我们遇到问题,我们不再接收外部电子邮件。 (我们有一个Exchange邮件系统,带有梭子鱼垃圾邮件filter和Watchguard硬件防火墙。)问题在于邮件似乎正在通过WatchGuard盒子,但它并没有显示在梭子鱼盒子上。 我已经和两家公司的技术人员打过电话了,他们都指着另一个盒子。
为了帮助缩小问题的范围,我将把WatchGuard的出站端口连接到集线器,并连接运行Wireshark的笔记本电脑。 我的问题是:我会看到哪些数据包会告诉我邮件是否通过Wireshark盒子? 任何人都可以推荐我应该使用什么filter,或者至less告诉我什么types的数据包(例如,他们将显示为SMTP?)。 或者,也许我应该只是在端口25上查找stream量? 提前致谢。
第一步是开始抓取垃圾邮件设备前面的数据包,理论上这些数据包在通过防火墙之后会被接收。 你想把你的捕获filter设置为“端口25”。 Wireshark的解剖器足以完成大部分的分析。 右键单击数据包,select“查看TCP会话”以获取SMTP会话的完整副本。
如果您看不到数据包,那么您的防火墙确实不会传递SMTPstream量。 你可能想自己发送一些消息来certificate你的捕获filter正在工作。 如果可能的话,在防火墙前重复testing,以certificate你已经得到了任何东西。
如果您看到的只是设备上的SYN数据包而没有响应,那么您已经find了您的罪魁祸首。 器具已经休假了。
如果您看到正常的完整SMTP对话,请在设备的出站端口上重复testing。
如果出站端口不显示SMTP通信,则说明问题出在设备内部。 这应该有助于说服供应商支持,确实是他们的问题。
如果您看到完整的stream量出站,那么问题出现在您的邮件系统中。
那么SMTP上的wireshark维基呢? 这里是一个初学者的博客文章。
结合其他选项…
1)你总是可以尝试手动telnettesting到外面的25端口,手动进行SMTP通话。 详情在这里: http : //support.microsoft.com/kb/153119
2)我不熟悉梭子鱼箱,但在大多数Linux电子邮件网关,你可以运行tcpdump(类似tcpdump端口25 -s 0 -w foo.pcap )。
-M
我会尝试插入防火墙和垃圾邮件filter之间。 如果你没有捕获任何东西,请按照你的方法。
那么,我会抓住端口25上的所有数据包,然后检查,这样你就不会错过任何由于错误的filter。