主页 / server / 问题 / 119006
Accepted
DrStalker
Asked: 2010-03-04 16:41:03 +0800 CST

Cisco ASA 重写 SMTP 流量以防止邮件发送

  • 772

我们有一个阻止出站 SMTP 流量的 Cisco ASA 5505(版本 8.0(4));使用 telnet 进行测试显示端口 25 上的连接将所有内容都转换为 *s,而如果 SMTP 服务器移至端口 26,则不会发生同样的情况

On port 25:
220 ***************************

On port 26:
220 fuber.uberconsult.com ESMTP

重写还将出站命令转换为 X 而不是 *。如果我发送“HELO foo.com”,服务器会得到“XXXX XXXXXXX”

据推测,ASA 上某处有一个安全设置正在执行此操作,我猜想是某种形式的“自适应”安全性,但此设置在哪里以及如何禁用它?

networking cisco smtp cisco-asa

3 个回答

  1. Best Answer

    当我们第一次设置 5510 时,我们遇到了类似的问题,我发现完全禁用 SMTP 数据包检查是最简单的。

    看看你有什么:

    yourfirewall# show running-config policy-map

    如果那里有任何关于 esmtp 的内容,您可以使用以下命令禁用它:

    yourfirewall# configure terminal
yourfirewall(config)# policy-map global_policy
yourfirewall(config-pmap)# class inspection_default
yourfirewall(config-pmap-c)# no inspect esmtp

    我相信你可以在 ASDM 中做同样的事情,通过查看防火墙 -> 对象 -> 检查地图 -> ESMTP

    • 5

  2. 我想知道您是否也可以在没有全局禁用 esmtp 检查的情况下解决此问题。在配置自己的检查图时,有一个名为“no mask-banner”的参数,这将防止 ASA 用 **** 重写横幅

      policy-map type inspect esmtp new_estmp_inspect_map
    parameters
      no mask-banner

  policy-map global-policy
    class class-default
      inspect esmtp new_esmtp_inspect_map
  service-policy global-policy global

    而不是停用的优点是,您仍然可以检查其他标准,例如:

        match sender-address length ..
    match mime filename length ..
    match cmd line length ..
    match cmd rcpt count ..
    match body line length ..
    • 2

  3. ASA 5506X 不仅默认屏蔽 SMTP 横幅,而且还会扰乱 ehlo 回复,如下所示,其中 XXXX 是 ASA 发明。实施此“功能”的人一定对安全性有奇思妙想。

    反正。我不知道 ESMTP 的默认过滤是打开的,因为图形界面显示没有规则和最低安全性。

    ehlo example.com
250-email.example.net Hello [hidden IP] 
250-SIZE 
250-PIPELINING 
250-DSN 
250-ENHANCEDSTATUSCODES 
250-XXXXXXXA 
250-AUTH 
250-8BITMIME 
250-BINARYMIME
250 XXXXXXXB
    • 1

相关问题