我们有一台 Cisco ASA 5505(版本 8.0(4)),它阻止了出站 SMTP 流量;使用 telnet 进行测试表明,端口 25 上的连接将所有内容转换为 *s,而如果将 SMTP 服务器移动到端口 26,则不会发生同样的情况
On port 25:
220 ***************************
On port 26:
220 fuber.uberconsult.com ESMTP
重写还会转换出站命令,但会将其转换为 X 而不是 *。如果我发送“HELO foo.com”,服务器将获得“XXXX XXXXXXX”
推测 ASA 上的某个安全设置正在执行此操作,我猜是某种形式的“自适应”安全,但这个设置在哪里,我该如何禁用它?
答案1
当我们第一次设置 5510 时,我们遇到了类似的问题,我发现最简单的方法是完全禁用 SMTP 数据包检查。
看看你有什么:
yourfirewall# show running-config policy-map
如果其中有关于 esmtp 的内容,你可以使用以下命令禁用它:
yourfirewall# configure terminal
yourfirewall(config)# policy-map global_policy
yourfirewall(config-pmap)# class inspection_default
yourfirewall(config-pmap-c)# no inspect esmtp
我相信您可以在 ASDM 中执行相同操作,方法是查看防火墙 -> 对象 -> 检查地图 -> ESMTP
答案2
我想知道您是否也可以在不全局禁用 esmtp 检查的情况下修复此问题。配置自己的检查图时,有一个名为“no mask-banner”的参数,这将阻止 ASA 用 **** 重写横幅
policy-map type inspect esmtp new_estmp_inspect_map
parameters
no mask-banner
policy-map global-policy
class class-default
inspect esmtp new_esmtp_inspect_map
service-policy global-policy global
与停用相比,其优点在于您仍然可以检查其他标准,例如:
match sender-address length ..
match mime filename length ..
match cmd line length ..
match cmd rcpt count ..
match body line length ..
答案3
ASA 5506X 不仅默认屏蔽 SMTP 横幅,还会扰乱 ehlo 回复,如下所示,其中 XXXX 是 ASA 发明的。那些实施此“功能”的人一定对安全性有着独到的见解。
无论如何。我不知道 ESMTP 的默认过滤功能是否已启用,因为图形界面没有显示任何规则,而且安全性最低。
ehlo example.com
250-email.example.net Hello [hidden IP]
250-SIZE
250-PIPELINING
250-DSN
250-ENHANCEDSTATUSCODES
250-XXXXXXXA
250-AUTH
250-8BITMIME
250-BINARYMIME
250 XXXXXXXB