295164 启用经过身份验证的中继时出现禁止 SMTP 客户端接收中继的错误信息
在 Cisco PIX 防火墙后无法发送或接收电子邮件
来源:互联网
作者:west263.com
时间:2008-02-23
西部数码-全国虚拟主机10强!40余项虚拟主机管理功能,全国领先!双线多线虚拟主机南北访问畅通无阻!免费赠送企业邮局,.CN域名,自助建站480元起,免费试用7天,满意再付款! P4主机租用799元/月.月付免压金!
更多信息
PIX 软件的 Mailguard 功能(在早期版本中也称为 Mailhost)能够筛选简单邮件传输协议 (SMTP) 流量。对于 PIX 软件版本 4.0 和 4.1,使用“mailhost”命令配置 Mailguard。在 PIX 软件版本 4.2 和更高版本中,则使用 fixup protocol smtp 25 命令进行配置。
注意:您还必须为您的邮件服务器分配了静态 IP 地址和使用了 conduit 语句。
配置 Mailguard 时,Mailguard 只允许使用七个 SMTP 必需的命令(如请求注释 (RFC) 821 的 4.5.1 节中所述)。这七个必需的命令是:
要查看 RFC 821,请访问以下 RFC 网站:
在具备固件版本 5.1 和更高版本的 Cisco PIX 防火墙中,“fixup protocol smtp”命令会将 SMTP 横幅中的字符更改为星号(字符“2”、“0”、“0 ”除外)。回车键 (CR) 和换行符 (LF) 被忽略。在版本 4.4 中,SMTP 横幅中的任何字符都转换为星号。
注意:以下步骤基于 PIX 软件版本 4.0 和 4.1。要测试更高版本的 PIX 软件(版本 4.2 和更高版本),请对邮件服务器使用“fixup protocol smtp 25”命令,连同合适的“static”和“conduit”语句。
关闭 Mailguard 功能时,邮件服务器使用“500 Command unrecognized”消息响应无效命令。但是,打开 Mailguard 功能时,PIX 防火墙会截取无效命令,因为防火墙仅传递七个必需的 SMTP 命令。不论命令是否有效,PIX 防火墙都响应“OK”。
默认情况下,PIX 防火墙阻止任何外部连接访问内部主机。使用 static、access-list、access-group 命令语句以允许外部访问。有关这些命令的其他信息,请访问下面的 Cisco 网站:
有关具备 SMTP 代理功能的防火墙产品的其他信息,请访问下面的网站:
bitscn.com
注意:您还必须为您的邮件服务器分配了静态 IP 地址和使用了 conduit 语句。
配置 Mailguard 时,Mailguard 只允许使用七个 SMTP 必需的命令(如请求注释 (RFC) 821 的 4.5.1 节中所述)。这七个必需的命令是:
HELO
MAIL
RCPT
DATA
RSET
NOOP
QUIT
其他命令(如 KILL 和 WIZ)不被 PIX 防火墙转发到邮件服务器。即使命令被阻止,早期版本的 PIX 防火墙也会返回“OK”响应。这旨在防止攻击者知道命令已阻止。 RCPT
DATA
RSET
NOOP
QUIT
要查看 RFC 821,请访问以下 RFC 网站:
http://www.faqs.org/rfcs/rfc821.html
任何其他命令均被拒绝,并显示“500 Command unrecognized”响应。在具备固件版本 5.1 和更高版本的 Cisco PIX 防火墙中,“fixup protocol smtp”命令会将 SMTP 横幅中的字符更改为星号(字符“2”、“0”、“0 ”除外)。回车键 (CR) 和换行符 (LF) 被忽略。在版本 4.4 中,SMTP 横幅中的任何字符都转换为星号。
测试 Mailguard 是否正常运行
由于 Mailguard 功能可能对任何命令都返回“OK”响应,因此很难确定此功能是否处于活动状态。要确定 Mailguard 功能是否阻止无效命令,请按照以下步骤操作: 中国.网管联盟注意:以下步骤基于 PIX 软件版本 4.0 和 4.1。要测试更高版本的 PIX 软件(版本 4.2 和更高版本),请对邮件服务器使用“fixup protocol smtp 25”命令,连同合适的“static”和“conduit”语句。
Mailguard 关闭时
| 1. | 在 PIX 防火墙上,使用 static 和 conduit 命令以允许在 TCP 端口 25 (SMPT) 上进入任何主机。 |
| 2. | 在 PIX 防火墙端口 25 的外部接口上建立 Telnet 会话。 |
| 3. | 键入一个无效命令,然后按 Enter 键。例如,键入 goodmorning,然后按 Enter 键。 您会收到以下响应: 500 Command unrecognized. |
Mailguard 打开时
| 1. | 使用 mailhost 或“fixup protocol smtp 25”命令,以打开 PIX 防火墙的外部接口上的 Mailguard 功能。 |
| 2. | 在 PIX 防火墙端口 25 的外部接口上建立 Telnet 会话。 |
| 3. | 键入一个无效命令,然后按 Enter 键。例如,键入 goodmorning,然后按 Enter 键。 中国.网管联盟 您会收到以下响应: OK. |
默认情况下,PIX 防火墙阻止任何外部连接访问内部主机。使用 static、access-list、access-group 命令语句以允许外部访问。有关这些命令的其他信息,请访问下面的 Cisco 网站:
http://www.cisco.com/univercd/cc/td/doc/product/iaabu/pix/pix_60/config/commands.htm
有关如何配置 Cisco PIX 防火墙的其他信息,请访问下面的 Cisco 网站: http://www.cisco.com/univercd/cc/td/doc/product/iaabu/pix/pix_v52/config/commands.htm#xtocid1604922
http://www.cisco.com/en/US/products/products_security_advisory09186a0080094070.shtml
http://www.cisco.com/warp/public/110/22.html
中国网管论坛
有关具备 SMTP 代理功能的防火墙产品的其他信息,请访问下面的网站:
http://www.watchguard.com
http://www.checkpoint.com
http://enterprisesecurity.symantec.com
本文中提到的第三方产品由 Microsoft 以外的其他公司提供。对于这些产品的性能或可靠性,Microsoft 不作任何暗示确保或其他形式的确保。 Microsoft 提供了第三方联系信息以便于您寻求技术支持。这些联系信息如有更改,恕不另行通知。Microsoft 不确保这些第三方联系信息的准确性。
