Hinter einer Cisco PIX-Firewall können keine E-Mail-Nachrichten gesendet oder empfangen werden

  • Artikel

 

Letztes Änderungsdatum des Themas: 2008-10-24

Dieses Thema stellt Informationen zur Behandlung der folgenden Nachrichtenübermittlungsprobleme zur Verfügung, wenn Microsoft Exchange hinter einem Cisco PIX-Firewallgerät ausgeführt wird:

  • Es können keine Internetbasierten E-Mail-Nachrichten empfangen werden.

  • Es können keine E-Mail-Nachrichten mit Anlagen gesendet werden.

  • Es kann keine Telnet-Sitzung mit dem Servercomputer mit Exchange an Port 25 eingerichtet werden.

  • Wenn ein EHLO-Befehl an den Servercomputer mit Exchange gesendet wird, erfolgt die Antwort "Command unrecognized" oder "OK".

  • Für bestimmte Domänen können keine Nachrichten gesendet oder empfangen werden.

  • Es treten Probleme mit der POP3-Authentifizierung (Post Office Protocol, Version 3) auf. In diesem Szenario wird ggf. ein Fehler des Typs "550 5.7.1 relaying denied" auf dem Servercomputer mit Exchange zurückgegeben.

  • E-Mail-Nachrichten werden mehrfach versandt (manchmal bis zu fünf oder sechs Kopien).

  • Eingehende SMTP-Nachrichten (Simple Mail Transfer Protocol) werden mehrfach empfangen.

  • Microsoft Office Outlook-Clients generieren den Fehler 0x800CCC79 beim Versuch, E-Mail-Nachrichten zu senden.

  • Es liegen Probleme mit binärem MIME (8-Bit-MIME) vor. In diesem Szenario empfangen Sie den folgenden Text in einer Benachrichtigung über den Übermittlungsstatus des Unzustellbarkeitsberichts: "554 5.6.1 Body type not supported by Remote Host." (Der Nachrichtentyp wird vom Remotehost nicht unterstützt)

  • Nachrichtenanlagen fehlen oder sind fehlerhaft.

  • Es liegen Probleme mit dem Verbindungsstatusrouting zwischen Routinggruppen vor, wenn sich ein Cisco PIX-Firewallgerät zwischen den Routinggruppen befindet.

  • Das Verb "X-LINK2STATE" wird nicht übergeben.

  • Zwischen den Servern treten über einen Routinggruppenconnector Authentifizierungsprobleme auf.

Ursache

Diese Probleme können auftreten, wenn die beiden folgenden Bedingungen erfüllt sind:

  • Der Servercomputer mit Exchange befindet sich hinter einem Cisco PIX-Firewallgerät, auf dem das Feature "Mailguard" aktiviert ist.

  • Die ESMTP-Befehle (Extended Simple Mail Transfer Protocol) Auth und Auth login werden von der Firewall entfernt.

Hinweis

Unter diesen Umständen geht Exchange davon aus, dass Sie E-Mail mittels Relay von einer Remotedomäne senden.

Wenn Sie ermitteln möchten, ob Mailguard für die PIX-Firewall ausgeführt wird, sprechen Sie die IP-Adresse des MX-Ressourcendatensatzes über Telnet an, und vergewissern Sie sich dann, dass Sie eine Antwort ähnlich der folgenden erhalten:

220*******************************0*2******0***********

2002*******2***0*00

Hinweis

Aus Gründen der Lesbarkeit wurden einige Sternchen (*) aus dieser Nachricht entfernt.

Frühere Versionen von PIX-Geräten

220 SMTP/cmap_____________________________________read

Weitere Informationen zum Testen des Features "Mailguard" der PIX-Firewall finden Sie unter Testing the PIX Firewall Mailguard Feature (englischsprachig).

Hinweis

UNRESOLVED_TOKEN_VAL(exNote3rdPartyURL) 

Hinweis

Andere Firewallprodukte, die SMTP-Proxyfunktionen enthalten, können ebenfalls das Verhalten aufweisen, das im Abschnitt "Einführung" beschrieben wurde. Weitere Informationen zu diesen Produkten finden Sie in diesem Thema im Abschnitt "Weitere Informationen".

