소개
이 문서에서는 Cisco ESA(Email Security Appliance)와 관련된 메일 서버 통신 및 TLS 장애에 "XXXXXXXA"가 표시되는 이유를 설명합니다.
EHLO 이후 XXXXXXXA 및 STARTTLS 이후 "500 #5.5.1 명령이 인식되지 않음"이 표시되는 이유는 무엇입니까?
인바운드 또는 아웃바운드 메시지에 대해 TLS가 실패합니다.
EHLO 명령 후 ESA는 다음과 같이 외부 메일 서버에 응답합니다.
250-8BITMIME\
250-SIZE 14680064
250 XXXXXXXA
SMTP 대화에서 "STARTTLS" 명령 다음에 ESA는 다음과 같이 외부 메일 서버에 응답합니다.
500 #5.5.1 command not recognized
STARTTLS에 대한 내부 테스트에 성공했습니다. 즉, 방화벽을 우회할 경우 STARTTLS는 로컬 메일 서버와의 STARTTLS 연결 또는 텔넷 주입 테스트와 같이 정상적으로 작동합니다.
SMTP 패킷 검사(SMTP 및 ESMTP 검사, SMTP Fixup Protocol) 및 STARTTLS 명령이 방화벽에서 허용되지 않을 때 Cisco Pix 또는 Cisco ASA 방화벽을 사용할 때 일반적으로 이 문제가 발생합니다.
다양한 ESMTP 보안 프로토콜을 사용하는 7.2(3) 이전의 Cisco PIX 방화벽 버전은 중복 헤더를 해석할 때 발생하는 버그 때문에 연결이 잘못 종료됩니다. ESMTP 보안 프로토콜에는 "fixup", "ESMTP inspect" 및 기타 프로토콜이 포함됩니다.
PIX에서 모든 ESMTP 보안 기능을 끄거나 PIX를 7.2(3) 이상 또는 둘 다로 업그레이드합니다. 이 문제는 PIX를 실행하는 원격 이메일 대상에서 발생하므로 이 기능을 해제하거나 해제하도록 권장하는 것은 현실적이지 않을 수 있습니다. 권장 사항을 제시할 수 있는 기회가 있다면 방화벽 업그레이드로 이 문제를 해결해야 합니다.
전부는 아니지만 일부 문제는 다른 헤더(특히 Domain Keys 및 Domain Keys Identified Mail의 시그니처 헤더)에 메시지 헤더가 포함되어 있기 때문입니다. PIX가 SMTP 세션을 잘못 종료하고 전달 실패를 유발하는 다른 상황이 여전히 있지만, DK 및 DKIM 서명은 알려진 원인 중 하나입니다. DK 또는 DKIM을 일시적으로 비활성화하면 당분간 이 문제가 해결될 수도 있지만, 가장 좋은 해결책은 모든 PIX 사용자가 이러한 보안 기능을 업그레이드하거나 비활성화하는 것입니다.
Cisco에서는 모든 고객이 DKIM으로 메시지를 계속 서명할 것을 권장하며, 아직 서명하지 않은 경우 이 기능을 사용하는 것이 좋습니다.
SMTP 및 ESMTP 검사(PIX/ASA 7.x 이상)는 다음을 참조하십시오.
/c/en/us/support/docs/security/pix-500-series-security-appliances/69374-pix7x-mailserver.html
ESMTP TLS 구성:
pix(config)#policy-map global_policy
pix(config-pmap)#class inspection_default
pix(config-pmap-c)#no inspect esmtp
pix(config-pmap-c)#exit
pix(config-pmap)#exit
SMTP Fixup Protocol에 대한 내용은 다음을 참조하십시오.
http://www.cisco.com/en/US/docs/security/pix/pix62/configuration/guide/fixup.html
show fixup 명령을 사용하여 명시적(구성 가능) 수정 프로토콜 설정을 볼 수 있습니다. 구성 가능한 프로토콜의 기본 설정은 다음과 같습니다.
show fixup
fixup protocol ftp 21
fixup protocol http 80
fixup protocol h323 1720
fixup protocol rsh 514
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol sip 5060
관련 정보
피드백