Introducción
En este documento se describe por qué aparece "XXXXXXXA" en la comunicación del servidor de correo y los fallos de TLS asociados con el dispositivo de seguridad Cisco Email Security Appliance (ESA).
¿Por qué ve XXXXXXXA después de EHLO y "500 #5.5.1 comando no reconocido" después de STARTTLS?
TLS falla para los mensajes entrantes o salientes.
Después del comando EHLO, el ESA responde a un servidor de correo externo con:
250-8BITMIME\
250-SIZE 14680064
250 XXXXXXXA
Después del comando "STARTTLS" en la conversación SMTP, el ESA responde a un servidor de correo externo con:
500 #5.5.1 command not recognized
Las pruebas internas para STARTTLS son exitosas. Esto significa que cuando se omite el firewall, STARTTLS funciona bien, como conexiones STARTTLS con los servidores de correo locales o pruebas de inyección de telnet.
El problema se observa normalmente cuando se utiliza un Cisco Pix o un firewall Cisco ASA cuando la inspección de paquetes SMTP (inspección SMTP y ESMTP, protocolo de corrección SMTP) y el comando STARTTLS no están permitidos en el firewall.
Las versiones del firewall Cisco PIX anteriores a la 7.2(3) que utilizan los diversos protocolos de seguridad ESMTP terminan incorrectamente las conexiones debido a un error al interpretar los encabezados duplicados. Los protocolos de seguridad de ESMTP incluyen "fixup", "ESMTP inspect" y otros.
Desactive todas las funciones de seguridad ESMTP en PIX, o actualice PIX a 7.2(3) o posterior, o a ambos. Dado que este problema ocurre con los destinos de correo electrónico remoto que ejecutan PIX, puede no ser práctico desactivar esto o recomendar su desactivación. Si tiene la oportunidad de hacer una recomendación, una actualización del firewall debería solucionar este problema.
Algunos de los problemas, no todos, se deben a la inclusión de encabezados de mensajes dentro de otros encabezados, especialmente los encabezados de firmas para Domain Keys y Domain Keys Identified Mail. Aunque todavía hay otras circunstancias bajo las cuales PIX termina incorrectamente una sesión SMTP y causa fallas de entrega, la firma DK y DKIM es una causa conocida. La desactivación temporal de DK o DKIM podría resolver este problema por el momento, pero la mejor solución es que todos los usuarios de PIX actualicen o desactiven estas funciones de seguridad.
Cisco recomienda que todos los clientes continúen firmando mensajes con DKIM y que consideren el uso de esta función si aún no lo han hecho.
Para la inspección SMTP y ESMTP (PIX/ASA 7.x y superior), consulte:
/c/en/us/support/docs/security/pix-500-series-security-appliances/69374-pix7x-mailserver.html
Configuración de TLS de ESMTP:
pix(config)#policy-map global_policy
pix(config-pmap)#class inspection_default
pix(config-pmap-c)#no inspect esmtp
pix(config-pmap-c)#exit
pix(config-pmap)#exit
Para obtener información sobre el protocolo de corrección SMTP, consulte:
http://www.cisco.com/en/US/docs/security/pix/pix62/configuration/guide/fixup.html
Puede ver la configuración explícita (configurable) del protocolo fixup con el comando show fixup. Los valores predeterminados para los protocolos configurables son los siguientes:
show fixup
fixup protocol ftp 21
fixup protocol http 80
fixup protocol h323 1720
fixup protocol rsh 514
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol sip 5060
Información Relacionada
Comentarios