Netzwerkanalyse, Fehlersuche, Testberichte
Home / News
Netzwerkanalyse
Grundlagen
Verkabelung
Erste Schritte
Baselining
Let's sniff
Tools
Auswerten/Filtern
Typische Probleme 1
Typische Probleme 2
Sicherheit
Bücher
Tutorials
Cacti
DSL einrichten
DynDNS einrichten
m0n0wall | pfSense
Nmap
VirtualBox
Wireshark
Forum
Shop
FAQ
Know How
Testberichte
Hardware-DB
Events
Netzwerklexikon
Links / Service
Suche
Kontakt
Impressum
Feedback
Sitemap
Partner
Unser Partner für
SSL Zertifikate
ist Checkdomain GmbH.
Netzwerktechnik Forum

Forum Netzwerktechnik (Archiv)

Kategorie Netzwerktechnik - Forum Netzwerke einrichten

 
smtp per TLS von INSIDE nach OUTSIDE geblockt

geschrieben am 24.09.2012 um 11:20 von hageno

Liebe Ciscoinsider,
nach der Einbindung unerer Mailserver in die CA und der Umstellung der Thunderbird-Mailclients auf Start-TLS ist nun klar, dass der verschlüsselte SMTP-Verkehr nicht durch die ASA kommt. Die Clients stehen dabei in der INSIDE und die MAIL-Server in der OUTSIDE. Der Thunderbirdmailclient ziegt an, dass Start-TLS über Port 587 läuft.

Hier die policy-map. Wie muss ich Ergänzen bzw. Ändern?

######
class-map inspection_default
match default-inspection-traffic
!
!
policy-map global_policy
class inspection_default
inspect dns maximum-length 512
inspect ftp
inspect h323 h225
inspect h323 ras
inspect netbios
inspect rsh
inspect rtsp
inspect skinny
inspect esmtp
inspect sqlnet
inspect sunrpc
inspect tftp
inspect sip
inspect xdmcp
!
service-policy global_policy global
#####

Ich hoffe nach wie vor, ich finde einen Weg aus dem Tal der Ahnugslosen!

Danke & fette Grüße!
Hagen
 

geschrieben am 25.09.2012 um 10:25 von Otaku19

die esmtp inspection muss raus
 

geschrieben am 26.09.2012 um 13:15 von hageno

Vielen Dank!!!!

Hallo Otaku19,
vielen Dank für den Tip. So gehts.

Allerdings bin ich nicht ganz so glücklich. Das nackte Abschalten des inspect Moduls für esmtp bedeutet ja, dass auch der unverschlüsselte Verkehr nicht mehr auf gut oder böse mit den Maßstäben der Asa klassifiziert wird. Oder? Was meinst Du daher zu der Lösung:
#
#
policy-map type inspect esmtp esmtp_tls_map
parameters
allow-tls
#
#
und dann mit dem Eintrag in der global map

inspect esmtp_tls_map

Ob's geht weiss ich nicht. Ich kann das hier nicht testen, weil ich nur eine ASA habe und mir der Kittel brennt, wenn ich den Mailverkehr still lege. Daher würde ich mich über eine Antwort von Dir freuen. Übrigens ist dies Ciscodukument sehr hilfreich gewesen.

http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/products_tech_note09186a008085283d.shtml

Viele Grüße
Hagen
 

geschrieben am 26.09.2012 um 15:25 von Otaku19

die ASA macht da ohnehin nicht viel außer auf richtige Abfolge der Befehle zu schauen, eien content inspection in dem Sinn gibts ja nicht.
 

[ Dieses Thema im Live-Forum aufrufen ]

Sie befinden sich im Archiv des Forums.
Zum Forum

Archiv erstellt mit phpBB2HTML 0.1 - Foren in statisches HTML umwandeln © 2006 Mirko Kulpa

 

 
© 2004-2015, network lab - we make your net work - Netzwerkforum
aktualisiert am 21.10.2017