您無法在 Cisco PIX 防火牆的後方傳送或接收電子郵件

Exchange 2007
 

上次修改主題的時間: 2008-10-24

本主題提供的資訊是有關當 Microsoft Exchange 位於 Cisco PIX 防火牆裝置後方時,如何疑難排解下列郵件流程問題:

  • 您無法接收網際網路型電子郵件。
  • 您無法傳送夾帶附件的電子郵件。
  • 您無法透過通訊埠 25 來與 Exchange 伺服器建立 Telnet 工作階段。
  • 當您將 EHLO 命令傳送至 Exchange 伺服器時,您收到 "Command unrecognized" 回應或 "OK" 回應。
  • 您無法在特定的網域上傳送或接收郵件。
  • 郵局通訊協定第 3 版 (POP3) 驗證有問題。在此情況下,您可能會在 Exchange 伺服器上收到 "550 5.7.1 relaying denied" 錯誤。
  • 傳送重複的電子郵件 (有時是五封或六封)。
  • 您收到重複的內送簡易郵件傳送通訊協定 (SMTP) 郵件。
  • 當您嘗試傳送電子郵件時,Microsoft Office Outlook 用戶端產生錯誤 0x800CCC79。
  • 二進位 MIME (8 位元 MIME) 有問題。在此情況下,您會在一封未傳遞回報 (NDR) 傳遞狀態通知 (DSN) 郵件中收到下列文字:"554 5.6.1 Body type not supported by Remote Host"。
  • 您有遺失或損壞的郵件附件。
  • 當 Cisco PIX 防火牆裝置位於路由群組之間時,路由群組之間的連結狀態路由發生問題。
  • 未傳送 X-LINK2STATE 命令動詞。
  • 在透過路由群組連接器的伺服器之間發生驗證問題。

當下列兩個條件都成立時,就會發生這些問題:

  • Exchange 伺服器位於已啟用 Mailguard 功能的 Cisco PIX 防火牆裝置後方。
  • 防火牆已移除 AuthAuth login 延伸簡易郵件傳送通訊協定 (ESMTP) 命令。
note附註:
在此情況下,Exchange 會假設您正在轉送來自遠端網域的電子郵件。

若要判斷 Mailguard 是否在 PIX 防火牆上執行,請使用 Telnet 連接至 MX 資源記錄的 IP 位址,然後確認您收到類似下列的回應:

 

220*******************************0*2******0***********

2002*******2***0*00

note附註:
為了方便閱讀,已去掉此訊息中的部分星號 (*)。

 

220 SMTP/cmap_____________________________________read

如需如何測試 PIX 防火牆 Mailguard 功能的相關資訊,請參閱 Testing the PIX Firewall Mailguard Feature (英文)。

note附註:
本主題也提供協力廠商網站資訊,協助您找到需要的技術資訊。 URL 如有變更,恕不另行通知。 
note附註:
其他包含 SMTP Proxy 功能的防火牆產品也可能產生<簡介>一節所提到的行為。如需這些產品的相關資訊,請參閱本主題的<相關資訊>一節。

如果您在 PIX 防火牆裝置後方有一個延伸 SMTP (ESMTP) 伺服器,您可能必須關閉 PIX Mailguard 功能,才能讓郵件流程正確運作。

Caution請注意:
此因應措施可能會使您的電腦或網路更易於遭受惡意使用者或惡意軟體 (例如病毒) 的攻擊。採用此因應措施需自行承擔風險。

若要關閉 Mailguard 功能,請遵循下列步驟:

  1. 藉由建立 Telnet 工作階段或使用主控台來登入 PIX 裝置。
  2. 輸入 enable,然後按 ENTER 鍵。
  3. 出現提示時,請輸入密碼,然後按 ENTER 鍵。
  4. 輸入 configure terminal,然後按 ENTER 鍵。
  5. 輸入 no fixup protocol smtp 25,然後按 ENTER 鍵。
  6. 輸入 write memory,然後按 ENTER 鍵。
  7. 重新啟動 PIX 裝置,或重新載入 PIX 組態。

Cisco ASA 延伸 SMTP 檢查可改良 Cisco PIX Firewall 6.x 版或更舊版本所提供的傳統式 SMTP 檢查。它會限制能夠通過 Cisco ASA 的 SMTP 命令類型,以抵禦 SMTP 型攻擊。這同樣適用於幾個 Cisco 路由器,包括常用的 Catalyst 6500 和 7600 機型。

