smtp per TLS von INSIDE nach OUTSIDE geblockt
geschrieben am 24.09.2012 um 11:20 von hageno
Liebe Ciscoinsider,
nach der Einbindung unerer Mailserver in die CA und der Umstellung der Thunderbird-Mailclients auf Start-TLS ist nun klar, dass der verschlüsselte SMTP-Verkehr nicht durch die ASA kommt. Die Clients stehen dabei in der INSIDE und die MAIL-Server in der OUTSIDE. Der Thunderbirdmailclient ziegt an, dass Start-TLS über Port 587 läuft.
Hier die policy-map. Wie muss ich Ergänzen bzw. Ändern?
######
class-map inspection_default
match default-inspection-traffic
!
!
policy-map global_policy
class inspection_default
inspect dns maximum-length 512
inspect ftp
inspect h323 h225
inspect h323 ras
inspect netbios
inspect rsh
inspect rtsp
inspect skinny
inspect esmtp
inspect sqlnet
inspect sunrpc
inspect tftp
inspect sip
inspect xdmcp
!
service-policy global_policy global
#####
Ich hoffe nach wie vor, ich finde einen Weg aus dem Tal der Ahnugslosen!
Danke & fette Grüße!
Hagen
geschrieben am 25.09.2012 um 10:25 von Otaku19
die esmtp inspection muss raus
geschrieben am 26.09.2012 um 13:15 von hageno
Vielen Dank!!!!
Hallo Otaku19,
vielen Dank für den Tip. So gehts.
Allerdings bin ich nicht ganz so glücklich. Das nackte Abschalten des inspect Moduls für esmtp bedeutet ja, dass auch der unverschlüsselte Verkehr nicht mehr auf gut oder böse mit den Maßstäben der Asa klassifiziert wird. Oder? Was meinst Du daher zu der Lösung:
#
#
policy-map type inspect esmtp esmtp_tls_map
parameters
allow-tls
#
#
und dann mit dem Eintrag in der global map
inspect esmtp_tls_map
Ob's geht weiss ich nicht. Ich kann das hier nicht testen, weil ich nur eine ASA habe und mir der Kittel brennt, wenn ich den Mailverkehr still lege. Daher würde ich mich über eine Antwort von Dir freuen. Übrigens ist dies Ciscodukument sehr hilfreich gewesen.
http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/products_tech_note09186a008085283d.shtml
Viele Grüße
Hagen
geschrieben am 26.09.2012 um 15:25 von Otaku19
die ASA macht da ohnehin nicht viel außer auf richtige Abfolge der Befehle zu schauen, eien content inspection in dem Sinn gibts ja nicht.
[ Dieses Thema im Live-Forum aufrufen ]
|