Cisco ASA переписывает SMTP-трафик для предотвращения отправки почты

Когда мы впервые установили наш 5510, у нас была аналогичная проблема, и я понял, что проще всего полностью отключить проверку пакетов SMTP.

Взгляните, для чего у вас есть:

yourfirewall# show running-config policy-map

Если там есть что-нибудь о esmtp, вы можете отключить его с помощью:

yourfirewall# configure terminal
yourfirewall(config)# policy-map global_policy
yourfirewall(config-pmap)# class inspection_default
yourfirewall(config-pmap-c)# no inspect esmtp

Я считаю, что вы можете сделать то же самое в ASDM, посмотрев в Firewall -> Objects -> Inspect Maps -> ESMTP

Мне интересно, можете ли вы решить эту проблему без глобального отключения проверок esmtp. при настройке собственной карты проверки есть параметр под названием «no mask-banner», который не позволит ASA переписать баннер с ****

  policy-map type inspect esmtp new_estmp_inspect_map
    parameters
      no mask-banner

  policy-map global-policy
    class class-default
      inspect esmtp new_esmtp_inspect_map
  service-policy global-policy global

Преимущество вместо деактивации заключается в том, что вы по-прежнему можете проверять другие критерии, например:

    match sender-address length ..
    match mime filename length ..
    match cmd line length ..
    match cmd rcpt count ..
    match body line length ..

ASA 5506X не только по умолчанию маскирует баннер SMTP, но также шифрует ответы ehlo, как показано ниже, где XXXX - это изобретения ASA. Они должны иметь хорошее представление о безопасности тех, кто реализовал эту «фичу».

Тем не мение. Я не имел ни малейшего представления о том, что для ESMTP была включена фильтрация по умолчанию, поскольку графические интерфейсы не отображают никаких правил и имеют самый низкий уровень безопасности.

ehlo example.com
250-email.example.net Hello [hidden IP] 
250-SIZE 
250-PIPELINING 
250-DSN 
250-ENHANCEDSTATUSCODES 
250-XXXXXXXA 
250-AUTH 
250-8BITMIME 
250-BINARYMIME
250 XXXXXXXB