현상
다음 중 하나 이상의 현상이 나타날 수 있습니다.
|
• |
인터넷 기반 전자 메일 메시지를 받을 수 없습니다. |
|
• |
첨부 파일이 포함된 전자 메일 메시지를 보낼 수 없습니다. |
|
• |
포트 25에서 Exchange 2000 서버와의 텔넷 세션을 설정할 수 없습니다. |
|
• |
Exchange 2000 서버로 EHLO 명령을 보내면 "Command unrecognized" 또는 "OK" 응답이 표시됩니다. |
|
• |
특정 도메인에서 메일을 보내거나 받을 수 없습니다. |
|
• |
POP3(Post Office Protocol version 3) 인증 관련 문제 - 550 5.7.1 로컬 서버에서 릴레이가 거부됩니다. |
|
• |
같은 전자 메일 메시지가 5~6번 정도 중복 전송되는 문제가 있습니다. |
|
• |
같은 SMTP(Simple Mail Transfer Protocol) 메시지가 여러 번 중복 수신됩니다. |
원인
다음과 같은 경우 이 문제가 발생할 수 있습니다.
|
• |
Exchange 2000 서버가 Cisco PIX 방화벽 장치 뒤에 있는 경우 |
|
• |
PIX 방화벽의 Mailguard 기능이 설정되어 있는 경우 |
|
• |
ESMTP(Extended Simple Mail Transfer Protocol) 명령인 Auth 및 Auth login 명령이 방화벽에 의해 무시되어 사용자가 비로컬 도메인에서 릴레이하고 있는 것으로 간주되는 경우 |
Cisco PIX 방화벽에서 Mailguard 기능이 실행되고 있는지 여부를 확인하려면 MX 레코드의 IP 주소에 텔넷으로 연결한 후 다음과 유사한 응답이 나타나는지 확인합니다.
220*******************************************************0*2******0***********************
2002*******2***0*00
Old versions of Pix:
220 SMTP/cmap_________________________________________ read
자세한 내용을 보려면 다음 Cisco 웹 사이트를 방문하십시오.
http://www.cisco.com/en/US/tech/tk331/tk897/tsd_technology_support_sub-protocol_home.html (http://www.cisco.com/en/US/tech/tk331/tk897/tsd_technology_support_sub-protocol_home.html)
http://www.cisco.com/warp/public/110/22.html (http://www.cisco.com/warp/public/110/22.html)
참고: ESMTP 서버가 PIX 방화벽 뒤에 있으면 Mailguard 기능을 해제해야 메일을 올바르게 주고 받을 수 있습니다. 또한 포트 25에 텔넷 세션을 설정하면 특히 문자 모드를 사용하는 텔넷 클라이언트에서 fixup protocol smtp 명령이 수행되지 않을 수 있습니다.
해결 방법
이 문제를 해결하려면 PIX 방화벽의 Mailguard 기능을 해제하십시오.
경고: ESMTP 서버가 PIX 방화벽 뒤에 있으면 Mailguard 기능을 해제해야 메일을 올바르게 주고 받을 수 있습니다. 포트 25에 대해 텔넷 명령을 사용하면 fixup protocol smtp 명령이 수행되지 않으며 이는 문자 모드를 수행하는 텔넷 클라이언트에서 더 자주 나타납니다.
PIX 방화벽의 Mailguard 기능을 해제하려면
|
1. |
텔넷 세션을 설정하거나 콘솔을 사용하여 PIX 방화벽에 로그온합니다. |
|
2. |
enable을 입력한 다음 Enter 키를 누릅니다. |
|
3. |
암호를 입력하라는 메시지가 나타나면 암호를 입력한 다음 Enter 키를 누릅니다. |
|
4. |
configure terminal을 입력한 다음 Enter 키를 누릅니다. |
|
5. |
no fixup protocol smtp 25를 입력한 다음 Enter 키를 누릅니다. |
|
6. |
write memory를 입력한 다음 Enter 키를 누릅니다. |
|
7. |
PIX 방화벽을 다시 시작하거나 다시 로드합니다. |
자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
295164 (http://support.microsoft.com/kb/295164/) XCON: 인증 릴레이를 사용 가능하게 설정하면 SMTP 클라이언트에게 릴레이가 금지되었다는 오류 메시지가 나타난다
추가 정보
PIX 소프트웨어의 Mailguard 기능(이전 버전에서는 Mailhost라고도 함)은 SMTP 트래픽을 필터링합니다. PIX 소프트웨어 버전 4.0 및 4.1에서는 Mailguard를 구성할 때 mailhost 명령을 사용하고, PIX 소프트웨어 버전 4.2 이상에서는 fixup protocol smtp 25 명령을 사용합니다.
참고: 메일 서버에 대한 고정 IP 주소 할당 및 conduit 문도 있어야 합니다.
Mailguard가 구성되어 있으면 RFC(Request For Comment) 821, 4.5.1 조항에서 설명한 것과 같이 SMTP에 꼭 필요한 일곱 개의 명령만 사용할 수 있습니다. 이 명령은 다음과 같습니다.