如需相關資訊,請參閱 Cisco ASA 5500 Series Release Notes (英文) 和 Configuring Application and Protocol Inspection - Cisco Systems (英文)。

note附註:
本主題也提供協力廠商網站資訊,協助您找到需要的技術資訊。 URL 如有變更,恕不另行通知。 

PIX Mailguard 功能 (在較早版本中亦稱為 Mailhost) 會篩選 SMTP 流量。在 PIX Software 4.0 和 4.1 版中,請使用 mailhost 命令來設定 Mailguard。在 PIX Software 4.2 版和更新版本中,請使用 fixup protocol smtp 25 命令。

note附註:
您也必須有郵件伺服器的靜態 IP 位址指派和 conduit 陳述式。

如要求建議 (RFC) 821 第 4.5.1 節所述,設定 Mailguard 後,它只允許會形成 SMTP 最小實作的命令。七個最低限度的命令如下:

  • HELO
  • MAIL
  • RCPT
  • DATA
  • RSET
  • NOOP
  • QUIT

如需相關資訊,請參閱 RFC821 - Simple Mail Transfer Protocol (英文)。

PIX 防火牆不會將其他命令 (例如 KILLWIZ) 轉送至郵件伺服器。舊版的 PIX 防火牆會傳回 "OK" 回應,即使是對已封鎖的命令,也會傳回此回應。這是為了讓攻擊者無法判斷命令是否已遭封鎖。其他所有命令都會遭到拒絕,並傳回 "500 Command unrecognized" 回應。

在具有韌體 5.1 版的 Cisco PIX 防火牆上,fixup protocol smtp 命令會將 SMTP 橫幅中的字元變更為星號,但 "2"、"0" 和 "0" 字元除外。歸位字元 (CR) 和換行符號 (LF) 會被忽略。在 4.4 版中,SMTP 橫幅中的所有字元都會轉換成星號。

因為 Mailguard 功能可能會對所有命令傳回 "OK" 回應,所以可能難以判斷 Mailguard 是否為作用中。若要判斷 Mailguard 功能是否封鎖無效的命令,請遵循下列步驟。

note附註:
這些步驟是以 PIX 軟體 4.0 和 4.1 版為主。若要測試比較新版的 PIX 軟體,例如 4.2 版,請使用 fixup protocol smtp 25 命令,再搭配適合您郵件伺服器的 staticconduit 陳述式。

  1. 在 PIX 防火牆上,使用 staticconduit 命令,以開放 TCP 通訊埠 25 (SMTP) 接受來自所有主機的內送流量。
  2. 在 PIX 防火牆外部介面上,使用通訊埠 25 來建立 Telnet 工作階段。
  3. 輸入無效的命令,然後按 ENTER 鍵。例如,輸入 goodmorning,然後按 ENTER 鍵。您會收到 "500 Command unrecognized" 回應。

  1. 使用 mailhostfixup protocol smtp 25 命令,在 PIX 防火牆的外部介面上開啟 Mailguard 功能。
  2. 在 PIX 防火牆外部介面上,使用通訊埠 25 來建立 Telnet 工作階段。
  3. 輸入無效的命令,然後按 ENTER 鍵。例如,輸入 goodmorning,然後按 ENTER 鍵。您會收到 "OK" 回應。

當 Mailguard 功能已關閉時,郵件伺服器會對無效的命令產生 "500 Command unrecognized" 回應。不過,當 Mailguard 功能已開啟時,PIX 防火牆會攔截無效的命令,因為只有那七個最低限度的 SMTP 命令才能通過防火牆。無論命令是有效或無效,PIX 防火牆都會回應 "OK"。PIX 防火牆預設會封鎖所有外來連線,以防止存取內部主機。請使用 staticaccess-listaccess-group 命令陳述式來允許外部存取。

如需這些命令的相關資訊,請參閱 The Cisco Command Reference (英文)。

如需如何設定 Cisco PIX 防火牆的相關資訊,請參閱 Cisco PIX Firewall Software Configuration Guides (英文)。

下列產品具有 SMTP Proxy 功能:

  • Watchguard Firebox
  • Checkpoint
  • Raptor

這些產品預設會啟用 SMTP Proxy 功能或 SMTP 篩選功能。因此,您可能會遇到<簡介>一節所列出的狀況。

如需這些協力廠商產品的相關資訊,請參閱 WatchGuard (英文)、Check Point (英文) 及 Symantec (英文)。

note附註:
本主題也提供協力廠商網站資訊,協助您找到需要的技術資訊。 URL 如有變更,恕不另行通知。 
若要確保您目前閱讀的是最新資訊,並尋找其他的 Exchange Server 2007 說明文件,請造訪 Exchange Server 技術資源中心.
顯示: