求教在防火墻后郵件服務器的問題

公司的郵件服務器在CISO的PIX防火墻后面,用的是私有IP,通過映射到公網,在公網用的是公網IP,在內網收發都正常,但是在公網不能發信,報錯如下:
553sorry,that domain isn't in my list of allowed rcpthosts (5.7.1)


請問如何解決?

zhbing 回復于：2003-05-23 13:11:10

順便問一下，henkon的防火墻Cisco的嗎？

gadfly 回復于：2003-05-22 10:25:25

不需要修改，填入你服務器的域就可以

tutux 回復于：2003-05-22 10:27:48

[quote:2d1140b1a8="ncwangw"]公司的郵件服務器在CISO的PIX防火墻后面,用的是私有IP,通過映射到公網,在公網用的是公網IP,在內網收發都正常,但是在公網不能發信,報錯如下: 553sorry,that domain isn't in my list of allowed rcpthosts (5.7.1) ..........[/quote:2d1140b1a8] 我假設你所說的“公網發信”是指“從公網通過你的qmail smtpd向別的域發信，比如發給user@msn.com”,那么，你應該配置qmail的smtp 發信驗證，資料很多，配置好后，在公網發信時，smtp設置中設置需要smtp驗證即可。 為什么內網能發？是因為你的qmail配置為對內網網段不需要smtp驗證或對內網網段開放轉發，難道這不是你作的配置？

zhbing 回復于：2003-05-23 12:55:37

我的情況也是這樣，防火墻為Cisco Pix 515E，做了NAT，服務器放在DMZ區作外部地址映射，從外部Telnet郵件服務器25端口，EHLO命令識別不了，shit!!!

haohaoo 回復于：2003-05-23 13:15:06

[quote:dcf5183d80="ncwangw"]情況不是你們說得那樣。我是加了SMTP認證的，安裝配置因該不會有問題。我的問題是怎么才能穿過防火墻。公網發信指的是在防火墻外面發信。一般mail服務器就是一個IP的，很少和我這里這樣內網一個IP，過防火墻到公網又..........[/quote:dcf5183d80] 你telnet 25不通就說明你的防火墻沒有對外開放25了吧，先到防火墻那里去映射25和110到你的內網mail服務器

lihn 回復于：2003-04-21 08:44:18

我也遇到了，好像是修改rpchosts,記不清了

ncwangw 回復于：2003-05-21 21:50:46

up 還請各位大哥幫忙想想啊

gadfly 回復于：2003-05-22 00:45:38

smtp server需要auth么？ 如果需要，客戶端是否配置auth了。如果沒有，發往外域，就是這個錯。 如果不需要，客戶端的mailfrom是否是/var/qmail/control/rcpthosts中配置的域，如果不是，就是這個錯

ncwangw 回復于：2003-05-22 08:46:38

郵件服務器在內網的ip是192.168.0.1，通過防火墻映射到公網的ip是211.141.95.189，請問rcpthosts應該如何修改？

ncwangw 回復于：2003-05-22 12:09:22

情況不是你們說得那樣。我是加了SMTP認證的，安裝配置因該不會有問題。我的問題是怎么才能穿過防火墻。公網發信指的是在防火墻外面發信。一般mail服務器就是一個IP的，很少和我這里這樣內網一個IP，過防火墻到公網又是另外一個IP的。 我現在在內網發郵件也是要通過SMTP認證才能給別的域發信的，在防火墻外面就沒有辦法通過SMTP認證，沒有辦法給別的域發信。 防火墻是CISCO公司的。 這是在內網telnet的結果 telnet 192.168.0.11 25 220 5235.org ESMTP 這是在防火墻外面telnet的結果 telnet  211.141.95.189 25 *************** 除了**就什么都沒有顯示 另外： $ cat rcpthosts 5235.org

gadfly 回復于：2003-05-22 12:55:51

呵呵，前幾天henkon也遇到了這個問題，和你的現象一摸一樣， 我和他說是isp定向不對，看來情況不是這樣。 不知道他解決沒有，如果有個環境就好了。 不過我估計還是nat的問題

