我在思科路由器后面有一个带 tls 的电子邮件服务器。从内部对 TLS 连接进行的测试证明 tls 配置正确。
从本地子网上的主机:
zzzz@server:~# telnet mail.xxx.co.ug 25
Trying 192.168.1.20...
Connected to mail.xxx.co.ug.
Escape character is '^]'.
220 mail.xxx.co.ug ESMTP Postfix
ehlo example.com
250-mail.xxx.co.ug
250-PIPELINING
250-SIZE 20240000
250-ETRN
250-STARTTLS
250-AUTH DIGEST-MD5 NTLM CRAM-MD5 LOGIN PLAIN
250-AUTH=DIGEST-MD5 NTLM CRAM-MD5 LOGIN PLAIN
250-ENHANCEDSTATUSCODES
250-8BITMIME
250 DSN
quit
221 2.0.0 Bye
来自路由器/互联网主机:这是我从路由器获得的信息,以及当我从互联网主机远程登录到邮件服务器时获得的信息
`OME-GW#telnet mail.xxx.co.ug 25
Trying mail.xxx.co.ug (192.168.1.20, 25)... Open
220 mail.xxx.co.ug ESMTP Postfix
ehlo example.com
250-mail.xxx.co.ug
250-SIZE 20240000
250-AUTH DIGEST-MD5 NTLM CRAM-MD5 LOGIN PLAIN
250 DSN`
请注意,没有 STARTTLS
访问列表配置为允许 pop3 和 smtp 访问邮件服务器,一切正常。问题是 tls 连接无法从互联网访问邮件服务器。以下是来自互联网的外部 ACL
Extended IP access list 102
10 permit tcp any any eq pop3 (9768 matches)
20 permit tcp any any eq smtp (66860 matches)
30 permit tcp any any eq 1194 (279 matches)
40 permit gre any any
50 permit icmp any XXX.157.20.236 0.0.0.3 echo (7943 matches)
60 permit icmp any XXX.157.20.236 0.0.0.3 echo-reply (75134 matches)