简介
本文档说明您在邮件服务器通信中看到“XXXXXXXA”的原因,以及与思科邮件安全设备(ESA)相关联的TLS故障。
为什么您会看到EHLO后的XXXXXXXA和STARTTLS后的“无法识别500 #5.5.1命令”?
入站或出站邮件的TLS失败。
在EHLO命令后,ESA使用以下信息响应外部邮件服务器:
250-8BITMIME\
250-SIZE 14680064
250 XXXXXXXA
在SMTP会话中发出命令“STARTTLS”后,ESA使用以下信息响应外部邮件服务器:
500 #5.5.1 command not recognized
STARTTLS的内部测试成功。这意味着绕过防火墙时,STARTTLS工作正常,例如与本地邮件服务器的STARTTLS连接或telnet注入测试。
在使用Cisco Pix或Cisco ASA防火墙时,当防火墙中不允许使用SMTP数据包检测(SMTP和ESMTP检测、SMTP修正协议)和STARTTLS命令时,通常会发生此问题。
使用各种ESMTP安全协议的7.2(3)之前的Cisco PIX防火墙版本错误地终止连接,因为解释重复报头时存在错误。ESMTP安全协议包括“fixup”、“ESMTP inspect”等。
关闭PIX中的所有ESMTP安全功能,或者将PIX升级到7.2(3)或更高版本,或者这两者。由于运行PIX的远程电子邮件目标会发生此问题,因此关闭此功能(或建议关闭此功能)可能并不现实。如果您有机会提出建议,防火墙升级应该可以解决此问题。
部分问题并非全部是由于其他信头中包含了邮件信头,尤其是域密钥和域密钥识别邮件的签名信头。虽然还存在其他情况,在这些情况下PIX错误地终止SMTP会话并导致传送失败,但是DK和DKIM签名是已知的原因之一。暂时禁用DK或DKIM可能会暂时解决此问题,但最佳解决方案是让所有PIX用户升级或禁用这些安全功能。
思科建议所有客户继续使用DKIM签署邮件,并考虑使用此功能(如果尚未使用此功能)。
有关SMTP和ESMTP检测(PIX/ASA 7.x及更高版本),请参阅:
/c/en/us/support/docs/security/pix-500-series-security-appliances/69374-pix7x-mailserver.html
ESMTP TLS 配置:
pix(config)#policy-map global_policy
pix(config-pmap)#class inspection_default
pix(config-pmap-c)#no inspect esmtp
pix(config-pmap-c)#exit
pix(config-pmap)#exit
有关SMTP修正协议,请参阅:
http://www.cisco.com/en/US/docs/security/pix/pix62/configuration/guide/fixup.html
您可以使用show fixup命令查看显式(可配置)修正协议设置。可配置协议的默认设置如下:
show fixup
fixup protocol ftp 21
fixup protocol http 80
fixup protocol h323 1720
fixup protocol rsh 514
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol sip 5060
相关信息
反馈