在 Cisco PIX 防火墙后无法发送或接收电子邮件(…

PIX 软件的 Mailguard 功能（在早期版本中也称为 Mailhost）能够筛选简单邮件传输协议 (SMTP) 流量。对于 PIX 软件版本 4.0 和 4.1，使用“mailhost”命令配置 Mailguard。在 PIX 软件版本 4.2 和更高版本中，则使用 fixup protocol smtp 25 命令进行配置。

注意：您还必须为您的邮件服务器分配了静态 IP 地址和使用了 conduit 语句。

配置 Mailguard 时，Mailguard 只允许使用七个 SMTP 必需的命令（如请求注释 (RFC) 821 的 4.5.1 节中所述）。这七个必需的命令是： 其他命令（如 KILL 和 WIZ）不被 PIX 防火墙转发到邮件服务器。即使命令被阻止，早期版本的 PIX 防火墙也会返回“OK”响应。这旨在防止攻击者知道命令已阻止。

要查看 RFC 821，请访问以下 RFC 网站： 任何其他命令均被拒绝，并显示“500 Command unrecognized”响应。

在具备固件版本 5.1 和更高版本的 Cisco PIX 防火墙中，“fixup protocol smtp”命令会将 SMTP 横幅中的字符更改为星号（字符“2”、“0”、“0 ”除外）。回车键 (CR) 和换行符 (LF) 被忽略。在版本 4.4 中，SMTP 横幅中的任何字符都转换为星号。

测试 Mailguard 是否正常运行

由于 Mailguard 功能可能对任何命令都返回“OK”响应，因此很难确定此功能是否处于活动状态。要确定 Mailguard 功能是否阻止无效命令，请按照以下步骤操作： 中国.网管联盟

注意：以下步骤基于 PIX 软件版本 4.0 和 4.1。要测试更高版本的 PIX 软件（版本 4.2 和更高版本），请对邮件服务器使用“fixup protocol smtp 25”命令，连同合适的“static”和“conduit”语句。

Mailguard 关闭时

1.	在 PIX 防火墙上，使用 static 和 conduit 命令以允许在 TCP 端口 25 (SMPT) 上进入任何主机。
2.	在 PIX 防火墙端口 25 的外部接口上建立 Telnet 会话。
3.	键入一个无效命令，然后按 Enter 键。例如，键入 goodmorning，然后按 Enter 键。 您会收到以下响应： 500 Command unrecognized.

Mailguard 打开时

1.	使用 mailhost 或“fixup protocol smtp 25”命令，以打开 PIX 防火墙的外部接口上的 Mailguard 功能。
2.	在 PIX 防火墙端口 25 的外部接口上建立 Telnet 会话。
3.	键入一个无效命令，然后按 Enter 键。例如，键入 goodmorning，然后按 Enter 键。 中国.网管联盟 您会收到以下响应： OK.

关闭 Mailguard 功能时，邮件服务器使用“500 Command unrecognized”消息响应无效命令。但是，打开 Mailguard 功能时，PIX 防火墙会截取无效命令，因为防火墙仅传递七个必需的 SMTP 命令。不论命令是否有效，PIX 防火墙都响应“OK”。

默认情况下，PIX 防火墙阻止任何外部连接访问内部主机。使用 static、access-list、access-group 命令语句以允许外部访问。有关这些命令的其他信息，请访问下面的 Cisco 网站： 有关如何配置 Cisco PIX 防火墙的其他信息，请访问下面的 Cisco 网站：

中国网管论坛

有关具备 SMTP 代理功能的防火墙产品的其他信息，请访问下面的网站： 本文中提到的第三方产品由 Microsoft 以外的其他公司提供。对于这些产品的性能或可靠性，Microsoft 不作任何暗示确保或其他形式的确保。 Microsoft 提供了第三方联系信息以便于您寻求技术支持。这些联系信息如有更改，恕不另行通知。Microsoft 不确保这些第三方联系信息的准确性。