP ser retrasado?

25 Agosto 2015 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (18 Julio 2014) | Comentarios

Contribuido por Jackie Fleming y los ingenieros de Cisco TAC de Enrique Werner.

Pregunta:

¿Qué puede hacer el anuncio SMTP ser retrasado?

Típicamente cuando usted telnet al puerto 25 de un mail server, usted conseguirá el anuncio SMTP muy rápidamente. Aquí están los ejemplos de los anuncios SMTP:


220 host.example.com ESMTP
554 host.example.com
A veces hay un retardo y toda lo que usted consigue es la información de conexión en su visualización. Aquí tiene un ejemplo:
host.example.com > telnet 10.92.152.18 25
Intentando 10.92.152.18…
Conectado con host.example.com.
El carácter de escape es “^]”.

Observe que el banner falta en este ejemplo. Después de que una cierta hora pase, el banner se debe finalmente visualizar en la línea siguiente. Este artículo dirige esta situación específica. Hay cuatro causas comunes que discutiremos: Problemas DNS, CPU elevada uso, modo de la protección del recurso y Firewall.

Problemas DNS

La mayoría de la causa común del anuncio SMTP que es retrasado es que las búsquedas de DNS duraron que normal o medida el tiempo hacia fuera. Hay tres operaciones de búsqueda que suceden entre la conexión y la visualización del banner: operaciones de búsqueda reversas récord DNS (o PTR), entonces récord delantero (o A) operaciones de búsqueda del nombre de host dado en el récord PTR, y entonces operaciones de búsqueda de SenderBase para conseguir los SBR del host de conexión (calificación de la reputación de SenderBase).

Estas operaciones de búsqueda se utilizan para determinar a las cuales el grupo del remitente el host de conexión pertenece. Esto determina se utiliza qué directiva del flujo de correo y si el correo es validado de este host. Esto afecta a qué banner del correo, eventualmente, será enviado. Por eso es crítico que estas operaciones de búsqueda sucedan antes de que se dé el banner.

Para determinar si el problema es DNS relacionado, usted necesitará registrar en la línea de comando (CLI) del ESA y utilizar el comando nslookup. Es importante hacer esto del dispositivo sí mismo así que usted está trabajando de su perspectiva. Primero usted necesitará conocer la dirección IP que está intentando conectar. Usted puede querer utilizar los mail_logs o Seguimiento de mensajes conseguir la dirección IP.

Una vez que usted conoce el IP, usted puede comenzar a usar el nslookup para probar. Esté seguro de contar cuántos segundos tarda para cada uno de éstos

¡Búsquedas de DNS! Primero la búsqueda de DNS reversible:

host.example.com > nslookup 10.92.152.18
PTR= host.example.com TTL=2h los 35m 43s

Entonces haga las operaciones de búsqueda en el nombre de host que se volvió en la búsqueda de DNS reversible, como tan:

host.example.com > nslookup host.example.com
A=10.92.152.18 TTL=2h los 34m 16s

Si el tiempo total para estas dos operaciones de búsqueda hace juego aproximadamente cuánto tiempo se retrasa el banner, usted ha encontrado la causa y querrá revisar la situación DNS más lejos. Los siguientes pasos podían incluir la prueba de otros IP Addresses de diversas redes. Esto le dirá si el problema se aísla a los hosts o a las redes específicos, o si hay un problema más general DNS.

CPU elevada uso

Otra posible causa del retardo del anuncio SMTP es muy CPU elevada uso.

Cuando un sistema está bajo carga pesada, todo dura para suceder. Usted puede marcar esto yendo a la página del estado del sistema de la lengueta del monitor, o usando “el comando CLI del detalle del estatus”. Ambos darán las estadísticas del USO de la CPU en la sección de los indicadores. Aquí tiene un ejemplo:

Utilización de la CPU
Total el 67%
MGA el 16%
CASO el 46%
Brightmail AntiSpam el 0%
Antivirus el 0%
Señalar el 4%
Cuarentena el 0%

Si el total es muy alto (el 95% o más alto) y continúa siguiendo siendo alto por varios minutos, el USO de la CPU es probable la causa de

los retardos del anuncio SMTP.


Modo de la protección del recurso

Otra posible causa del retardo del anuncio SMTP es que el sistema ha ingresado el modo de la protección del recurso. En este modo, el sistema se protege retrasando el flujo de aceptación del correo. Hace esto intencionalmente retrasando cada respuesta S TP que envía. Para determinar si el sistema está en el modo de la protección del recurso, va a la página del estado del sistema de la lengueta del monitor, o por el uso “el comando CLI del detalle del estatus”. Busque la línea de la protección del recurso en la sección de los indicadores.

Aquí tiene un ejemplo:

Protección 0 del recurso

Cualquier número no-cero significa que el sistema está intentando protegerse reduciendo las respuestas S TP. Usted puede aprender más sobre la protección del recurso aquí:

¿Cuál es modo de la protección del recurso?

Firewall

La causa común más reciente de los retardos del anuncio SMTP es los Firewall que son S TP enterado. Éstos ofrecen por ejemplo el “fixup de ejecución S TP” o la Seguridad que se ejecuta analiza en todo el contenido S TP. Un Firewall puede retrasar a veces el banner mientras que analiza y modifica posiblemente el contenido del anuncio SMTP. Aquí está un ejemplo de un Firewall popular que altera el anuncio SMTP:

220
*****02***********************************************************0****0****
0 ***************2******200**0*********0*00


Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Document ID: 118016