簡介
本文檔說明您在郵件伺服器通訊中看到「XXXXXXXA」的原因以及與思科郵件安全裝置(ESA)相關的TLS故障。
為什麼您在EHLO後看到XXXXXXXA,在STARTTLS後看到「無法辨識500 #5.5.1命令」?
入站或出站郵件的TLS失敗。
在EHLO命令之後,ESA使用以下命令響應外部郵件伺服器:
250-8BITMIME\
250-SIZE 14680064
250 XXXXXXXA
在SMTP會話中發出命令「STARTTLS」後,ESA使用以下命令響應外部郵件伺服器:
500 #5.5.1 command not recognized
STARTTLS的內部測試成功。這意味著繞過防火牆時,STARTTLS工作正常,例如與本地郵件伺服器的STARTTLS連線或telnet注入測試。
當防火牆中不允許使用SMTP資料包檢測(SMTP和ESMTP檢測、SMTP修復協定)和STARTTLS命令時,當您使用Cisco Pix或Cisco ASA防火牆時,通常會發生此問題。
使用各種ESMTP安全協定的7.2(3)之前的Cisco PIX防火牆版本錯誤地終止了連線,因為解釋重複報頭時存在錯誤。ESMTP安全協定包括「fixup」、「ESMTP inspect」等。
關閉PIX中的所有ESMTP安全功能,或將PIX升級到7.2(3)或更高版本,或同時升級到兩者。由於此問題發生在運行PIX的遠端電子郵件目標上,因此關閉或建議將其關閉可能是不切實際的。如果您有機會提出建議,防火牆升級應該可以解決此問題。
部分問題(並非全部)是由郵件信頭包含在其他信頭中造成的,特別是域金鑰和域金鑰標識郵件的簽名信頭。雖然仍有其他情況表明PIX錯誤地終止了SMTP會話並導致傳遞失敗,但DK和DKIM簽名是已知的原因之一。暫時停用DK或DKIM可能暫時解決此問題,但最佳解決方案是讓所有PIX使用者升級或停用這些安全功能。
思科建議所有客戶繼續使用DKIM簽署消息,如果尚未使用此功能,應考慮使用此功能。
有關SMTP和ESMTP檢查(PIX/ASA 7.x及更高版本)的資訊,請參閱:
/c/en/us/support/docs/security/pix-500-series-security-appliances/69374-pix7x-mailserver.html
ESMTP TLS配置:
pix(config)#policy-map global_policy
pix(config-pmap)#class inspection_default
pix(config-pmap-c)#no inspect esmtp
pix(config-pmap-c)#exit
pix(config-pmap)#exit
有關SMTP修復協定,請參閱:
http://www.cisco.com/en/US/docs/security/pix/pix62/configuration/guide/fixup.html
您可以使用show fixup命令檢視顯式(可配置)修復協定設定。可配置協定的預設設定如下:
show fixup
fixup protocol ftp 21
fixup protocol http 80
fixup protocol h323 1720
fixup protocol rsh 514
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol sip 5060
相關資訊
意見