المقدمة
يصف هذا المستند سبب رؤيتك "xxxxxa" في إتصالات خادم البريد وحالات فشل TLS المرتبطة بجهاز أمان البريد الإلكتروني من Cisco (ESA).
لماذا ترى XXXXXA بعد EHLO و"الأمر 500 #5.5.1 لم يتم التعرف عليه" بعد STARTTLS؟
فشل TLS للرسائل الواردة أو الصادرة.
بعد أمر EHLO، تستجيب ESA إلى خادم بريد خارجي باستخدام:
250-8BITMIME\
250-SIZE 14680064
250 XXXXXXXA
بعد الأمر "starttls" في محادثة SMTP، تستجيب ESA إلى خادم بريد خارجي باستخدام:
500 #5.5.1 command not recognized
نجحت الاختبارات الداخلية ل STARTTLS. وهذا يعني أنه عند تجاوز جدار الحماية، يعمل نظام STARTTLS بشكل جيد، مثل إتصالات STARTTLS بخوادم البريد المحلية أو إختبارات حقن برنامج Telnet.
تشاهد المشكلة عادة عند إستخدام جدار حماية Cisco PIX أو Cisco ASA عندما يكون فحص حزم SMTP (فحص حزم SMTP و ESMTP، بروتوكول إصلاح SMTP) وأمر STARTTLS غير مسموح به في جدار الحماية.
تقوم إصدارات جدار حماية Cisco PIX الأقدم من 7.2(3) التي تستخدم بروتوكولات أمان ESMTP المختلفة بإنهاء الاتصالات بشكل غير صحيح بسبب خطأ في تفسير الرؤوس المكررة. تتضمن بروتوكولات أمان ESMTP "الإصلاح" و"فحص ESMTP" وغيرها.
قم بإيقاف تشغيل جميع ميزات أمان ESMTP في PIX أو ترقية PIX إلى 7.2(3) أو إصدار أحدث أو كليهما. بما أن هذه المشكلة تحدث مع وجهات البريد الإلكتروني البعيدة التي تشغل PIX، فقد لا يكون من العملي إيقاف تشغيل هذا أو التوصية بإيقاف تشغيله. إذا كانت لديك الفرصة لتقديم توصية، فيجب أن تحل ترقية جدار الحماية هذه المشكلة.
ترجع بعض هذه المشاكل، وليس كلها، إلى تضمين رؤوس الرسائل ضمن رؤوس أخرى، ولا سيما رؤوس التوقيع لمفاتيح المجال والبريد المعرف لمفاتيح المجال. في حين لا يزال هناك ظروف أخرى يقوم فيها PIX بإنهاء جلسة SMTP بشكل غير صحيح ويتسبب في فشل التسليم، فإن توقيع DK و DKIM هو أحد الأسباب المعروفة. قد يؤدي تعطيل DK أو DKIM مؤقتا إلى حل هذه المشكلة في الوقت الحالي، ولكن الحل الأفضل هو ترقية ميزات الأمان هذه أو تعطيلها لكافة مستخدمي PIX.
توصي Cisco باستمرار جميع العملاء في توقيع الرسائل مع DKIM والنظر في إستخدام هذه الميزة إذا لم يقوموا بذلك بالفعل.
بالنسبة لتفتيش SMTP و ESMTP (PIX/ASA 7.x وأعلى)، يرجى الاطلاع على:
/c/en/us/support/docs/security/pix-500-series-security-appliances/69374-pix7x-mailserver.html
تكوين ESMTP TLS:
pix(config)#policy-map global_policy
pix(config-pmap)#class inspection_default
pix(config-pmap-c)#no inspect esmtp
pix(config-pmap-c)#exit
pix(config-pmap)#exit
لبروتوكول إصلاح SMTP، الرجاء مراجعة:
http://www.cisco.com/en/US/docs/security/pix/pix62/configuration/guide/fixup.html
يمكنك عرض إعدادات بروتوكول الإصلاح الصريحة (القابلة للتكوين) باستخدام أمر إظهار الإصلاح. الإعدادات الافتراضية للبروتوكولات القابلة للتكوين هي كما يلي:
show fixup
fixup protocol ftp 21
fixup protocol http 80
fixup protocol h323 1720
fixup protocol rsh 514
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol sip 5060
معلومات ذات صلة
التعليقات