購入する または契約更新する
購入する または契約更新する
キャンセル
提案をオンにする
自動提案では、入力時に可能な一致が提案されるので検索結果を素早く絞り込むことができます。
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
投稿メッセージを作成する
956
閲覧回数
0
いいね!
2
返信

ASA5516Xに切替後、Gmailアドレスからのメールだけが届かない

hishikawa1
Level 1
Level 1

‎2020-03-05 09:34 PM

ASA5510からASA5516Xに入替をした所、DMZにあるSenamailサーバに対してGmail(xxx@gmai.com)からのメールだけが届かない現象が発生しております。ASA5510に戻せば問題なく届くのでASA5516Xの関係かとは思うのですが ポリシー、ファイアーウォール等の設定を見直しても問題が無いように思えます。

パケットを見る限り、ASA5516Xに切替えた後でのパケットは STARTTLS のパケットが流れており、Senamailサーバがエラーを返してしているのですが、ASA5510のままでは STARTTLS  のパケット自体 流れない状況となっております。

esmtp、allows-tlsの項目を設定、解除しても変わらずです。

どなたかご教授頂けないでしょうか。

 

ラベル:
0 いいね!
2件の返信2

Akira Muranaka
Level 8
Level 8

‎2020-03-05 10:40 PM ‎2020-03-05 10:42 PM 更新

こんばんは! 各機器のバージョンはお幾つでしょうか?

古い機器や古いバージョンから最新機器にリプレース時にごくたまにあるのが、古い機器だと不具合や仕様で想定外にうまく動作してたのが、新しいモデルやバージョンだとその不具合や問題仕様が修正/改善されて動きが変わるケースです。例えばバージョンが上がることで 不具合で流れなかったパケットが、バージョンアップ後にその通信を止める不具合が改善され流れ出すことも かなり稀ですがあります。

ASA5510は最終バージョンは9.1系が動くはずなので、古い設定のASDMバックアップとってから ASA5510のバージョンを9.1系最新に上げて動作確認してみては如何でしょうか。

ASA5510最新バージョンでも動かなくなったら ASA以外の原因も探す必要も出てくるかもしれません。

 

0 いいね!

hishikawa1
Level 1
Level 1
Akira Muranakaに対する応答

‎2020-03-09 05:53 PM

返信ありがとうございます。

現行バージョン CISCO ASA 5510 V7.2(5)  新バージョン CISCO ASA 5516-X V9.8(2) です。

"バージョン 9.4(1)から デフォルトの値が no-allow-tls から allows-tls に変更されましたの~"コマンドリファレンスの記述を

見つけましたのでこれを試してみたいと思っております。


https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa-command-reference/A-H/cmdref1/a2.html

以下記述
ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー
allow-tls
TLS セッションを許可または禁止するように ESMTP インスペクションを設定するには、パラメータコンフィギュレーション

モードで allow-tls コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。

allow-tls [ action log ]

no allow-tls


構文の説明
action log

暗号化された接続をログに記録するかどうか。


コマンド デフォルト
allow-tls コマンドが ESMTP インスペクションのデフォルトです。

 

コマンド履歴
リリース
変更内容
8.0(3)

このコマンドが追加されました。

9.4(1)

デフォルトが no allow-tls から allow-tls に変更されました。ただし、このデフォルトは新しい、または再イメージングされた

システムに適用されます。 

no allow-tls を含むシステムをアップグレードする場合は、このコマンドは変更されません。


使用上のガイドライン
ESMTP インスペクションでは、暗号化された接続を検査できません。
すべての ESMTP セッションの検査を強制するには、 no allow-tls コマンドを使用します。
TLS を無効にすると、STARTTLS インジケータが接続要求から削除され、強制的にクライアントとサーバがクリア テキスト

接続をネゴシエートします。

クライアントとサーバが暗号化された接続をネゴシエートできるようにする場合は、ESMTP インスペクション ポリシーマップ

のパラメータ セクションに allow-tls コマンドを含め、マップを ESMTP インスペクション サービス ポリシーに接続します。

また、_default_esmtp_map(これは独自のマップを適用しない場合に適用されます)を編集することもできます。


次に、ESMTP インスペクションをバイパスする暗号化された ESMTP セッションを許可する方法の例を示します。

ciscoasa(config)# policy-map type inspect esmtp esmtp_map
ciscoasa(config-pmap)# parameters
ciscoasa(config-pmap-p)# allow-tls
ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー


特に個別設定していないので下記のコマンドを試してみる予定です。

 

ciscoasa(config)# policy-map type inspect esmtp esmtp_default_esmtp_map
ciscoasa(config-pmap)# parameters
ciscoasa(config-pmap-p)# allow-tls

 

0 いいね!
Customers Also Viewed These Support Documents