Inleiding
Dit document beschrijft waarom u "XXXXXXXA" ziet in mailservercommunicatie en TLS-fouten die aan de Cisco Email Security Applicatie (ESA) zijn gekoppeld.
Waarom ziet u XXXXXXXA na EHLO en "500 #5.5.1 commando niet herkend" na STARTTLS?
TLS mislukt voor inkomende of uitgaande berichten.
Na de opdracht EHLO reageert de ESA op een externe mailserver met:
250-8BITMIME\
250-SIZE 14680064
250 XXXXXXXA
Na het bevel "STARTTLS" in het SMTP-gesprek, reageert de ESA op een externe mailserver met:
500 #5.5.1 command not recognized
Interne testen voor STARTTLS zijn succesvol. Dat betekent dat wanneer u de firewall omzeilt, STARTTLS prima werkt, zoals STARTTLS-verbindingen met de lokale mailservers of telnet-injectietests.
Het probleem wordt meestal waargenomen wanneer u een Cisco PIX of Cisco ASA firewall gebruikt wanneer SMTP Packet Inspection (SMTP- en ESMTP-inspectie, SMTP Fixup Protocol) en de opdracht STARTTLS niet is toegestaan in de firewall.
Cisco PIX-firewallversies eerder dan 7.2(3) die de verschillende ESMTP-beveiligingsprotocollen gebruiken, beëindigen verbindingen onjuist vanwege een bug in de interpretatie van dubbele kopregels. De ESMTP-beveiligingsprotocollen omvatten "fixup", "ESMTP-inspectie" en andere protocollen.
Schakel alle ESMTP-beveiligingsfuncties in PIX uit of upgrade PIX naar 7.2(3) of hoger, of beide. Aangezien dit probleem zich voordoet bij externe e-mailbestemmingen waarop PIX wordt uitgevoerd, is het mogelijk niet praktisch om dit uit te schakelen of aan te bevelen het uit te zetten. Als u de kans hebt om een aanbeveling te doen, zou een firewallverbetering dit probleem moeten oplossen.
Enkele, niet alle problemen zijn te wijten aan de opname van berichtkopregels in andere kopregels, met name de handtekeningkopregels voor Domeinsleutels en Domeinsleutels Identified Mail. Hoewel er nog andere omstandigheden zijn waaronder PIX een SMTP-sessie onjuist beëindigt en leverfouten veroorzaakt, is de ondertekening door DK en DKIM een bekende oorzaak. Het tijdelijk uitschakelen van DK of DKIM kan dit probleem voorlopig oplossen, maar de beste oplossing is dat alle PIX-gebruikers deze beveiligingsfuncties upgraden of uitschakelen.
Cisco raadt alle klanten aan om berichten met DKIM te blijven ondertekenen en te overwegen deze functie te gebruiken als ze dat nog niet doen.
Voor SMTP- en ESMTP-inspectie (PIX/ASA 7.x en hoger) raadpleegt u:
/c/en/us/support/docs/security/pix-500-series-security-appliances/69374-pix7x-mailserver.html
ESMTP TLS-configuratie:
pix(config)#policy-map global_policy
pix(config-pmap)#class inspection_default
pix(config-pmap-c)#no inspect esmtp
pix(config-pmap-c)#exit
pix(config-pmap)#exit
Voor een SMTP Fixup Protocol, zie:
http://www.cisco.com/en/US/docs/security/pix/pix62/configuration/guide/fixup.html
U kunt de expliciete (configureerbare) instellingen van het fixupprotocol bekijken met de opdracht show fixup. De standaardinstellingen voor configureerbare protocollen zijn als volgt:
show fixup
fixup protocol ftp 21
fixup protocol http 80
fixup protocol h323 1720
fixup protocol rsh 514
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol sip 5060
Gerelateerde informatie
Feedback