Cisco ASA przepisuje ruch SMTP, aby zapobiec wysyłaniu poczty

2

Posiadamy Cisco ASA 5505 (wersja 8.0 (4)), która zapobiega wychodzącemu ruchowi SMTP; testowanie za pomocą telnet pokazuje, że połączenia na porcie 25 są konwertowane na * s, podczas gdy serwer SMTP jest przenoszony na port 26

On port 25:
220 ***************************

On port 26:
220 fuber.uberconsult.com ESMTP

Przepisywanie również konwertuje polecenia wychodzące, ale na X zamiast *. Jeśli wyślę „HELO foo.com”, serwer otrzyma „XXXX XXXXXXX”

Przypuszczam, że gdzieś w ASA jest ustawienie bezpieczeństwa, które to robi, domyślam się, że jest to jakaś „adaptacyjna” ochrona, ale gdzie to ustawienie i jak je wyłączyć?

DrStalker
źródło

Odpowiedzi:

5

Kiedy po raz pierwszy konfigurowaliśmy 5510, mieliśmy podobny problem i doszedłem do wniosku, że najłatwiej jest całkowicie wyłączyć kontrolę pakietów SMTP.

Spójrz na to, co masz:

yourfirewall# show running-config policy-map

Jeśli jest tam coś o esmtp, możesz to wyłączyć za pomocą:

yourfirewall# configure terminal
yourfirewall(config)# policy-map global_policy
yourfirewall(config-pmap)# class inspection_default
yourfirewall(config-pmap-c)# no inspect esmtp

Wierzę, że możesz zrobić to samo w ASDM, patrząc w Firewall -> Obiekty -> Sprawdź mapy -> ESMTP

David
źródło
2

Zastanawiam się, czy możesz również rozwiązać ten problem bez globalnego wyłączenia inspekcji ESMTP. podczas konfigurowania własnej mapy inspekcji istnieje parametr o nazwie „no mask-banner”, co uniemożliwi ASA przepisywanie banera za pomocą ****

  policy-map type inspect esmtp new_estmp_inspect_map
    parameters
      no mask-banner

  policy-map global-policy
    class class-default
      inspect esmtp new_esmtp_inspect_map
  service-policy global-policy global

zaletą zamiast dezaktywacji jest to, że nadal możesz sprawdzać inne kryteria, takie jak:

    match sender-address length ..
    match mime filename length ..
    match cmd line length ..
    match cmd rcpt count ..
    match body line length ..
sam
źródło
1

ASA 5506X nie tylko domyślnie maskuje transparent SMTP, ale także szyfruje odpowiedzi ehlo, jak pokazano poniżej, gdzie XXXX to wynalazki ASA. Muszą mieć pomysłowy pomysł na bezpieczeństwo tych, którzy zaimplementowali tę „funkcję”.

Tak czy siak. Nie miałem pojęcia, że ​​domyślne filtrowanie jest włączone dla ESMTP, ponieważ interfejsy graficzne nie pokazują żadnej reguły i najniższego poziomu bezpieczeństwa.

ehlo example.com
250-email.example.net Hello [hidden IP] 
250-SIZE 
250-PIPELINING 
250-DSN 
250-ENHANCEDSTATUSCODES 
250-XXXXXXXA 
250-AUTH 
250-8BITMIME 
250-BINARYMIME
250 XXXXXXXB
Jacek
źródło