HELO
MAIL
RCPT
DATA
RSET
NOOP
QUIT
KILL, WIZ 등의 다른 명령은 PIX 방화벽에서 메일 서버로 전달되지 않습니다. 이전 버전의 PIX 방화벽에서는 차단된 명령에 대해서도 "OK" 응답을 반환합니다. 이는 차단된 명령을 공격자가 알 수 없도록 하기 위한 것입니다.
RFC 821을 보려면 다음 RFC 웹 사이트를 방문하십시오.
http://www.faqs.org/rfcs/rfc821.html (http://www.faqs.org/rfcs/rfc821.html)
다른 모든 명령은 "500 Command unrecognized"라는 응답과 함께 거부됩니다.
펌웨어 버전이 5.1 이상인 Cisco PIX 방화벽에서 fixup protocol smtp 명령은 SMTP 배너 문자를 "2", "0", "0 " 문자만 제외하고는 모두 별표로 바꿉니다. 캐리지 리턴(CR)과 줄 바꿈(LF) 문자는 무시됩니다. 버전 4.4에서는 SMTP 배너의 모든 문자가 별표로 바뀝니다.
Mailguard 기능 테스트
Mailguard 기능은 모든 명령에 대해 "OK" 응답을 반환할 수 있으므로 활성화 여부를 확인하기가 어려울 수 있습니다. Mailguard 기능이 잘못된 명령을 차단하고 있는지 확인하려면 다음 단계를 수행하십시오.
참고: 다음 단계는 PIX 소프트웨어 버전 4.0 및 4.1을 기준으로 합니다. 이후 버전(버전 4.2 이상)의 PIX 소프트웨어를 테스트하려면 메일 서버에 대해 fixup protocol smtp 25 명령과 적절한 static 및 conduit 문을 사용하십시오.
Mailguard 기능이 해제된 경우
|
1. |
PIX 방화벽에서 static 및 conduit 명령을 사용하여 TCP 포트 25(SMPT)에서 모든 호스트를 받아들입니다. |
|
2. |
포트 25에서 PIX 방화벽의 외부 인터페이스에 텔넷 세션을 설정합니다. |
|
3. |
잘못된 명령을 입력한 다음 Enter 키를 누릅니다. 예를 들어, goodmorning을 입력한 다음 Enter 키를 누릅니다. 500 Command unrecognized. |
Mailguard 기능이 설정된 경우
|
1. |
mailhost 또는 fixup protocol smtp 25 명령을 사용하여 PIX 방화벽의 외부 인터페이스에 대해 Mailguard 기능을 설정합니다. |
|
2. |
포트 25에서 PIX 방화벽의 외부 인터페이스에 텔넷 세션을 설정합니다. |
|
3. |
잘못된 명령을 입력한 다음 Enter 키를 누릅니다. 예를 들어, goodmorning을 입력한 다음 Enter 키를 누릅니다. OK. |
Mailguard 기능이 해제된 경우 메일 서버는 잘못된 명령에 대해 "500 Command unrecognized"라는 메시지로 응답합니다. 그러나 Mailguard 기능이 설정되어 있으면 PIX 방화벽에서는 SMTP에 꼭 필요한 일곱 개의 SMTP 명령만 전달하므로 잘못된 명령을 차단합니다. PIX 방화벽은 명령이 유효한지 여부에 상관없이 항상 "OK"로 응답합니다.
기본적으로 PIX 방화벽은 모든 외부 연결에서 내부 호스트에 액세스하지 못하도록 합니다. 외부 액세스를 허용하려면 static, access-list 및 access-group 문을 사용하십시오. 이러한 명령에 대한 자세한 내용은 다음 Cisco 웹 사이트를 참조하십시오.
http://www.cisco.com/univercd/cc/td/doc/product/iaabu/pix/pix_60/config/commands.htm (http://www.cisco.com/univercd/cc/td/doc/product/iaabu/pix/pix_60/config/commands.htm)
Cisco PIX 방화벽을 구성하는 방법에 대한 자세한 내용은 다음 Cisco 웹 사이트를 참조하십시오.
http://www.cisco.com/univercd/cc/td/doc/product/iaabu/pix/pix_v52/config/commands.htm#xtocid1604922 (http://www.cisco.com/univercd/cc/td/doc/product/iaabu/pix/pix_v52/config/commands.htm#xtocid1604922)
http://www.cisco.com/warp/public/707/PIXfirewallSMTPfilter-pub.shtml (http://www.cisco.com/warp/public/707/PIXfirewallSMTPfilter-pub.shtml)
http://www.cisco.com/warp/public/110/22.html (http://www.cisco.com/warp/public/110/22.html)
이 문서에 나와 있는 다른 공급업체 제품은 Microsoft와 무관한 회사에서 제조한 것입니다. Microsoft는 이들 제품의 성능이나 신뢰성에 관하여 명시적이든 묵시적이든 어떠한 보증도 하지 않습니다.
이 문서에 포함된 다른 공급업체의 연락처 정보는 기술 지원을 받는 데 도움을 주기 위한 것입니다. 이 연락처 정보는 예고 없이 변경될 수 있습니다. Microsoft는 이러한 다른 공급업체 연락처 정보의 정확성을 보증하지 않습니다.