Cisco FWSM-> ASAのアップグレードによりメールサーバーが破損しました

WANの反対側にあるメールサーバーにUnicodeのアジア文字でメールを送信します... 2.3（2）を実行するFWSMから8.2（5）を実行するASA5550にアップグレードした直後に、Unicodeを含むメールジョブでエラーが発生しましたおよびBase64としてエンコードされたその他のテキスト。

症状はかなり明確です... ASAのパケットキャプチャユーティリティを使用して、トラフィックがASAを出る前後にトラフィックを妨害しました...

access-list PCAP line 1 extended permit tcp any host 192.0.2.25 eq 25
capture pcap_inside type raw-data access-list PCAP buffer 1500000 packet-length 9216 interface inside
capture pcap_outside type raw-data access-list PCAP buffer 1500000 packet-length 9216 interface WAN

私は、に行くことによってASAからpcapsをダウンロードhttps://<fw_addr>/pcap_inside/pcapしてhttps://<fw_addr>/pcap_outside/pcap、私はWiresharkの>フォローTCPストリーム、このようなASAのルックスに入る内部のトラフィックでそれらを見たときに...

EHLO metabike

AUTH LOGIN

YzFwbUlciXNlck==

cZUplCVyXzRw

しかし、外部インターフェイスでASAを離れる同じメールは次のようになります...

EHLO metabike

AUTH LOGIN

YzFwbUlciXNlck==

XXXXXXXXXXXX

XXXX文字が関係しています... ESMTP検査を無効にすることで問題を修正しました：

wan-fw1(config)# policy-map global_policy

wan-fw1(config-pmap)# class inspection_default

wan-fw1(config-pmap-c)# no inspect esmtp

wan-fw1(config-pmap-c)# end

$ 5の質問...古いFWSMは問題なくSMTPフィックスアップを使用していました...新しいASAをオンラインにしたまさにその瞬間にメールがダウンしました...このメールを壊しているASAの具体的な違いは何ですか？

注：ユーザー名/パスワード/アプリ名が変更されました...このテキストをBase64でデコードしようとしないでください。

そのユーザー名の「実際の」バージョン（デコード後）にUTF-8文字はありますか？検査がトリガーされた場合、その特定の行が選択された理由があると思います。

しかし、そうではないかもしれません。検査機能はIPSよりもカオスモンキーに似ています。個人的には、検査機能が実際に私に提供した唯一のものは頭痛（完全に有効なトラフィックの過度に積極的なサニタイズによる）とセキュリティの脆弱性でした。クイック検索から：

• CVE-2011-0394（からのASAの再起動inspect skinny）
• CVE-2012-2472（CPU DoSからinspect sip）
• CVE-2012-4660 / 4661/4662（より多くの再起動、あなたはアイデアを得ます）

私の推奨は、ASAのプロトコルインスペクションの側面をオフにする必要があるため、多くの睡眠を失わないことです。エンドポイントサーバーアプリケーション（またはWebアプリケーションファイアウォールのような対象を絞ったセキュリティプラットフォーム）は、とにかくプロトコルコンプライアンスを強制するというはるかに優れた仕事をする傾向があります。