Inleiding
In dit document wordt beschreven hoe problemen met onderbrekingen en afgebroken verbindingen tijdens de ontvangst en levering van e-mail kunnen worden opgelost.
Voorwaarden
Cisco raadt kennis van de volgende onderwerpen aan:
- Cisco Private Internet Exchange (PIX) of adaptieve security applicatie (ASA) versie 7.x en hoger
- Cisco e-mail security applicatie (ESA)
Achtergrondinformatie
De Cisco ESA e-mail gateways zijn inherent e-mail firewalls. Dit gaat voorbij aan de noodzaak van een upstream firewall, zoals Cisco PIX of ASA, om e-mailverkeer naar en van een ESA te inspecteren. Aanbevolen wordt om de functies Extended Simple Mail Transfer Protocol (ESMTP) Application Inspection op de firewall uit te schakelen voor alle hostadressen van security applicaties. Standaard is ESMTP-protocolinspectie ingeschakeld voor alle verbindingen die door de Cisco-firewalls worden doorgegeven. Dit betekent dat alle opdrachten die tussen e-mailgateways via TCP-poort 25 worden uitgegeven, evenals afzonderlijke berichtkopregels, worden geanalyseerd om zich strikt te houden aan de RFC-specificaties (Vraag om Commentaar) die de 821, 1123 en 1870 van RFC omvatten. Er zijn gedefinieerde standaardwaarden voor het maximumaantal ontvangers en de berichtgrootte die problemen kunnen veroorzaken bij de levering van en naar uw ESA. Deze specifieke configuratiestandaardwaarden worden hier beschreven (gemaakt uit de Cisco Command Lookup Tool).
De opdracht esmtp inspecteren bevat de functionaliteit die eerder door de opdracht fixup smtp werd geboden en biedt extra ondersteuning voor bepaalde ESMTP-opdrachten. ESMTP-toepassingsinspectie voegt ondersteuning toe voor acht ESMTP-opdrachten, waaronder AUTH, EHLO, ETRN, HELP, SAML, SEND, SOML en VRFY. Samen met de ondersteuning voor zeven RFC 821-opdrachten (DATA, HELO, MAIL, NOOP, QUIT, RCPT, RSET), ondersteunt het security apparaat in totaal 15 SMTP-opdrachten. Andere ESMTP-opdrachten, zoals ATRN, STARTLS, ONEX, VERB, CHUNKING, en private extensies worden niet ondersteund. Niet-ondersteunde opdrachten worden vertaald in Xs, die worden verworpen door de interne server. Dit resulteert in een bericht zoals 500 Onbekend Bevel: XXX. Onvolledige opdrachten worden genegeerd.
De opdracht esmtp inspecteren wijzigt de tekens in de server-SMTP-banner in sterretjes, met uitzondering van de "2", "0", "0" tekens. De tekens "Carriage return" (CR) en "linefeed" (LF) worden genegeerd. Als de SMTP-inspectie is ingeschakeld, wacht een sessie die wordt gebruikt voor interactieve SMTP op een geldig commando en houdt de firewall-esmtp-toestandsmachine de juiste toestanden voor de sessie als deze regels niet worden nageleefd:
- SMTP-opdrachten moeten ten minste vier tekens lang zijn.
- SMTP-opdrachten moeten worden beëindigd met wagenterugloop en lijninvoer.
- SMTP-opdrachten moeten wachten op een antwoord voordat ze het volgende antwoord geven.
Een SMTP-server reageert op clientverzoeken met numerieke antwoordcodes en optionele human-readable strings. SMTP-toepassingsinspectie controleert en vermindert de opdrachten die de gebruiker kan gebruiken, evenals de berichten die de server teruggeeft. SMTP-inspectie voert drie primaire taken uit:
- Beperkt SMTP-verzoeken tot zeven basis-SMTP-opdrachten en acht uitgebreide opdrachten.
- Controleert de opdracht-reactie van SMTP opeenvolging.
- Produceert een controlespoor. Er wordt een 108002 gegenereerd wanneer een ongeldig teken dat is ingesloten in het e-mailadres, wordt vervangen. Voor meer informatie, zie RFC 821.
Een SMTP-inspectie bewaakt de commando- en reactievolgorde voor de volgende afwijkende handtekeningen:
- Afgeknot opdrachten.