Lösung

Wenn ein ESMTP-Server (Extended SMTP) hinter einem PIX-Firewallgerät betrieben wird, müssen Sie ggf. das Feature "PIX Mailguard" deaktivieren, um die ordnungsgemäße Nachrichtenübermittlung zu ermöglichen.

CautionAchtung:
Diese Problemumgehung kann Ihren Computer oder das Netzwerk verwundbarer für Angriffe durch böswillige Benutzer oder böswillige Software wie etwa Viren machen. Verwenden Sie diese Problemumgehung auf eigene Verantwortung.

Führen Sie die folgenden Schritte aus, um das Feature "Mailguard" zu deaktivieren:

  1. Melden Sie sich am PIX-Gerät an, indem Sie eine Telnet-Sitzung einrichten oder die Konsole verwenden.

  2. Geben Sie enable ein, und drücken Sie dann die EINGABETASTE.

  3. Wenn Sie dazu aufgefordert werden, geben Sie Ihr Kennwort ein, und drücken Sie dann die EINGABETASTE.

  4. Geben Sie configure terminal ein, und drücken Sie dann die EINGABETASTE.

  5. Geben Sie no fixup protocol smtp 25 ein, und drücken Sie dann die EINGABETASTE.

  6. Geben Sie write memory ein, und drücken Sie dann die EINGABETASTE.

  7. Starten Sie das PIX-Gerät neu, oder laden Sie die PIX-Konfiguration erneut.

Die erweiterte Cisco ASA-SMTP-Untersuchung verbessert die traditionelle SMTP-Untersuchung, die von Cisco PIX Firewall, Version 6x oder frühere Versionen, zur Verfügung gestellt wird. Sie bietet Schutz vor SMTP-basierten Angriffen, indem die Typen von SMTP-Befehlen eingeschränkt werden, die das Cisco ASA-Gerät durchlaufen dürfen. Dies gilt auch für verschiedene Cisco-Router, z. B. die häufig verwendeten Modelle Catalyst 6500 und 7600.

Weitere Informationen finden Sie unter Cisco ASA 5500 Series Release Notes und Configuring Application and Protocol Inspection - Cisco Systems (englischsprachig).

Hinweis

UNRESOLVED_TOKEN_VAL(exNote3rdPartyURL) 

Weitere Informationen

Das Feature "PIX Mailguard" (in früheren Versionen als "Mailhost" bezeichnet) filtert SMTP-Datenverkehr. Für die PIX-Softwareversionen 4.0 und 4.1 verwenden Sie den Befehl mailhost, um Mailguard zu konfigurieren. Für die PIX-Softwareversion 4.2 oder höher verwenden Sie den Befehl fixup protocol smtp 25.

Hinweis

Außerdem müssen Sie Zuweisungen statischer IP-Adressen und Conduit-Anweisungen für den Mailserver verwenden.

Wenn Mailguard konfiguriert wird, sind nur die Befehle zulässig, die die Mindestimplementierung von SMTP bilden (siehe RFC 821 (Request for Comments), Abschnitt 4.5.1). Die folgenden sieben Mindestbefehle sind zulässig:

  • HELO

  • MAIL

  • RCPT

  • DATA

  • RSET

  • NOOP

  • QUIT

Weitere Informationen finden Sie unter RFC821 - Simple Mail Transfer Protocol (englischsprachig).

Andere Befehle, z. B. KILL und WIZ werden von der PIX-Firewall nicht an den Mailserver weitergeleitet. Frühere Versionen der PIX-Firewall geben die Antwort "OK" auch auf geblockte Befehle zurück. Dies soll verhindern, dass Angreifer ermitteln können, welche Befehle geblockt wurden. Alle anderen Befehle werden mit der Antwort "500 Command unrecognized" zurückgewiesen.

