求教在防火墙后邮件服务器的问题

领测软件测试网
公司的邮件服务器在CISO的PIX防火墙后面,用的是私有IP,通过映射到公网,在公网用的是公网IP,在内网收发都正常,但是在公网不能发信,报错如下:
553sorry,that domain isn't in my list of allowed rcpthosts (5.7.1)


请问如何解决?

zhbing 回复于：2003-05-23 13:11:10

顺便问一下，henkon的防火墙Cisco的吗？

gadfly 回复于：2003-05-22 10:25:25

不需要修改，填入你服务器的域就可以

tutux 回复于：2003-05-22 10:27:48

[quote:2d1140b1a8="ncwangw"]公司的邮件服务器在CISO的PIX防火墙后面,用的是私有IP,通过映射到公网,在公网用的是公网IP,在内网收发都正常,但是在公网不能发信,报错如下: 553sorry,that domain isn't in my list of allowed rcpthosts (5.7.1) ..........[/quote:2d1140b1a8] 我假设你所说的“公网发信”是指“从公网通过你的qmail smtpd向别的域发信，比如发给user@msn.com”,那么，你应该配置qmail的smtp 发信验证，资料很多，配置好后，在公网发信时，smtp设置中设置需要smtp验证即可。 为什么内网能发？是因为你的qmail配置为对内网网段不需要smtp验证或对内网网段开放转发，难道这不是你作的配置？

zhbing 回复于：2003-05-23 12:55:37

我的情况也是这样，防火墙为Cisco Pix 515E，做了NAT，服务器放在DMZ区作外部地址映射，从外部Telnet邮件服务器25端口，EHLO命令识别不了，shit!!!

haohaoo 回复于：2003-05-23 13:15:06

[quote:dcf5183d80="ncwangw"]情况不是你们说得那样。我是加了SMTP认证的，安装配置因该不会有问题。我的问题是怎么才能穿过防火墙。公网发信指的是在防火墙外面发信。一般mail服务器就是一个IP的，很少和我这里这样内网一个IP，过防火墙到公网又..........[/quote:dcf5183d80] 你telnet 25不通就说明你的防火墙没有对外开放25了吧，先到防火墙那里去映射25和110到你的内网mail服务器

lihn 回复于：2003-04-21 08:44:18

我也遇到了，好像是修改rpchosts,记不清了

ncwangw 回复于：2003-05-21 21:50:46

up 还请各位大哥帮忙想想啊

gadfly 回复于：2003-05-22 00:45:38

smtp server需要auth么？ 如果需要，客户端是否配置auth了。如果没有，发往外域，就是这个错。 如果不需要，客户端的mailfrom是否是/var/qmail/control/rcpthosts中配置的域，如果不是，就是这个错

ncwangw 回复于：2003-05-22 08:46:38

邮件服务器在内网的ip是192.168.0.1，通过防火墙映射到公网的ip是211.141.95.189，请问rcpthosts应该如何修改？

ncwangw 回复于：2003-05-22 12:09:22

情况不是你们说得那样。我是加了SMTP认证的，安装配置因该不会有问题。我的问题是怎么才能穿过防火墙。公网发信指的是在防火墙外面发信。一般mail服务器就是一个IP的，很少和我这里这样内网一个IP，过防火墙到公网又是另外一个IP的。 我现在在内网发邮件也是要通过SMTP认证才能给别的域发信的，在防火墙外面就没有办法通过SMTP认证，没有办法给别的域发信。 防火墙是CISCO公司的。 这是在内网telnet的结果 telnet 192.168.0.11 25 220 5235.org ESMTP 这是在防火墙外面telnet的结果 telnet  211.141.95.189 25 *************** 除了**就什么都没有显示 另外： $ cat rcpthosts 5235.org

gadfly 回复于：2003-05-22 12:55:51

呵呵，前几天henkon也遇到了这个问题，和你的现象一摸一样， 我和他说是isp定向不对，看来情况不是这样。 不知道他解决没有，如果有个环境就好了。 不过我估计还是nat的问题

