delphij's Chaos

选择chaos这个词是因为~~实在很难找到一个更合适的词来形容这儿了……

07 Apr 2006

Cisco PIX真是垃圾透顶!

一个未能完全实现ESMTP的破烂防火墙,以及aaazzzaaazzz邮件的罪魁祸首。大家千万不要用,我打算抽时间写篇文章来介绍为什么PIX会破坏电子邮件的安全性。

正常的回应:
] telnet localhost 25
Trying 127.0.0.1…
Connected to localhost.
Escape character is ‘^]’.
220 hostnam.domainame.tld ESMTP PhantasmMail (3.1-RELEASE)
EHLO hostnam.domainame.tld
250-hostnam.domainame.tld
250-PIPELINING
250-SIZE 125829120
250-VRFY
250-ETRN
250-STARTTLS
250 8BITMIME
QUIT
221 Bye

从PIX外面得到的回应
] telnet hostnam.domainame.tld 25
Trying XXX.XXX.XX.X…
Connected to hostnam.domainame.tld.
Escape character is ‘^]’.
220 ******************************************************
EHLO hostnam.domainame.tld
250-hostnam.domainame.tld
250-PIPELINING
250-SIZE 125829120
250-VRFY
250-ETRN
250-XXXXXXXA
250 8BITMIME

IT行业的脑白金。


Archived: 4 Comments

Kang | April 7, 2006 3:41 PM

我不同意这个观点,根据RFC2487第5节“The STARTTLS Command”的内容:A publicly-referenced SMTP server MUST NOT require use of the STARTTLS extension in order to deliver mail locally. This rule prevents the STARTTLS extension from damaging the interoperability of the Internet’s SMTP infrastructure. A publicly-referenced SMTP server is an SMTP server which runs on port 25 of an Internet host listed in the MX record (or A record if an MX record is not present) for the domain name on the right hand side of an Internet mail address.

Xin LI | April 7, 2006 4:53 PM

  1. 这台邮件服务器是需要STARTTLS扩展才允许relay(开始身份验证过程,并投递邮件),而不是不允许收信,我不明白这个配置哪一点违反了RFC 2487?一台邮件服务器允许对方通过STARTTLS扩展协商TLS会话,请问这违反了哪个RFC?

  2. 一台过滤设备居然被允许篡改7层回应并折损其安全特性(允许对方使用STARTTLS),请问这是不是在损害安全性?

seanlu | April 8, 2006 12:39 AM

这台PIX的OS是什么版本?6.x or 7.x?

Jerry | April 21, 2006 6:04 PM

我是今天下午给你打电话的黄政,我也碰到类似的问题。Anyway, 我倾向于是邮件服务器本身的问题