Für Cisco PIX-Firewalls mit der Firmwareversion 5.1 oder höher ändert der Befehl fixup protocol smtp die Zeichen im SMTP-Banner in Sternchen. Eine Ausnahme bilden die Zeichen "2", "0" und "0". Die Wagenrücklauf- (CR) und Zeilenvorschubzeichen (LF) werden ignoriert. In Version 4.4 werden alle Zeichen im SMTP-Banner in Sternchen konvertiert.

So ermitteln Sie, ob Mailguard ordnungsgemäß funktioniert

Da das Feature "Mailguard" eine Antwort "OK" auf alle Befehle zurückgeben kann, kann die Ermittlung schwierig sein, ob Mailguard aktiv ist. Führen Sie die folgenden Schritte aus, um zu ermitteln, ob das Feature "Mailguard" ungültige Befehle blockiert.

Hinweis

Diese Schritte basieren auf den PIX-Softwareversionen 4.0 und 4.1. Wenn Sie höhere Versionen der PIX-Software (z. B. Version 4.2) testen möchten, verwenden Sie den Befehl fixup protocol smtp 25 zusammen mit den entsprechenden Anweisungen static und conduit für Ihren Mailserver.

Bei deaktiviertem Feature "Mailguard"

  1. Verwenden Sie für die PIX-Firewall die Befehle static und conduit, um eingehenden Datenverkehr von allen Hosts an TCP-Port 25 (SMTP) zu erlauben.

  2. Richten Sie eine Telnet-Sitzung für die externe Schnittstelle der PIX-Firewall an Port 25 ein.

  3. Geben Sie einen Befehl ein, der nicht gültig ist, und drücken Sie dann die EINGABETASTE. Geben Sie z. B. goodmorning ein, und drücken Sie dann die EINGABETASTE. Sie erhalten die Antwort "500 Command unrecognized".

Bei aktiviertem Feature "Mailguard"

  1. Verwenden Sie den Befehl mailhost oder fixup protocol smtp 25, um das Feature "Mailguard" für die externe Schnittstelle der PIX-Firewall zu aktivieren.

  2. Richten Sie eine Telnet-Sitzung für die externe Schnittstelle der PIX-Firewall an Port 25 ein.

  3. Geben Sie einen Befehl ein, der nicht gültig ist, und drücken Sie dann die EINGABETASTE. Geben Sie z. B. goodmorning ein, und drücken Sie dann die EINGABETASTE. Sie erhalten die Antwort "OK".

Wenn das Feature "Mailguard" deaktiviert ist, generiert der Mailserver die Antwort "500 Command unrecognized" für ungültige Befehle. Wenn das Feature "Mailguard" jedoch aktiviert ist, fängt die PIX-Firewall den ungültigen Befehl ab, weil die Firewall nur die sieben SMTP-Mindestbefehle übergibt. Die PIX-Firewall antwortet unabhängig davon, ob der Befehl gültig ist, mit "OK". Standardmäßig blockiert die PIX-Firewall den Zugriff aller externen Verbindungen auf interne Hosts. Verwenden Sie die Befehlsanweisungen static, access-list und access-group, um den externen Zugriff zu erlauben.

Weitere Informationen zu diesen Befehlen finden Sie unter The Cisco Command Reference (englischsprachig).

Weitere Informationen zum Konfigurieren der Cisco PIX-Firewall finden Sie unter Cisco PIX Firewall Software Configuration Guides (englischsprachig).

Andere Produkte, die SMTP-Proxyfunktionen enthalten

Die folgenden Produkte enthalten SMTP-Proxyfunktionen:

  • Watchguard Firebox

  • Checkpoint

  • Raptor

Die SMTP-Proxyfunktion oder die SMTP-Filterfunktion ist in diesen Produkten standardmäßig aktiviert. Aus diesem Grund können die Symptome auftreten, die im Abschnitt "Einführung" aufgeführt werden.

Weitere Informationen zu diesen Produkten von Drittanbietern finden Sie unter WatchGuard, Check Point und Symantec (alle englischsprachig).

Hinweis

UNRESOLVED_TOKEN_VAL(exNote3rdPartyURL)