Como usar o sniffer para solucionar problemas de tráfego SMTP?

Navegue suas respostas
4

Estamos com um problema em que não estamos mais recebendo e-mails externos. (Temos um sistema de correio do Exchange, com um filtro de spam Barracuda e firewall de hardware do Watchguard.) O problema é que o correio parece estar passando pela caixa de proteção, mas não está aparecendo na caixa do Barracuda. Eu estive no telefone com técnicos das duas empresas e ambos apontam o dedo para a outra caixa.

Para ajudar a diminuir o problema, vou ligar a porta de saída da caixa de Watchguard a um hub e conectar meu laptop, que está executando o Wireshark. Minha pergunta é: que pacotes eu verei que me dirá se o e-mail está passando pela caixa do Wireshark? Alguém pode recomendar qual filtro devo usar, ou pelo menos me dizer quais tipos de pacotes (por exemplo, eles serão exibidos como SMTP?). Ou talvez devesse procurar tráfego na porta 25? Agradecemos antecipadamente.

    
por johnnyb10 05.08.2010 / 14:48

4 respostas

9

O passo 1 é começar a pegar pacotes na frente do appliance de spam, onde teoricamente ele os recebe depois de passar pelo firewall. Você quer definir o seu filtro de captura para "porta 25". O dissecador do Wireshark é bom o suficiente para fazer a maior parte da análise. Clique com o botão direito em um pacote, selecione "Ver sessão TCP" para obter uma transcrição completa de uma sessão SMTP.

Se você não vir nenhum pacote, o firewall realmente não está passando o tráfego SMTP. Você pode enviar algumas mensagens para provar que seu filtro de captura está funcionando. Repita o teste na frente do seu firewall, se possível, para provar que você está recebendo algum.

Se tudo que você vê são pacotes SYN para o appliance sem resposta, então você encontrou o seu culpado. O aparelho foi de férias.

Se você vir conversas SMTP completas com aparência normal, repita o teste na porta de saída de seu appliance.

Se a porta de saída não mostrar nenhum tráfego SMTP, você sabe que o problema está dentro do dispositivo em algum lugar. Isso deve ajudar a convencer o suporte do fornecedor de que realmente é problema deles.

Se você vir a saída completa do tráfego, o problema está no seu sistema de email em algum lugar.

    
por 05.08.2010 / 16:29
3

Que tal o wiki wireshark em SMTP ? E o aqui é uma postagem de blog para iniciantes.

    
por 05.08.2010 / 14:56
1

Algumas outras opções ...

1) Você pode sempre tentar testes telnet manuais para a porta 25 no lado externo e passar pela conversa SMTP manualmente. Detalhes aqui: link

2) Eu não estou familiarizado com caixas barracuda mas na maioria dos gateways de e-mail linux, você pode apenas executar o tcpdump (algo como tcpdump porta 25 -s 0 -w foo.pcap ).

-M

    
por 07.08.2010 / 00:57
0

Eu tentaria conectar entre o Firewall e o filtro de spam. Se você não está capturando nada, faça sua abordagem.

Bem, eu pegaria todos os pacotes na porta 25 e depois inspecionaria, assim você com certeza não perderia nada devido a filtros errados.

    
por 05.08.2010 / 14:55

Tags

Apache 2.2 reescrever - Forçar todos os pedidos para index.html Automatize o proftpd-basic no ubuntu usando o apt-get