我们有防止出站SMTPstream量的Cisco ASA 5505(版本8.0(4)); 使用telnet进行testing显示端口25上的连接将所有内容都转换为* s,而如果将SMTP服务器移动到端口26,则不会发生同样的情况
On port 25: 220 *************************** On port 26: 220 fuber.uberconsult.com ESMTP 重写也转换出站命令,而是转换为X而不是*。 如果我发送“HELO foo.com”服务器得到“XXXX XXXXXXX”
据推测,在ASA的某个地方有一个安全设置,我猜想它是某种forms的“适应性”安全性,但是这个设置在哪里?如何禁用?
当我们第一次设置5510时,我们遇到了类似的问题,我发现最简单的办法就是完全禁用SMTP数据包检测。
看看你有什么:
yourfirewall# show running-config policy-map
如果在那里有关于esmtp的任何东西,你可以用下面的方法禁用它:
yourfirewall# configure terminal yourfirewall(config)# policy-map global_policy yourfirewall(config-pmap)# class inspection_default yourfirewall(config-pmap-c)# no inspect esmtp
我相信你可以在ASDM中做同样的工作,通过查看防火墙 – >对象 – >检查地图 – > ESMTP
我想知道如果你也可以解决这个问题,而不是全局禁用esmtp检查。 在configuration自己的检测图时,有一个名为“no mask-banner”的参数,这将防止ASA用****
policy-map type inspect esmtp new_estmp_inspect_map parameters no mask-banner policy-map global-policy class class-default inspect esmtp new_esmtp_inspect_map service-policy global-policy global
而不是去激活的好处是,你仍然可以检查其他标准,如:
match sender-address length .. match mime filename length .. match cmd line length .. match cmd rcpt count .. match body line length ..
ASA 5506X不仅默认屏蔽了SMTP横幅,而且还打乱了ehlo的回复,如下所示,其中XXXX是ASA发明。 他们必须对安全执行这个“function”的人有一个奇特的想法。
无论如何。 我不知道ESMTP的默认过滤function是打开的,因为graphics界面没有显示规则和最低的安全性。
ehlo example.com 250-email.example.net Hello [hidden IP] 250-SIZE 250-PIPELINING 250-DSN 250-ENHANCEDSTATUSCODES 250-XXXXXXXA 250-AUTH 250-8BITMIME 250-BINARYMIME 250 XXXXXXXB