Безопасность : устройства безопасности электронной почты Cisco ESA

Почему вы видите XXXXXXXA после EHLO и "500 #5.5.1 команд, не распознанных" после STARTTLS?

20 октября 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв

Введение

Этот документ описывает, почему вы видите "XXXXXXXA" в mailserver связи и сбоях TLS, привязанных к Cisco Email Security Appliance (ESA).

Внесенный Тимо Стейнлейном и Робертом Шервином, специалистами службы технической поддержки Cisco.

Почему вы видите XXXXXXXA после EHLO и "500 #5.5.1 команд, не распознанных" после STARTTLS?

TLS отказывает для входящего или исходящих сообщений.

После команды EHLO ESA отвечает на внешний mailserver с:

250-8BITMIME\
250-SIZE 14680064
250 XXXXXXXA

После команды "STARTTLS" в диалоге SMTP ESA отвечает на внешний mailserver с:

500 #5.5.1 command not recognized

Внутренние тесты для STARTTLS успешны. Это означает при обходе межсетевого экрана, STARTTLS хорошо работает, такие как соединения STARTTLS с локальными почтовыми серверами или тестами инжекции telnet.

Когда Контроль Пакета SMTP (SMTP и Проверка ESMTP, Протокол FIXUP SMTP) и команда STARTTLS не позволен в межсетевом экране, проблема, как правило, замечается при использовании Pix Cisco или межсетевого экрана Cisco ASA.

Версии Межсетевого экрана Cisco PIX ранее, чем 7.2 (3), которые используют различные протоколы безопасности ESMTP неправильно, завершают соединения из-за дефекта в интерпретации двойных заголовков. Протоколы безопасности ESMTP включают "устройство", "ESMTP осматривает", и другие.

Выключите все характеристики безопасности ESMTP в PIX или обновите PIX к 7.2 (3) или позже, или оба. Так как эта проблема происходит с удаленными почтовыми назначениями, которые выполняют PIX, это не могло бы быть практично, чтобы выключить это или рекомендовать выключить его. Если у вас есть возможность сделать рекомендацию, обновление межсетевого экрана должно решить эту проблему.

Некоторые, не все, проблем происходят из-за включения заголовков сообщения в рамках других заголовков, особенно заголовков подписи для Доменных Ключей и Доменных Ключей Определенная Почта. В то время как существуют все еще другие обстоятельства, при которых PIX неправильно завершает сеанс SMTP и вызывает ошибки отправки, подписание DK и DKIM является одной известной причиной. Временно отключение DK или DKIM могло бы решить эту проблему в настоящее время, но лучшее решение для всех пользователей PIX, чтобы обновить или отключить эти характеристики безопасности.

Cisco рекомендует, чтобы все клиенты продолжили подписывать сообщения с DKIM и рассматривать использование этой функции, не уже делая так.

Для SMTP и Проверки ESMTP (PIX/ASA 7.x и выше) см.:

http://www.cisco.com/cisco/web/support/RU/106/1069/1069865_pix7x-mailserver.html

Конфигурация ESMTP TLS:

pix(config)#policy-map global_policy
pix(config-pmap)#class inspection_default
pix(config-pmap-c)#no inspect esmtp
pix(config-pmap-c)#exit
pix(config-pmap)#exit

Поскольку Протокол FIXUP SMTP см.:

http://www.cisco.com/en/US/docs/security/pix/pix62/configuration/guide/fixup.html

Можно просмотреть явные (конфигурируемые) параметры настройки протокола FIXUP с командой fixup показа. Настройки по умолчанию для конфигурируемых протоколов следующие:

show fixup
fixup protocol ftp 21
fixup protocol http 80
fixup protocol h323 1720
fixup protocol rsh 514
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol sip 5060

Дополнительные сведения



Document ID: 118550