Cisco ASAがSMTPトラフィックを書き換えて、メール送信を防止します
アウトバウンドSMTPトラフィックを防止しているCiscoASA 5505(バージョン8.0(4))があります。 telnetでテストすると、ポート25の接続ではすべてが*に変換されますが、SMTPサーバーがポート26に移動された場合は同じことが起こりません
On port 25:
220 ***************************
On port 26:
220 fuber.uberconsult.com ESMTP
書き換えによってアウトバウンドコマンドも変換されますが、*ではなくXに変換されます。 「HELOfoo.com」を送信すると、サーバーは「XXXXXXXXXXXX」を取得します
おそらく、これを実行しているASAのどこかにセキュリティ設定があり、何らかの形の「適応型」セキュリティだと思いますが、この設定はどこにあり、どのように無効にできますか?
5510を最初にセットアップしたときも同様の問題があり、SMTPパケット検査を完全に無効にするのが最も簡単であることがわかりました。
あなたが持っているものを見てください:
yourfirewall# show running-config policy-map
そこにesmtpについて何かがある場合は、次の方法で無効にできます。
yourfirewall# configure terminal
yourfirewall(config)# policy-map global_policy
yourfirewall(config-pmap)# class inspection_default
yourfirewall(config-pmap-c)# no inspect esmtp
ASDMでも、ファイアウォール->オブジェクト->マップの検査-> ESMTPを確認することで、同じことができると思います。
esmtp検査をグローバルに無効にすることなくこの問題を修正できるかどうか疑問に思っています。独自のインスペクションマップを設定する場合、「マスクバナーなし」と呼ばれるパラメータがあります。これにより、ASAが****でバナーを書き換えることができなくなります。
policy-map type inspect esmtp new_estmp_inspect_map
parameters
no mask-banner
policy-map global-policy
class class-default
inspect esmtp new_esmtp_inspect_map
service-policy global-policy global
非アクティブ化する代わりの利点は、次のような他の基準を引き続き検査できることです。
match sender-address length ..
match mime filename length ..
match cmd line length ..
match cmd rcpt count ..
match body line length ..
ASA 5506Xは、デフォルトでSMTPバナーをマスクするだけでなく、以下に示すようにehlo応答をスクランブルします。ここで、XXXXはASAの発明です。彼らは、この「機能」を実装した人々のセキュリティについて、空想的な考えを持っている必要があります。
とにかく。グラフィカルインターフェイスにはルールがなく、セキュリティが最も低いため、ESMTPでデフォルトのフィルタリングがオンになっていることはわかりませんでした。
ehlo example.com
250-email.example.net Hello [hidden IP]
250-SIZE
250-PIPELINING
250-DSN
250-ENHANCEDSTATUSCODES
250-XXXXXXXA
250-AUTH
250-8BITMIME
250-BINARYMIME
250 XXXXXXXB