Por que a negociação TLS do ESA a um servidor de destino falha apesar de STARTTLS que está disponível?

Opções de download

  • PDF     (81.2 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (73.4 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (75.4 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:3 de dezembro de 2018
ID do documento:212587

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

    Introdução

    Este documento descreve como identificar a falha de negociação da Segurança da camada de transferência (TLS) quando STARTTLS está disponível dentro dos comandos do Simple Mail Transfer Protocol (SMTP) EHLO e o server não se conforma ao RFC1869.

    Informações de Apoio

    O TLS é permitido na ferramenta de segurança do email (ESA) com um certificado válido. O TLS é permitido no servidor de destino e STARTTLS é visto quando uma conexão SMTP é estabelecida.

    Por que a negociação TLS do ESA a um servidor de destino falha apesar de STARTTLS que está disponível?

    O ESA tenta conectar ao servidor de destino com o uso do TLS, contudo, a negociação TLS falha com este erro nos mail_logs do ESA/rastreamento de mensagem.

    Info: DCID xxxxxx STARTTLS command not supported.

    Conforme o RFC1869, a primeira resposta a EHLO deve ser ehlo-aprovado-RSP e ehlo-aprovado-RSP tem estas sintaxe e ordem:

    ehlo-ok-rsp ::= "250" domain [ SP greeting ] CR LF
     / ( "250-" domain [ SP greeting ] CR LF
     *( "250-" ehlo-line CR LF )
     "250" SP ehlo-line CR LF )

    Exemplo incorreto da conversação SMTP da sintaxe RFC

    220 mail.domain1.com ESMTP Service ready
    EHLO ESA.com
    250-STARTTLS  <--- 250-STARTTLS is before the server greeting.
    250-mail.domain1.com  <--- This is the 250 destination server greeting.
    250-8BITMIME
    250-PIPELINING
    250-HELP
    250-DELIVERBY 300
    250 SIZE 30000000


    Significa que tudo lá é antes da ehlo-linha (250-mail.domain1.com, neste exemplo) está considerado como o cumprimento. Assim, o ESA não considerará o comando 250-STARTTLS disponível e relatará o comando STARTTLS não apoiadoRefira https://tools.ietf.org/html/rfc1869 para mais detalhes.

    Corrija o exemplo da conversação SMTP da sintaxe RFC

    220 mail-esa.com ESMTP
    EHLO connecting.server.com
    250-mail-esa.com  <--- This is the 250 destination server greeting.
    250-8BITMIME
    250-SIZE 33554432
    250 STARTTLS  <--- STARTTLS is available after the greeting, it's not considered a greeting as per RFC.

    Informações Relacionadas

    TAC Authored

    Colaborado por engenheiros da Cisco

    • Aditya Saini
      Engenheiro de TAC da Cisco

    Este documento lhe foi útil?

    FeedbackFeedback

    Contate a Cisco

    Este documento se refere a estes produtos