Безопасность : устройства безопасности электронной почты Cisco ESA

Что может заставить сообщение SMTP быть задержанным?

20 октября 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв

Внесенный специалистами службы технической поддержки Cisco Джеки Флеминг и Энрико Вернера.

Вопрос:

Что может заставить сообщение SMTP быть задержанным?

Как правило, когда вы telnet к порту 25 почтового сервера, вы получите сообщение SMTP очень быстро. Вот примеры сообщений SMTP:


220 хостов. пример. ESMTP com
554 хоста. пример. com
Иногда существует задержка и все, что вы получаете, информация о соединении в вашем показе. Например:
хост. пример. com> telnet 10.92.152.18 25
Попытка 10.92.152.18...
Связанный с хостом. пример. com.
Символ выхода является '^]'.

Обратите внимание на то, что баннер отсутствует в данном примере. Через какое-то время проходы, баннер должен наконец быть отображен на следующей строке. Эта статья обращается к этой определенной ситуации. Существует четыре типичных причины, которые мы обсудим: проблемы DNS, Высокая загрузка ЦП, режим Сохранения Ресурса и Межсетевые экраны.

Проблемы DNS

Наиболее распространенная причина задержанного сообщения SMTP состоит в том, что Поиски DNS заняли больше времени, чем обычный или вызванный таймаут. Существует три поиска, которые происходят между подключением и показом баннера: обратный DNS (или запись PTR) поиск, затем форвард (или запись) поиск имени хоста, данного в записи PTR, и затем поиске SenderBase для получения SBRS соединяющегося хоста (Счет Репутации SenderBase).

Эти поиски используются для определения, которому Sender Group принадлежит соединяющийся хост. Это определяет, какая Почтовая Политика Потока используется и если почта будет принята от этого хоста. Это влияет на то, какой почтовый баннер, если таковые имеются, будет передаваться. Именно поэтому важно для этих поисков произойти, прежде чем будет дан баннер.

Чтобы определить, является ли проблема отнесенным DNS, необходимо будет войти в командную строку (CLI) ESA и использовать команду nslookup. Важно сделать это от самого устройства, таким образом, вы работаете с его точки зрения. Сначала необходимо будет знать IP-адрес, который пытается соединиться. Можно хотеть использовать mail_logs или Отслеживание сообщений для получения IP-адреса.

Как только вы знаете IP, можно начать использовать nslookup для тестирования. Обязательно рассчитайте, сколько секунд требуется для каждого из них

Поиски DNS! Сначала обратный поиск DNS:

хост. пример. com> nslookup 10.92.152.18
PTR = хост. пример. com 43 TTL=2h 35 м

Затем сделайте поиск на имени хоста, которое возвратилось на обратном поиске DNS, как так:

хост. пример. com> хост nslookup. пример. com
A=10.92.152.18 TTL=2h 16 на 34 м

Если общее время для этих двух поисков приблизительно совпадает, сколько времени баннер задержан, вы нашли причину и захотите рассмотреть ситуацию с DNS далее. Следующие шаги могли включать тестирование других IP-адресов от других сетей. Это скажет вам, если проблема будет изолирована к определенным хостам или сетям, или если существует более общая проблема DNS.

Высокая загрузка ЦП

Другая возможная причина задержки сообщения SMTP является очень высокой загрузкой ЦП.

Когда система находится под нагрузкой большая, все занимает больше времени для случая. Можно проверить это переходящее к странице System Status вкладки Monitor, или при помощи 'подробной команды CLI' статуса. Оба из них дадут статистику использования ЦП в разделе Сортаментов. Например:

Использование CPU
Общие 67%
MGA 16%
CASE 46%
Brightmail AntiSpam 0%
AntiVirus 0%
Создание отчетов о 4%
Карантин 0%

Если Общее количество очень высоко (95% или выше) и продолжает оставаться высоким в течение нескольких минут, использование ЦПУ вероятно причина

задержки сообщения SMTP.


Режим Сохранения ресурса

Другая возможная причина задержки сообщения SMTP - то, что система перешла в режим Сохранения Ресурса. В этом режиме система защищает себя путем замедления потока почтового принятия. Это делает это путем намеренной отсрочки каждого ответа SMTP, который это передает. Чтобы определить, находится ли система в режиме Сохранения Ресурса, перейдите к странице System Status вкладки Monitor, или использованием 'подробная команда CLI' статуса. Ищите линию Сохранения Ресурса в разделе Сортаментов.

Например:

Сохранение ресурса 0

Любой ненулевой номер означает, что система пытается защитить себя путем замедления ответов SMTP. Можно узнать больше о Сохранении Ресурса здесь:

Что такое режим сохранения ресурса?

Межсетевые экраны

Последняя типичная причина задержек сообщения SMTP является межсетевыми экранами, которые являются знающим SMTP. Они обладают, такие как выполняющее 'устройство SMTP' или рабочие просмотры безопасности на всем содержании SMTP. Иногда межсетевой экран может задержать баннер, в то время как это просматривает и возможно модифицирует содержание сообщения SMTP. Вот пример популярного межсетевого экрана, изменяющего сообщение SMTP:

220
***** 02 *********************************************************** 0 **** 0 ****
0 *************** 2 ****** 200 ** 0 ********* 0*00



Document ID: 118016