白狐狸 回复于：2003-05-22 16:10:00

我给几个学校做了Qmail邮件系统，都是在内网做的，通过防火墙映射到公网，没一点问题啊，也不需要什么特殊设置的。

gadfly 回复于：2003-05-22 16:15:37

刚才到heckon的机器上测试了一下，包括用log和tcpdump，发现了smtp的请求：help, ehlo, auth, 都被改成了XXXX，所以smtpd无法理解这些命令，自然，就没有auth，就会出现上述的错误。 不知道freebsd下面又没有分析或截获smtp应用包的工具，否则就看得更清楚了

ncwangw 回复于：2003-05-22 16:27:07

[quote:368e900499="gadfly"]刚才到heckon的机器上测试了一下，包括用log和tcpdump，发现了smtp的请求：help, ehlo, auth, 都被改成了XXXX，所以smtpd无法理解这些命令，自然，就没有auth，就会出现上述的错误。 不知道freebsd下面又没有分析..........[/quote:368e900499] 对！！我的就是这样！！！全部是******

gadfly 回复于：2003-05-22 16:37:20

你可以用sniffer截获防火墙到主机间的smtp请求包看看， 检查是不是内容被修改了。 如果是，就得问问防火墙的管理员了，是否修改了内容。 另外你也可以在内网直接连内部ip，也用sniffer截包，比较两种情况，就能确定问题所在了

gadfly 回复于：2003-05-23 13:01:23

找你们网管问问看，是不是nat配置的有问题。 今天下午，我要和henkon问问他们isp的技术人员，看看具体问题是什么？

zhbing 回复于：2003-05-23 13:58:18

Cisco Pix 515E有一个 fixup protocol smtp 25命令 把他禁止掉就可以了 no fixup protocol smtp 25

gadfly 回复于：2003-05-23 14:07:36

[quote:40baebb2f8="zhbing"] Cisco Pix 515E有一个  fixup protocol smtp 25命令 把他禁止掉就可以了  no fixup protocol smtp 25 [/quote:40baebb2f8] 终于找到原因了，. henkon人不在，找到原因就好办

zhbing 回复于：2003-05-23 14:08:18

请参考"Cisco PIX Firewall Command Reference Version 6.1"的4-23，关于fixup protocol smtp的解释： The fixup protocol smtp command enables the Mail Guard feature, which only lets mail servers receive the RFC 821, section 4.5.1 commands of HELO, MAIL, RCPT, DATA, RSET, NOOP, and QUIT. All other commands are rejected with the "500 command unrecognized" reply code.  As of version 5.1 and later, the fixup protocol smtp command changes the characters in the SMTP banner to asterisks except for the "2", "0", "0 " characters. Carriage return (CR) and linefeed (LF) characters are ignored.  In version 4.4, all characters in the SMTP banner are converted to asterisks.  而fixup protocol smtp的特性在Cisco PIX 515E中的防火墙是默认的。这个问题竟然折腾了我一个星期

gadfly 回复于：2003-05-23 14:11:11

还真是巧，这两天4，5个人都遇到这个问题

ncwangw 回复于：2003-05-23 14:14:45

[quote:18b2bbbd6c="zhbing"]Cisco Pix 515E有一个 fixup protocol smtp 25命令 把他禁止掉就可以了 no fixup protocol smtp 25[/quote:18b2bbbd6c] 我觉得没有什么道理啊？这条命令只是说明SMTP是25端口而已啊

zhbing 回复于：2003-05-23 14:21:52

[quote:1b8244fee5="ncwangw"] 我觉得没有什么道理啊？这条命令只是说明SMTP是25端口而已啊[/quote:1b8244fee5] 你看一下他的英文解释，实际上他启动了一个叫Mail Guard的烂东西（害人不浅），把Auth等命令全部给替换了并返回500 command unrecognized。

ncwangw 回复于：2003-05-23 14:32:43

[quote:8b8eb6126f="zhbing"] 你看一下他的英文解释，实际上他启动了一个叫Mail Guard的烂东西（害人不浅），把Auth等命令全部给替换了并返回500 command unrecognized。[/quote:8b8eb6126f] yeah！！！！！！！！！ 我也成功了，该死的 Pix 525！！！！！！！！！！！！！！！！！！1 zhbing我爱死你了！！！！！！！！！！！！！！！！！！！！！ 你是我的偶像！！！！！！！！！！！！！！！！！！！！！！ yeah！！！！！！！！！

