Cisco PIX behindert authentifizierten Mail-Versand
Die Security-Appliances können Probleme verursachen, wenn sie vor einen Mail-Server geschaltet sind und E-Mails eingehen, die per Domainkeys Identified Mail (DKIM) signiert sind.
Drei Fehler in älteren Versionen der Software von PIX-Security-Appliances von Cisco können zusammen dazu führen, dass E-Mail nicht angenommen wird, die per Domainkeys Identified Mail (DKIM, RFC 4871) signiert ist. Die Software enthält ein Modul, das SMTP-Transaktionen beobachtet und potenziell schädliche Befehle überschreibt (smtp protocol fixup). Wegen dreier Fehler im Parser werden dabei eventuell auch DKIM-Header überschrieben.Das Pikante daran ist, dass Cisco einer der Förderer von DKIM ist.
Für den Mail-Admin des sendenden Servers äußert sich der Fehler in Verbindungsabbrüchen und Nachrichten, die deshalb in den Queues hängen bleiben. Der PIX-Zuständige auf der Empfangsseite findet in seinen Logs gehäuft die Meldung
SMTP: Multiple Content-Type headers!
sofern er ESMTP debugging aktiviert hat.
Nach Aussage von Jim Fenton, bei Cisco unter anderem für DKIM zuständig, wurden alle drei Fehler in den Versionen 7.2(2.19) und 8.0(2.7) der PIX-Software behoben. Wie bei Cisco üblich erhalten registrierte Kunden das Updates auf 7.2(2.19) per Download. Die Version 8.0(2.7) ist bislang nur über das "Technical Assistance Center" erhältlich.
Viele Mail-Admins empfehlen, "smtp protocol fixup" grundsätzlich abzuschalten, da sie im Eingriff in SMTP eine Fehlerquelle sehen. Jim Fenton ist anderer Meinung: "Since SMTP protocol fixup enables quite a bit of protocol checking besides the Content-Type check that is the subject of these bugs, it's difficult for me to recommend that users disable it other than as a very short-term measure. I would highly recommend that customers obtain updated images and deploy them as soon as practical." (je)
