none
STARTTLS работает во внутреней сети, но не работает когда соединяются из внешней сети RRS feed

  • Вопрос

  • Здраствуйте,

    Я задал этот вопрос в англоязычной версии технета, но хотел бы узнать мнение русскоязычных специалистов также.

    Подробно все тут https://social.technet.microsoft.com/Forums/exchange/en-US/582874dd-d3ac-4729-a315-b458912906f0/, а в двух словах, при тестировании из внутренней сети, сервер как положенно показывает STARTTLS в списке опций при ehlo. Однако когда user пытается подключится извне, совсем другие опции показываются. После длительного гугления и проверок вышел на статью которая говорит что проблема может заключатся в Cisco ASA firewall который мы используем. 

    1. мой post в англоязычной версии технета https://social.technet.microsoft.com/Forums/exchange/en-US/582874dd-d3ac-4729-a315-b458912906f0/
    2. статья с Cisco http://www.cisco.com/c/en/us/support/docs/security/email-security-appliance/118550-qa-esa-00.html

    Какое ваше мнение?

    --- on port 25 ---
    220 exchange.company.com Microsoft ESMTP MAIL Service ready at Fri, 7 Oct 2016 14:38:22 -0700
    ehlo me
    250-exchange.company.com Hello [192.168.xxx.xxx]
    250-SIZE
    250-PIPELINING
    250-DSN
    250-ENHANCEDSTATUSCODES
    250-STARTTLS
    250-X-ANONYMOUSTLS
    250-AUTH NTLM
    250-X-EXPS GSSAPI NTLM
    250-8BITMIME
    250-BINARYMIME
    250-CHUNKING
    250-XEXCH50
    250-XRDST
    250 XSHADOW
    quit
    221 2.0.0 Service closing transmission channel



    --- on port 587 ---
    220 exchange.company.com Microsoft ESMTP MAIL Service ready at Fri, 7 Oct 2016 14:40:49 -0700
    ehlo me
    250-exchange.company.com Hello [192.168.xxx.xxx]
    250-SIZE 20971520
    250-PIPELINING
    250-DSN
    250-ENHANCEDSTATUSCODES
    250-STARTTLS
    250-AUTH GSSAPI NTLM
    250-8BITMIME
    250-BINARYMIME
    250 CHUNKING
    quit
    221 2.0.0 Service closing transmission channel

    However, when connecting from outside, users get very different messages advertised.

    I tried using this tool http://checktls.com/perl/TestReceiver.pl and here is what I got. Apparently this narrows down to Cisco ASA firewall that we are using...

    Trying TLS on (our external IP) [(our external IP)]:25 (0):
    seconds test stage and result
    [000.085] Connected to server
    [000.168] <-- 220 ************************************************************************************************
    [000.169] We are allowed to connect
    [000.169] --> EHLO checktls.com
    [000.253] <-- 250-exchange.INTERNALnetworkdomain.com Hello [216.68.85.112]
    250-SIZE
    250-PIPELINING
    250-DSN
    250-ENHANCEDSTATUSCODES
    250-XXXXXXXA
    250-XXXXXXXXXXXXXB
    250-AUTH NTLM
    250-XXXXXXXXXXXXXXXXXC
    250-8BITMIME
    250-BINARYMIME
    250-XXXXXXXD
    250-XXXXXXE
    250-XXXXF
    250 XXXXXXG
    [000.254] We can use this server
    [000.254] TLS is not an option on this server
    [000.254] It looks like Cisco Pix "Mailguard" is not allowing STARTTLS
    [000.254] see: http://www.cisco.com/c/en/us/support/docs/security/email-security-appliance/118550-qa-esa-00.html
    [000.255] --> MAIL FROM:<test@checktls.com>
    [000.341] <-- 250 2.1.0 Sender OK
    [000.341] Sender is OK
    [000.342] --> RCPT TO:<john@EXTERNALnetworkdomain.com>
    [000.425] <-- 250 2.1.5 Recipient OK
    [000.426] Recipient OK, E-mail address proofed
    [000.426] --> QUIT
    [000.510] <-- 221 2.0.0 Service closing transmission channel

    8 октября 2016 г. 1:21

Ответы

  • Добрый день,

    в статье от Cisco вполне однозначно ответ дан.

    The problem is typically seen when you use a Cisco Pix or Cisco ASA firewall when SMTP Packet Inspection.

    И Эд вам в англоязычной части ответил, что проблема скорее всего в фильтрации или инспекции трафика на ASA.

    If you have a Cisco firewall with "SMTP Fixup" (which is what it looks like you're reporting) or "Mailguard" enabled, turn it off.

    8 октября 2016 г. 7:37

Все ответы

  • Добрый день,

    в статье от Cisco вполне однозначно ответ дан.

    The problem is typically seen when you use a Cisco Pix or Cisco ASA firewall when SMTP Packet Inspection.