zhbing 回复于：2003-05-23 14:39:43

[quote:b5dfcb9b61="ncwangw"] yeah！！！！！！！！！ 我也成功了，该死的 Pix 525！！！！！！！！！！！！！！！！！！1 zhbing我爱死你了！！！！！！！！！！！！！！！！！！！！！ 你是我的偶像！！！！！！！！！！！！！！！！！！..........[/quote:b5dfcb9b61] 结果出来后再看，其是原因很简单，Cisco Mail Guard并不支持ESMTP，可当时却束手无策。按说Cisco 515E的时间应该比ESMTP要晚吧，应该建议Cisco更新一下他的Mail Guard特型。不知PIX Version 6.1(4)以上的版本是否已经支持ESMTP了。

tutux 回复于：2003-05-23 14:45:35

很好，这个问题很有价值。

zhbing 回复于：2003-05-23 14:50:32

我已经给Cisco发信了，不知何时能得到他们的回复

wusolo 回复于：2003-05-23 14:55:18

晕倒，cisco也做这种烂事

ncwangw 回复于：2003-05-23 15:09:56

[quote:ba1c26f570="zhbing"] 结果出来后再看，其是原因很简单，Cisco Mail Guard并不支持ESMTP，可当时却束手无策。按说Cisco 515E的时间应该比ESMTP要晚吧，应该建议Cisco更新一下他的Mail Guard特型。不知PIX Version 6.1(4)以上的版本是否..........[/quote:ba1c26f570] 我现在的版本是Cisco PIX Firewall Version 6.3(1)，还是有这个问题。今天终于解决了，真是太谢谢你了。哈哈哈哈

zhbing 回复于：2003-05-23 15:59:14

[quote:cfa40737b2="ncwangw"] 我现在的版本是Cisco PIX Firewall Version 6.3(1)，还是有这个问题。今天终于解决了，真是太谢谢你了。哈哈哈哈[/quote:cfa40737b2] 不用谢。不知道Cisco能不能修改这个问题，我已经发了邮件了，不过我听说只有他们的主管看到了这个问题才有可能被解决，不知道是不是真的？

xhhuang 回复于：2003-06-03 22:16:31

思科工程师的回答是"PIX防火墙设计的时候就这样",其实PIX防火墙还有一个缺陷,当你的WEB服务器是通过映射发布的话,你内网通过防火墙的上网的用户,是不能访问自己的WEB服务器. 我们公司花了好几万买的东东,还不如自己用LINUX配一个呢.价格便宜量又足.但是我想那个东西应该有解决的办法,我也正在寻找途径.

gadfly 回复于：2003-06-03 22:18:40

呵呵PIX贵呀，还有服务，还是个黑匣子，看起来cool。 linux就得DIY了。

firebird 回复于：2003-06-03 22:30:30

这个问题是在什么环境下产生的，我的是PIX525，也有这么一句话 fixup protocol smtp 25。但是我的邮件系统很正常，谁能否最后总结一下这个问题产生的原因，避免下次也出现这样的错误。

ncwangw 回复于：2003-06-05 22:42:11

[quote:da17cbfa93="firebird"]这个问题是在什么环境下产生的，我的是PIX525，也有这么一句话 fixup protocol smtp 25。但是我的邮件系统很正常，谁能否最后总结一下这个问题产生的原因，避免下次也出现这样的错误。[/quote:da17cbfa93]      SMTP可以通过，ESMTP通不过的，520、525都一样 ：）

wolbit 回复于：2003-06-05 22:56:29

应该是是防火墙配置的有问题吧。是否作了反向nat？即将防火墙的25端口映射为私网mail服务器的25端口？

wohaopapa 回复于：2003-06-08 08:55:11

我的也是这个问题  我用光猫上网的 请问是让电信局的网管改设置嘛？

延伸阅读

文章来源于领测软件测试网 https://www.ltesting.net/