Exchange2003, ISA2006, SMTP-Filter

02/12/2008 - 10:18 von Heinz-Dieter Richter | Report spam
Hallo,

wir möchten unseren Exchange2003-Server, der unsere Mails
empfàngt und sendet (MX-Umleitung beim Provider) "sicher" machen.
Am Anfang hat der DSL-Router nur den Port 25 auf den E2k3 durchgeroutet.

Jetzt haben wir einen ISA2006-Server dazwischengeschaltet mit dem
ISA-eigenen SMTP-Filter auf Port 25. Das Empfangen externer Mails klappt
jetzt zwar
aber im Logging des ISA2006 bekommen wir folgende Meldungen pro Mail:

Initiated Connection 0x0 ERROR_SUCCESS
Closed Connection 0x80074e24 FWX_E_CONNECTION_KILLED

Die Mails kommen im Exchange an und scheinen vollstàndig zu sein.
Meine Nachforschungen zum Fehler 0x80074e24 ergaben, dass hier eine
Protokollverletzung im SMTP vorliegt. Der ISA gibt leider keine weiteren
Infos
heraus, welches SMTP-Kommando fehlerhaft ist. Kann man dies auf andere
Art herausfinden? Ist es überhaupt sinnvoll, mit dem ISA-SMTP-Filter nur die
Làngen von SMTP-Kommandos zu überwachen oder gibt es andere Möglichkeiten,
den Exchange-Server zu schützen?

Gruß
Heinz-Dieter Richter
 

Lesen sie die antworten

#1 Jens Baier
02/12/2008 - 14:30 | Warnen spam
Hi,

wir möchten unseren Exchange2003-Server, der seit einer Woche unsere Mails
empfàngt und sendet (MX-Umleitung beim Provider) "sicher" machen.
Am Anfang hat der DSL-Router stumpf den Port 25 auf den E2k3
durchgeroutet.



OK

Jetzt haben wir einen ISA2006-Server dazwischengeschaltet mit einem
SMTP-Filter auf Port 25



mit einem SMTP Filter oder dem vom ISA? Wenn anderer Filter. Gleiche
Maschine oder andere? und wenn ja welche Filterloesung?
Mit dem ISA SMTP Filter machst Du SMTP aber nur bedingt sicher, indem Du die
maximalen Wert etc. fuer SMTP Befehle vorgibst. Fuer was anderes schuetzt
der aber nicht. Besser waere dann ein wirkliches SMTP Gateway.

Initiated Connection 0x0 ERROR_SUCCESS
Closed Connection 0x80074e24 FWX_E_CONNECTION_KILLED

Die Mails kommen im Exchange an und scheinen vollstàndig zu sein.
Meine Nachforschungen zum Fehler 0x80074e24 ergaben, dass hier eine
Protokollverletzung im SMTP vorliegt. Eine Änderung von NOOP von 6 auf
1024
hat nicht geholfen.



was sollte diese Aenderung bewirken? Du meinst den KB Artikel von MS? Der
wird in diesem Fall keine Linderung bringen.
ich denke das sind Spam Mails oder mails mit nicht korrektem SMTP
Befehlssatz, welche vom ISA SMTP Filter gekilled werden. Bist Du sicher,
dass es jede legitime e-mail ist?

Wie kann ich erreichen, dass ISA2006 mir mehr Informationen zum Fehler
ausgibt (z.B. welches Kommando ist falsch, zu lang, unbekannt) bzw. wo
kann ich diese Infos außer im Logging finden?



ausser im ISA Log kannst Du noch mit dem Fwengmon Verbindungen ansehen, die
liefern aber auch nicht mehr Infos fuer Deinen Fall.
Netmon waere noch ne Moeglichkeit.

Gruss Jens
www.it-training-grote.de/blog
www.it-training-grote.de
www.nt-faq.de

Ähnliche fragen