白狐貍 回復于：2003-05-22 16:10:00

我給幾個學校做了Qmail郵件系統，都是在內網做的，通過防火墻映射到公網，沒一點問題啊，也不需要什么特殊設置的。

gadfly 回復于：2003-05-22 16:15:37

剛才到heckon的機器上測試了一下，包括用log和tcpdump，發現了smtp的請求：help, ehlo, auth, 都被改成了XXXX，所以smtpd無法理解這些命令，自然，就沒有auth，就會出現上述的錯誤。 不知道freebsd下面又沒有分析或截獲smtp應用包的工具，否則就看得更清楚了

ncwangw 回復于：2003-05-22 16:27:07

[quote:368e900499="gadfly"]剛才到heckon的機器上測試了一下，包括用log和tcpdump，發現了smtp的請求：help, ehlo, auth, 都被改成了XXXX，所以smtpd無法理解這些命令，自然，就沒有auth，就會出現上述的錯誤。 不知道freebsd下面又沒有分析..........[/quote:368e900499] 對??！我的就是這樣?。?！全部是******

gadfly 回復于：2003-05-22 16:37:20

你可以用sniffer截獲防火墻到主機間的smtp請求包看看， 檢查是不是內容被修改了。 如果是，就得問問防火墻的管理員了，是否修改了內容。 另外你也可以在內網直接連內部ip，也用sniffer截包，比較兩種情況，就能確定問題所在了

gadfly 回復于：2003-05-23 13:01:23

找你們網管問問看，是不是nat配置的有問題。 今天下午，我要和henkon問問他們isp的技術人員，看看具體問題是什么？

zhbing 回復于：2003-05-23 13:58:18

Cisco Pix 515E有一個 fixup protocol smtp 25命令 把他禁止掉就可以了 no fixup protocol smtp 25

gadfly 回復于：2003-05-23 14:07:36

[quote:40baebb2f8="zhbing"] Cisco Pix 515E有一個  fixup protocol smtp 25命令 把他禁止掉就可以了  no fixup protocol smtp 25 [/quote:40baebb2f8] 終于找到原因了，. henkon人不在，找到原因就好辦

zhbing 回復于：2003-05-23 14:08:18

請參考"Cisco PIX Firewall Command Reference Version 6.1"的4-23，關于fixup protocol smtp的解釋： The fixup protocol smtp command enables the Mail Guard feature, which only lets mail servers receive the RFC 821, section 4.5.1 commands of HELO, MAIL, RCPT, DATA, RSET, NOOP, and QUIT. All other commands are rejected with the "500 command unrecognized" reply code.  As of version 5.1 and later, the fixup protocol smtp command changes the characters in the SMTP banner to asterisks except for the "2", "0", "0 " characters. Carriage return (CR) and linefeed (LF) characters are ignored.  In version 4.4, all characters in the SMTP banner are converted to asterisks.  而fixup protocol smtp的特性在Cisco PIX 515E中的防火墻是默認的。這個問題竟然折騰了我一個星期

gadfly 回復于：2003-05-23 14:11:11

還真是巧，這兩天4，5個人都遇到這個問題

ncwangw 回復于：2003-05-23 14:14:45

[quote:18b2bbbd6c="zhbing"]Cisco Pix 515E有一個 fixup protocol smtp 25命令 把他禁止掉就可以了 no fixup protocol smtp 25[/quote:18b2bbbd6c] 我覺得沒有什么道理??？這條命令只是說明SMTP是25端口而已啊

zhbing 回復于：2003-05-23 14:21:52

[quote:1b8244fee5="ncwangw"] 我覺得沒有什么道理??？這條命令只是說明SMTP是25端口而已啊[/quote:1b8244fee5] 你看一下他的英文解釋，實際上他啟動了一個叫Mail Guard的爛東西（害人不淺），把Auth等命令全部給替換了并返回500 command unrecognized。

ncwangw 回復于：2003-05-23 14:32:43

[quote:8b8eb6126f="zhbing"] 你看一下他的英文解釋，實際上他啟動了一個叫Mail Guard的爛東西（害人不淺），把Auth等命令全部給替換了并返回500 command unrecognized。[/quote:8b8eb6126f] yeah?。。。。。。。?！ 我也成功了，該死的 Pix 525?。。。。。。。。。。。。。。。。?！1 zhbing我愛死你了?。。。。。。。。。。。。。。。。。。。?！ 你是我的偶像?。。。。。。。。。。。。。。。。。。。。?！ yeah?。。。。。。。?！

