Introdução
Este documento descreve por que você vê "XXXXXXXA" na comunicação do servidor de e-mail e falhas de TLS associadas ao Cisco Email Security Appliance (ESA).
Por que você vê XXXXXXXA após EHLO e "comando 500 #5.5.1 não reconhecido" após STARTTLS?
O TLS falha para mensagens de entrada ou de saída.
Após o comando EHLO, o ESA responde a um servidor de e-mail externo com:
250-8BITMIME\
250-SIZE 14680064
250 XXXXXXXA
Após o comando "STARTTLS" na conversação SMTP, o ESA responde a um servidor de correio externo com:
500 #5.5.1 command not recognized
Os testes internos de STARTTLS foram bem-sucedidos. Isso significa que, ao ignorar o firewall, o STARTTLS funciona bem, como conexões STARTTLS com os servidores de e-mail locais ou testes de injeção telnet.
O problema é normalmente visto quando você usa um firewall Cisco Pix ou Cisco ASA quando a Inspeção de Pacotes SMTP (Inspeção SMTP e ESMTP, Protocolo de Correção SMTP) e o comando STARTTLS não são permitidos no firewall.
As versões do firewall do Cisco PIX anteriores à 7.2(3) que usam os vários protocolos de segurança ESMTP terminam incorretamente as conexões devido a um bug na interpretação de cabeçalhos duplicados. Os protocolos de segurança ESMTP incluem "fixup", "ESMTP inspect" e outros.
Desative todos os recursos de segurança ESMTP no PIX, atualize o PIX para 7.2(3) ou posterior, ou ambos. Como esse problema ocorre com destinos de e-mail remotos que executam o PIX, talvez não seja prático desativar esse recurso ou recomendar que ele seja desativado. Se você tiver a oportunidade de fazer uma recomendação, uma atualização de firewall deve resolver esse problema.
Alguns, não todos, dos problemas são devidos à inclusão de cabeçalhos de mensagens em outros cabeçalhos, notadamente os cabeçalhos de assinatura para Chaves de Domínio e Chaves de Domínio para E-mail Identificado. Embora ainda haja outras circunstâncias sob as quais o PIX encerra incorretamente uma sessão SMTP e causa falhas de entrega, a assinatura DK e DKIM é uma causa conhecida. Desabilitar temporariamente DK ou DKIM pode resolver esse problema por enquanto, mas a melhor solução é que todos os usuários do PIX atualizem ou desabilitem esses recursos de segurança.
A Cisco recomenda que todos os clientes continuem a assinar mensagens com o DKIM e a considerar o uso desse recurso, se ainda não o fizerem.
Para a Inspeção SMTP e ESMTP (PIX/ASA 7.x e superior) consulte:
/c/en/us/support/docs/security/pix-500-series-security-appliances/69374-pix7x-mailserver.html
Configuração TLS ESMTP:
pix(config)#policy-map global_policy
pix(config-pmap)#class inspection_default
pix(config-pmap-c)#no inspect esmtp
pix(config-pmap-c)#exit
pix(config-pmap)#exit
Para o protocolo de ajuste SMTP, consulte:
http://www.cisco.com/en/US/docs/security/pix/pix62/configuration/guide/fixup.html
Você pode exibir as configurações do protocolo de correção explícito (configurável) com o comando show fixup. As configurações padrão dos protocolos configuráveis são as seguintes:
show fixup
fixup protocol ftp 21
fixup protocol http 80
fixup protocol h323 1720
fixup protocol rsh 514
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol sip 5060
Informações Relacionadas
Feedback