- Onjuiste opdrachtbeëindiging (niet beëindigd met <CR><LR>).
- Als de PHY Interface voor PCI Express (PIPE) handtekening wordt gevonden als een parameter voor een MAIL van of RCPT naar de opdracht, wordt de sessie gesloten. Het is niet configureerbaar door de gebruiker.
- Onverwachte overgang door de SMTP-server.
- Bij onbekende opdrachten worden alle tekens in het pakket door het beveiligingstoestel in X omgezet. In dit geval genereert de server een foutcode voor de client. Wegens de verandering in het pakket, moet de TCP-checksum opnieuw worden berekend of aangepast.
- TCP-stream bewerken.
De output van show service-policy inspect ESMTP biedt de standaard inspectiewaarden en hun corresponderende acties.
Global policy:
Service-policy: global_policy
Class-map: inspection_default
Inspect: esmtp _default_esmtp_map, packet 104468, drop 0, reset-drop 0
mask-banner, count 639 obfuscate the SMTP banner greeting
match cmd line length gt 512 deny all SMTP commands (and close connection)
drop-connection log, packet 0
match cmd RCPT count gt 100 drop all messages (and connection) with more
than 100 recipients
drop-connection log, packet 0
match body line length gt 998 log all messages with lines > 998 chars
log, packet 0
match header line length gt 998 drop all messages (and connection)
with headers > 998 chars
drop-connection log, packet 41
match sender-address length gt 320 drop all messages (and connection) with
envelope sender > 320 bytes
drop-connection log, packet 0
match MIME filename length gt 255 drop all messages (and connection) with
MIME attachment filenames > 255 bytes
drop-connection log, packet 0
match ehlo-reply-parameter others obfuscate extended commands not explicitly
noted in the RFCs (such as STARTTLS)
mask, packet 2555
Probleem
Af en toe zullen berichten niet correct door de Cisco ESA worden geleverd of ontvangen. Een of meer van deze berichten worden weergegeven in het Cisco ESA-apparaat mail_logs:
- Bericht afgebroken MID XXX
- 21916 geaborteerde ICID ontvangen is verloren
- ICID 21916 sluiten
- Verbindingsfout: DCID: XXX domein:example.com IP: 10.1.2.3 poort: 25 details: [Fout 60]
Time out-interface voor bediening: 10.10.10.1 reden: netwerkfout
Oplossing
Sommige van deze standaardinstellingen kunnen van invloed zijn op zaken zoals de levering van TLS-versleutelde berichten (Transport Layer Security), mailinglijstcampagnes en probleemoplossing. Met een beter beleid kunt u de firewall gebruiken om al het resterende e-mailverkeer dat niet eerst door het security apparaat gaat te inspecteren, terwijl u al het verkeer dat heeft vrijstelt. Dit voorbeeld illustreert hoe u de standaardconfiguratie (die eerder is opgemerkt) kunt afstemmen om ESMTP Application Inspection vrij te stellen voor één host-adres voor beveiliging.
U kunt al het verkeer naar en van het interne adres van de Cisco ESA’s definiëren voor referentie in een MPF-klasse (Modular Policy Framework):
access-list ironport_esa_internal extended permit ip any 192.168.1.1
access-list ironport_esa_internal extended permit ip 192.168.1.1 any
Dit leidt tot een nieuwe klasse-kaart om verkeer specifiek aan te passen of te selecteren dat verschillend moet worden behandeld:
class-map ironport_esa
match address ironport_esa_internal
Deze sectie koppelt de nieuwe Cisco class-map en schakelt de functies voor ESMTP-protocolinspectie uit:
policy-map global_policy
class ironport_esa
no inspect esmtp
Let ook op de adresvertaalverklaring die kan helpen het aantal inkomende en half-open (embryonale) verbindingen naar het adres te controleren. Dit is nuttig om ontkenning van de dienstaanvallen (Dos) te bestrijden, maar kan zich in leveringstarieven mengen.
Formaat voor het volgen van parameters van NAT en STATISCHE opdrachten ... [tcp (max_conns)] [max_embryonaal].
Dit voorbeeld specificeert limieten van 50 totale TCP-verbindingen en 100 half-open of embryonale verbindingspogingen:
static (inside,outside) 1.1.1.1 192.168.1.1 netmask 255.255.255.255 tcp 50 100
Feedback