zhbing 回復于：2003-05-23 14:39:43

[quote:b5dfcb9b61="ncwangw"] yeah?。。。。。。。?！ 我也成功了，該死的 Pix 525?。。。。。。。。。。。。。。。。?！1 zhbing我愛死你了?。。。。。。。。。。。。。。。。。。。?！ 你是我的偶像?。。。。。。。。。。。。。。。。?！..........[/quote:b5dfcb9b61] 結果出來后再看，其是原因很簡單，Cisco Mail Guard并不支持ESMTP，可當時卻束手無策。按說Cisco 515E的時間應該比ESMTP要晚吧，應該建議Cisco更新一下他的Mail Guard特型。不知PIX Version 6.1(4)以上的版本是否已經支持ESMTP了。

tutux 回復于：2003-05-23 14:45:35

很好，這個問題很有價值。

zhbing 回復于：2003-05-23 14:50:32

我已經給Cisco發信了，不知何時能得到他們的回復

wusolo 回復于：2003-05-23 14:55:18

暈倒，cisco也做這種爛事

ncwangw 回復于：2003-05-23 15:09:56

[quote:ba1c26f570="zhbing"] 結果出來后再看，其是原因很簡單，Cisco Mail Guard并不支持ESMTP，可當時卻束手無策。按說Cisco 515E的時間應該比ESMTP要晚吧，應該建議Cisco更新一下他的Mail Guard特型。不知PIX Version 6.1(4)以上的版本是否..........[/quote:ba1c26f570] 我現在的版本是Cisco PIX Firewall Version 6.3(1)，還是有這個問題。今天終于解決了，真是太謝謝你了。哈哈哈哈

zhbing 回復于：2003-05-23 15:59:14

[quote:cfa40737b2="ncwangw"] 我現在的版本是Cisco PIX Firewall Version 6.3(1)，還是有這個問題。今天終于解決了，真是太謝謝你了。哈哈哈哈[/quote:cfa40737b2] 不用謝。不知道Cisco能不能修改這個問題，我已經發了郵件了，不過我聽說只有他們的主管看到了這個問題才有可能被解決，不知道是不是真的？

xhhuang 回復于：2003-06-03 22:16:31

思科工程師的回答是"PIX防火墻設計的時候就這樣",其實PIX防火墻還有一個缺陷,當你的WEB服務器是通過映射發布的話,你內網通過防火墻的上網的用戶,是不能訪問自己的WEB服務器. 我們公司花了好幾萬買的東東,還不如自己用LINUX配一個呢.價格便宜量又足.但是我想那個東西應該有解決的辦法,我也正在尋找途徑.

gadfly 回復于：2003-06-03 22:18:40

呵呵PIX貴呀，還有服務，還是個黑匣子，看起來cool。 linux就得DIY了。

firebird 回復于：2003-06-03 22:30:30

這個問題是在什么環境下產生的，我的是PIX525，也有這么一句話 fixup protocol smtp 25。但是我的郵件系統很正常，誰能否最后總結一下這個問題產生的原因，避免下次也出現這樣的錯誤。

ncwangw 回復于：2003-06-05 22:42:11

[quote:da17cbfa93="firebird"]這個問題是在什么環境下產生的，我的是PIX525，也有這么一句話 fixup protocol smtp 25。但是我的郵件系統很正常，誰能否最后總結一下這個問題產生的原因，避免下次也出現這樣的錯誤。[/quote:da17cbfa93]      SMTP可以通過，ESMTP通不過的，520、525都一樣 ：）

wolbit 回復于：2003-06-05 22:56:29

應該是是防火墻配置的有問題吧。是否作了反向nat？即將防火墻的25端口映射為私網mail服務器的25端口？

wohaopapa 回復于：2003-06-08 08:55:11

我的也是這個問題  我用光貓上網的 請問是讓電信局的網管改設置嘛？

原文轉自：http://www.kjueaiud.com