    И Эд вам в англоязычной части ответил, что проблема скорее всего в фильтрации или инспекции трафика на ASA.

    If you have a Cisco firewall with "SMTP Fixup" (which is what it looks like you're reporting) or "Mailguard" enabled, turn it off.

    8 октября 2016 г. 7:37
  • Не все так однозначно...



    Also per https://support.microsoft.com/en-us/kb/320027 a way to tell if Mailguard is off is by issuing an invalid command in telnet session on port 25 and if server responds with "500 Command unrecognized" then the mailguard is off. Well, in our case, when testing from outside it responds with "500 5.3.3 Unrecognized command", which per Microsoft should mean that Mailguard is off... :-)





    --- from internal network ---
    220 exchange.company.com Microsoft ESMTP MAIL Service ready at Sat, 8 Oct 2016 17:37:49 -0700
    ehlo me
    250-exchange.company.com Hello [192.168.xxx.xxx]
    250-SIZE
    250-PIPELINING
    250-DSN
    250-ENHANCEDSTATUSCODES
    250-STARTTLS
    250-X-ANONYMOUSTLS
    250-AUTH NTLM
    250-X-EXPS GSSAPI NTLM
    250-8BITMIME
    250-BINARYMIME
    250-CHUNKING
    250-XEXCH50
    250-XRDST
    250 XSHADOW
    goodmorning
    500 5.3.3 Unrecognized command
    quit
    221 2.0.0 Service closing transmission channel




    --- from external network ---
    220 ************************************************************************************************
    ehlo me
    250-exchange.company.com Hello [77.185.xxx.xxx]
    250-SIZE
    250-PIPELINING
    250-DSN
    250-ENHANCEDSTATUSCODES
    250-XXXXXXXA
    250-XXXXXXXXXXXXXB
    250-AUTH NTLM
    250-XXXXXXXXXXXXXXXXXC
    250-8BITMIME
    250-BINARYMIME
    250-XXXXXXXD
    250-XXXXXXE
    250-XXXXF
    250 XXXXXXG
    goodmorning
    500 5.3.3 Unrecognized command
    quit
    221 2.0.0 Service closing transmission channel

    Test Mailguard for proper function

    Because the Mailguard feature may return an "OK" response to all commands, it may be hard to determine whether it is active. To determine whether the Mailguard feature is blocking commands that are not valid, follow these steps. 

    Note The following steps are based on PIX or ASA software version 4.0 and 4.1. To test later versions of PIX or ASA software (version 4.2 and later), use the  fixup protocol smtp 25 command and the appropriate static and conduit statements for your mail server.

    With Mailguard turned off

    1. On the PIX or ASA firewall, use the static and conduit commands to allow all hosts in on TCP port 25 (SMPT).
    2. Establish a telnet session on the external interface of the PIX or ASA firewall on port 25.
    3. Type a command that is not valid, and then press ENTER. For example, type goodmorning, and then press ENTER.

      You receive the following response:
      500 Command unrecognized.

    With Mailguard turned on

    1. Use the mailhost or the fixup protocol smtp 25 command to turn on the Mailguard feature on the external interface of the PIX or ASA firewall.
    2. Establish a telnet session on the external interface of the PIX or ASA firewall on port 25.
    3. Type a command that is not valid, and then press ENTER. For example, type goodmorning, and then press ENTER.

      You receive the following response:
      OK.
     When the Mailguard feature is turned off, the mail server responds to the command that is not valid with the "500 Command unrecognized" message. However, when the Mailguard feature is turned on, the PIX or ASA firewall intercepts the command that is not valid, because the firewall passes only the seven minimum required SMTP commands. The PIX or ASA firewall responds with "OK" whether the command is valid or not. 
    9 октября 2016 г. 0:48

  • 220 ************************************************************************************************

    В данном случае всё совершенно однозначно: забитое звёздочками приглашение от почтового сервера - явный признак включенной фильтрации SMTP на ASA/PIX.


    Слава России!

    9 октября 2016 г. 1:37
  • Тогда такой вопрос. Если я хочу использовать Mutual Authentication (Enforced TLS) режим с нашими frontend серверами, это вообще возможно при включенной SMTP фильтрации на Cisco ASA (он между нами и frontend серверами, которые в интернете)? Насколько я понимаю в том режиме соединение происходит сразу на уровне TLS без искания опции STARTTLS при подключении.
    9 октября 2016 г. 1:52
  • Тогда такой вопрос. Если я хочу использовать Mutual Authentication (Enforced TLS) режим с нашими frontend серверами, это вообще возможно при включенной SMTP фильтрации на Cisco ASA (он между нами и frontend серверами, которые в интернете)? Насколько я понимаю в том режиме соединение происходит сразу на уровне TLS без искания опции STARTTLS при подключении.

    Скорее всего "не взлетит". Но вам ничего не мешает попробовать, ASA же у вас)
    9 октября 2016 г. 6:53