Cisco ASA reescrevendo o tráfego SMTP para impedir o envio de mensagens

2

Temos um Cisco ASA 5505 (versão 8.0 (4)) que está impedindo o tráfego SMTP de saída; testes com telnet mostram que as conexões na porta 25 estão tendo tudo convertido em * s, enquanto o mesmo não acontece se o servidor SMTP for movido para a porta 26

On port 25:
220 ***************************

On port 26:
220 fuber.uberconsult.com ESMTP

A regravação também converte os comandos de saída, mas para os X's ao invés de *. Se eu enviar "HELO foo.com" o servidor recebe "XXXX XXXXXXX"

Presumivelmente, existe uma configuração de segurança em algum lugar no ASA que está fazendo isso, eu acho que como alguma forma de segurança "adaptável", mas onde está essa configuração e como desabilitá-lo?

    
por DrStalker 04.03.2010 / 01:41

3 respostas

5

Quando definimos o nosso 5510 pela primeira vez, tivemos um problema semelhante e concluímos que era mais fácil desabilitar totalmente a inspeção de pacotes SMTP.

Veja o que você tem para:

yourfirewall# show running-config policy-map

Se houver algo sobre o esmtp, você poderá desativá-lo com:

yourfirewall# configure terminal
yourfirewall(config)# policy-map global_policy
yourfirewall(config-pmap)# class inspection_default
yourfirewall(config-pmap-c)# no inspect esmtp

Eu acredito que você pode fazer o mesmo no ASDM, olhando no Firewall - > Objetos - > Inspecionar mapas - > ESMTP

    
por 04.03.2010 / 02:27
2

eu estou querendo saber se você também poderia corrigir esse problema sem globaly desativar inspeções esmtp. ao configurar um mapa de inspeção próprio, existe um parâmetro chamado "no mask-banner", isto evitará que o ASA reescreva o banner com ****

  policy-map type inspect esmtp new_estmp_inspect_map
    parameters
      no mask-banner

  policy-map global-policy
    class class-default
      inspect esmtp new_esmtp_inspect_map
  service-policy global-policy global

a vantagem em vez de desativar é que você ainda pode inspecionar outros critérios como:

    match sender-address length ..
    match mime filename length ..
    match cmd line length ..
    match cmd rcpt count ..
    match body line length ..
    
por 21.01.2011 / 12:01
1

O ASA 5506X não apenas por padrão mascara o banner SMTP, mas também embaralha as respostas ehlo, como mostrado abaixo, onde XXXX são invenções ASA. Eles devem ter uma idéia sofisticada sobre segurança daqueles que implementaram esse "recurso".

De qualquer forma. Eu não sabia que a filtragem padrão estava ativada para o ESMTP, já que as interfaces gráficas não mostram nenhuma regra e segurança mais baixa.

ehlo example.com
250-email.example.net Hello [hidden IP] 
250-SIZE 
250-PIPELINING 
250-DSN 
250-ENHANCEDSTATUSCODES 
250-XXXXXXXA 
250-AUTH 
250-8BITMIME 
250-BINARYMIME
250 XXXXXXXB
    
por 23.06.2015 / 01:10