Dit document beschrijft de beste manier om problemen met de connectiviteit met het verkeer van MTP en ESMTP door een ASA te oplossen.
Er zijn geen specifieke vereisten van toepassing op dit document.
De informatie in dit document is gebaseerd op Cisco 5500 Series adaptieve security applicatie (ASA).
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.
Wanneer u een e-mailserver via telnet test op de ASA en ESMTP of de TCP inspectie is geactiveerd, zullen bepaalde opdrachten, zoals HELO of EHLO, een fout van 550 terugkeren die erop wijst dat de opdracht niet begrepen wordt. Wanneer de ESMTP of de TCP-inspectie wordt uitgeschakeld, worden de opdrachten begrepen.
ESMTP- en MTP-inspectie voeren een beleid uit dat alleen bepaalde opdrachten door de ASA toestaat. Als een postopdracht wordt verstuurd die niet is toegestaan, wordt deze vervangen door Xs, wat de opdracht ongeldig maakt voor de client en de server.
Opdrachten die normaal toegestaan zijn, worden vermeld in het esmtp-gedeelte van de Cisco ASA Series Opdrachtreferentie. HELO en EHLO zijn normaal toegestaan; Maar of de opdracht wordt herkend, is afhankelijk van de methode waarmee u test.
Bijvoorbeeld, stuurt Telnet elk teken afzonderlijk in een ander pakket op de draad, maar de eigenlijke e-mailcliënten en servers verzenden de volledige opdracht in één pakket. Als u telnet gebruikt en u H typt, verstuurt de Telnet client een H naar de e-mailserver. Aangezien ESMTP- en MTP-inspectie H niet als een geldige opdracht herkennen, vervangt de ASA de H door een X en geeft deze door. Als u de ELO-functie wilt typen, wordt elk teken afzonderlijk verzonden en de ASA elk teken in een X. De server ontvangt de finale opdracht in XXXX en fouten uit zoals verwacht.
Als u Telnet gebruikt om connectiviteit te testen, moet u de toepassing configureren om de volledige opdracht in één pakket te verzenden. (Het Microsoft Windows Telnet-programma kan een regel tegelijkertijd verzenden in plaats van teken door teken.) Druk op CTRL+] om de Telnet-sessie te verlaten en type om HELO te verzenden. Deze actie verstuurt de gehele opdracht in plaats van de afzonderlijke tekens.
Als alternatief kunt u een ander programma gebruiken, zoals Netcat. Netcat stuurt commando's per lijn en is een zeer krachtig gereedschap om netwerkzakken en gegevensoverdrachten te testen. De beste oplossing is echter om de connectiviteit met een werkelijk e-mailprogramma te testen en het verkeer op de ASA te vangen voor verdere tests.
Revisie | Publicatiedatum | Opmerkingen |
---|---|---|
1.0 |
07-Aug-2017 |
Eerste vrijgave |