소개
이 문서에서는 Cisco ESA(Email Security Appliance)와 관련된 메일 서버 통신 및 TLS 장애 시 "XXXXXA"가 표시되는 이유에 대해 설명합니다.
EHLO 뒤에 XXXXXA가 표시되고 STARTTLS 뒤에 "500 #5.5.1 명령이 인식되지 않음"이 표시되는 이유는 무엇입니까?
인바운드 또는 아웃바운드 메시지에 대해 TLS가 실패합니다.
EHLO 명령 후 ESA는 다음과 같이 외부 메일 서버에 응답합니다.
250-8BITMIME\
250-SIZE 14680064
250 XXXXXXXA
SMTP 대화에서 "STARTTLS" 명령을 실행한 후 ESA는 다음과 같이 외부 메일 서버에 응답합니다.
500 #5.5.1 command not recognized
STARTTLS에 대한 내부 테스트에 성공했습니다.즉, 방화벽을 우회할 때 STARTTLS는 로컬 메일 서버와의 STARTTLS 연결 또는 텔넷 삽입 테스트와 같이 정상적으로 작동합니다.
이 문제는 일반적으로 SMTP 패킷 검사(SMTP 및 ESMTP 검사, SMTP Fixup Protocol) 및 STARTTLS 명령이 방화벽에서 허용되지 않을 때 Cisco Pix 또는 Cisco ASA 방화벽을 사용하는 경우에 발생합니다.
다양한 ESMTP 보안 프로토콜을 사용하는 Cisco PIX 방화벽 버전 7.2(3) 이전 버전은 중복 헤더를 해석하는 버그로 인해 연결을 잘못 종료합니다.ESMTP 보안 프로토콜에는 "fixup", "ESMTP inspect" 등이 포함됩니다.
PIX에서 모든 ESMTP 보안 기능을 끄거나 PIX를 7.2(3) 이상 또는 둘 다로 업그레이드합니다.이 문제는 PIX를 실행하는 원격 전자 메일 대상에서 발생하므로 이 기능을 끄거나 끄도록 권장하지 않을 수 있습니다.권장 사항을 제시할 수 있는 기회가 있는 경우 방화벽 업그레이드로 이 문제를 해결해야 합니다.
일부 문제는 다른 헤더(특히 도메인 키 및 식별된 메일의 서명 헤더)에 메시지 헤더가 포함되어 있기 때문입니다.PIX가 SMTP 세션을 잘못 종료하고 전달 오류를 일으키는 다른 상황이 여전히 있지만, DK 및 DKIM 서명이 알려진 원인 중 하나입니다.DK 또는 DKIM을 일시적으로 비활성화하면 이 문제를 당분간 해결할 수 있지만, 모든 PIX 사용자가 이러한 보안 기능을 업그레이드하거나 비활성화하는 것이 가장 좋습니다.
Cisco는 모든 고객이 DKIM으로 메시지를 계속 서명하고 아직 서명하지 않은 경우 이 기능을 사용할 것을 권장합니다.
SMTP 및 ESMTP 검사(PIX/ASA 7.x 이상)는 다음을 참조하십시오.
/c/en/us/support/docs/security/pix-500-series-security-appliances/69374-pix7x-mailserver.html
ESMTP TLS 구성:
pix(config)#policy-map global_policy
pix(config-pmap)#class inspection_default
pix(config-pmap-c)#no inspect esmtp
pix(config-pmap-c)#exit
pix(config-pmap)#exit
SMTP Fixup Protocol의 경우 다음을 참조하십시오.
http://www.cisco.com/en/US/docs/security/pix/pix62/configuration/guide/fixup.html
show fixup 명령을 사용하여 명시적(구성 가능) 수정 프로토콜 설정을 볼 수 있습니다.구성 가능한 프로토콜의 기본 설정은 다음과 같습니다.
show fixup
fixup protocol ftp 21
fixup protocol http 80
fixup protocol h323 1720
fixup protocol rsh 514
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol sip 5060
관련 정보