Безопасность : устройства безопасности электронной почты Cisco ESA

Что делает "Получение прерванное" и "Получение, прерванное отправителем" в почтовом среднем значении журналов?

21 октября 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв

Введение

Этот документ описывает различие между "Получением прерванного" и "Получения, прерванного отправителем", как замечено в почтовых журналах и отслеживанием сообщений, привязанным к Cisco Email Security Appliance (ESA) и Устройство менеджмента Cisco Security (SMA).

Внесенный Джэем Джиллом и Робертом Шервином, специалистами службы технической поддержки Cisco.

Что делает "Получение, прерванное" в почтовом среднем значении журналов?

"MID, XXX Получений, прерванных", указывают, что соединение от получающей стороны было закончено проблемой сети или отправителем просто, закрыл соединение резко. "MID XXX" является идентификатором сообщения сообщения, которое не могло быть успешно введено. Во многих случаях наблюдения "Получения прерванного" это - Межсетевой экран или осведомленное о SMTP устройство безопасности, которое прерывает трафик.

Когда устройство получает преждевременный флаг TCP [FIN] или сброс соединения, следующий пример иллюстрирует удаленного клиента, устанавливающего соединение SMTP к ESA, придерживавшемуся соединением, понижающимся к закрытию уровень приложения, как правило, замеченный:

Thu Aug 14 11:04:31 2014 Info: New SMTP ICID 10293 interface Management
(192.168.0.199) address 192.168.0.200 reverse dns host ns.example.com verified no
Thu Aug 14 11:04:31 2014 Info: ICID 10293 RELAY SG RELAY_SG match 192.168.0.200
SBRS not enabled
Thu Aug 14 11:04:51 2014 Info: Start MID 1404 ICID 10293
Thu Aug 14 11:04:51 2014 Info: MID 1404 ICID 10293 From: <user@domain.com>
Thu Aug 14 11:05:00 2014 Info: MID 1404 ICID 10293 RID 0 To: <end_user@example.com>
Thu Aug 14 11:05:36 2014 Info: ICID 10293 lost
Thu Aug 14 11:05:36 2014 Info: Message aborted MID 1404 Receiving aborted
Thu Aug 14 11:05:36 2014 Info: Message finished MID 1404 aborted
Thu Aug 14 11:05:36 2014 Info: ICID 10293 close

Это может также просто означать, что "Таймаут для Неуспешных Входящих подключений" был достигнут, который составляет пять минут по умолчанию, настроенный на Слушателе. Это происходит, когда никакие данные не были переданы, прежде чем таймаут достигнут:

Wed Aug 20 22:20:07 2014 Info: Start MID 1558778 ICID 3875465
Wed Aug 20 22:20:07 2014 Info: MID 1558778 ICID 3875465 From: <sndr@xyz.com>
Wed Aug 20 22:20:07 2014 Info: MID 1558778 ICID 3875465 RID 0 To: <recip@abc.com>
Wed Aug 20 22:25:07 2014 Info: Message aborted MID 1558778 Receiving aborted
Wed Aug 20 22:25:07 2014 Info: Message finished MID 1558778 aborted

Что делает "Получение, прерванное отправителем" в почтовом среднем значении журналов?

"MID, XXX Получений, прерванных отправителем", указывают, что это - сторона отправителя, которая передала "выход" перед "данными" для окончания диалога SMTP. "MID XXX" является идентификатором сообщения сообщения, которое не могло быть успешно введено.

Следующий пример иллюстрирует удаленного клиента, устанавливающего соединение SMTP к ESA, придерживавшемуся клиентской стороной, закрывающей соединение в уровне приложения с командой SMTP "выход":

Thu Aug 14 13:08:49 2014 Info: New SMTP ICID 10318 interface Management
(192.168.0.199) address 192.168.0.200 reverse dns host ns.example.com verified no
Thu Aug 14 13:08:49 2014 Info: ICID 10318 RELAY SG RELAY_SG match 192.168.0.200
SBRS not enabled
Thu Aug 14 13:08:56 2014 Info: Start MID 1412 ICID 10318
Thu Aug 14 13:08:56 2014 Info: MID 1412 ICID 10318 From: <user@domain.com>
Thu Aug 14 13:09:03 2014 Info: MID 1412 ICID 10318 RID 0 To: <end_user@example.com>
Thu Aug 14 13:09:06 2014 Info: Message aborted MID 1412 Receiving aborted by sender
Thu Aug 14 13:09:06 2014 Info: Message finished MID 1412 aborted
Thu Aug 14 13:09:06 2014 Info: ICID 10318 close

Устранение неполадок

  • Для исследования далее установите инжекционные журналы отладки для почтового сервера партнерского рассматриваемого домена. Инжекционные журналы отладки покажут вам точно, что вы получаете от того хоста до устройства.

    Примечание: Вы, возможно, должны настроить инжекционные журналы отладки для каждого почтового узла, перечисленного в записях MX DNS партнера.



  • Можно также найти его выгодным для выполнения захвата пакета на устройстве во время связи для показа завершенного соединения и квитирования и привязанных проблем, которые могут заставлять соединение быть inturrupted. 

Дополнительные сведения



Document ID: 118295