在我管理的 ASA 上,有一个实施“检查 ESMTP”的策略映射。我已经回顾了它的作用,在我(相当不知情的)看来,乍一看它看起来是一件好事。然而,根据我们的域管理员的说法,它影响了从超过 50 个收件人的列表中发送大量电子邮件的能力。他们希望删除此检查以缓解问题。
ESMTP 检查是离开和放置的可靠控制,还是移除安全?如果我不想删除它,有没有办法查看控件中阻止发送邮件的内容并可能更改其中的一个元素而不是完全删除它?
是否检查 ASA 上的 ESMTP?
网络工程
思科
思科
安全
防火墙
2021-07-16 08:07:48
2个回答
您可以通过创建自定义策略映射来更改 ESMTP 检测的参数。例如,假设您想禁用横幅屏蔽并记录而不是拒绝大于 998 个字符的行:
policy-map type inspect esmtp custom_esmtp_map
parameters
no mask-banner
match header line length gt 998
log
match body line length gt 998
log
!
policy-map global_policy
class inspection_default
no inspect esmtp
inspect esmtp custom_esmtp_map
!
它只是看起来无害。:-) 实际上,思科在破坏 STMP 和 ESMTP 检查方面有着悠久的历史。老实说,它不会针对当前不断演变的威胁提供任何保护;它不使用可以定期更新的动态规则集。电子邮件过滤和检查最好由最新的专用设备完成。
据我所知, 上没有旋钮inspect esmtp。而这是足够的理由从来没有打开它:
例如,Telnet 在线路上的不同数据包中单独发送每个字符,但实际的电子邮件客户端和服务器在一个数据包中发送整个命令。如果您使用 Telnet 并键入H,Telnet 客户端会向电子邮件服务器发送一个H。由于ESMTP和SMTP检查不承认^ h为有效的命令时,ASA替换 ^ h与X,并将它传递。