Назад | Перейти на главную страницу

Как использовать сниффер для устранения неполадок SMTP-трафика?

У нас возникла проблема, когда мы больше не получаем внешние электронные письма. (У нас есть почтовая система Exchange с фильтром спама Barracuda и аппаратным брандмауэром Watchguard.) Проблема в том, что почта проходит через ящик Watchguard, но не отображается в ящике Barracuda. Я разговаривал по телефону с техническими специалистами обеих компаний, и они оба указали пальцем на другую коробку.

Чтобы сузить проблему, я собираюсь подключить исходящий порт блока Watchguard к концентратору и подключить свой ноутбук, на котором работает Wireshark. Мой вопрос: какие пакеты я увижу, чтобы узнать, проходит ли почта через ящик Wireshark? Может ли кто-нибудь порекомендовать, какой фильтр мне использовать, или хотя бы сказать мне, какие типы пакетов (например, будут ли они отображаться как SMTP?). А может стоит просто поискать трафик на 25 порту? Заранее спасибо.

Шаг 1 - начать захват пакетов перед устройством для обработки спама, где оно теоретически принимает их после прохождения межсетевого экрана. Вы хотите установить фильтр захвата на «порт 25». Анализатор Wireshark достаточно хорош, чтобы проводить большую часть анализа самостоятельно. Щелкните пакет правой кнопкой мыши и выберите «Просмотреть сеанс TCP», чтобы получить полную расшифровку сеанса SMTP.

Если вы не видите пакетов, значит, ваш брандмауэр действительно не передает SMTP-трафик. Вы можете сами отправить несколько сообщений, чтобы убедиться, что ваш фильтр захвата работает. Если возможно, повторите тест перед вашим брандмауэром, чтобы доказать, что вы его вообще получаете.

Если все, что вы видите, - это пакеты SYN, отправляемые устройству без ответа, значит, вы нашли своего виновника. Прибор ушел в отпуск.

Если вы видите полные SMTP-разговоры, которые выглядят нормально, повторите тест на исходящем порту вашего устройства.

Если исходящий порт не показывает SMTP-трафик, значит, проблема где-то внутри устройства. Это должно помочь убедить техподдержку поставщика, что это действительно их проблема.

Если вы видите полный исходящий трафик, значит проблема где-то в вашей почтовой системе.

Как насчет вики Wirehark? SMTP? И Вот это сообщение в блоге для начинающих.

Пара других вариантов ...

1) Вы всегда можете попробовать выполнить ручную проверку telnet на порт 25 снаружи и пройти через SMTP-диалог вручную. Подробности здесь: http://support.microsoft.com/kb/153119

2) Я не знаком с ящиками Barracuda, но на большинстве почтовых шлюзов Linux вы можете просто запустить tcpdump (что-то вроде tcpdump порт 25 -s 0 -w foo.pcap).

-M

Я бы попробовал подключить между Сетевой экран и спам-фильтр. Если вы ничего не снимаете, делайте свой подход.

Что ж, я бы взял все пакеты на порту 25, а затем проверил бы, чтобы вы ничего не пропустили из-за неправильных фильтров.