snifferを使用してSMTPトラフィックをトラブルシューティングする方法
外部からのメールが届かないという問題が発生しています。 (BarracudaスパムフィルターとWatchguardハードウェアファイアウォールを備えたExchangeメールシステムがあります。)問題は、メールがWatchguardボックスを通過しているように見えても、Barracudaボックスに表示されないことです。私は両方の会社の技術者と電話をしてきましたが、どちらももう一方のボックスに指を向けています。
問題を絞り込むために、ウォッチガードボックスの出力ポートをハブに接続し、Wiresharkを実行しているラップトップを接続します。私の質問は、メールがWiresharkボックスを通過しているかどうかを示すパケットが表示されるかどうかです。誰かが私が使用すべきフィルターを推奨できますか、または少なくともどのタイプのパケットを教えてもらえますか(たとえば、SMTPとして表示されますか?)。それとも、ポート25のトラフィックを探す必要がありますか?前もって感謝します。
ステップ1は、パケットをスパムアプライアンスの前で取得することから始まり、理論的にはファイアウォールを通過した後でパケットを受信します。キャプチャフィルタを「ポート25」に設定します。 Wiresharkのディセクタは、ほとんどの分析を自分で行うのに十分です。パケットを右クリックし、「表示TCPセッション」を選択して、SMTPセッションの完全なトランスクリプトを取得します。
パケットが表示されない場合、ファイアウォールは実際にはSMTPトラフィックを通過させていません。キャプチャフィルタが機能していることを証明するために、自分でいくつかのメッセージを送信することをお勧めします。可能であれば、ファイアウォールの前でテストを繰り返して、ファイアウォールを取得していることを確認します。
表示されているのがアプライアンスへのSYNパケットのみで応答がない場合は、原因が判明しています。アプライアンスは休暇中です。
正常に見える完全なSMTP会話が表示される場合は、アプライアンスのアウトバウンドポートでテストを繰り返します。
アウトバウンドポートにSMTPトラフィックが表示されない場合は、アプライアンスのどこかに問題があることがわかります。これは、それが本当に彼らの問題であることをベンダーサポートに納得させるのに役立つはずです。
アウトバウンドの完全なトラフィックが表示される場合、問題はメールシステムのどこかにあります。
[〜#〜] smtp [〜#〜] のWireshark wikiはどうですか?そして here は初心者向けのブログ投稿です。
他のオプションをいくつか...
1)いつでも外部のポート25に対して手動のTelnetテストを試し、SMTP会話を手動で実行できます。詳細はこちら: http://support.Microsoft.com/kb/153119
2)私はバラクーダボックスに精通していませんが、ほとんどのLinux電子メールゲートウェイでは、tcpdump(tcpdump port 25 -s 0 -w foo.pcap)。
-M
betweenファイアウォールとスパムフィルターを接続してみます。何もキャプチャしていない場合は、アプローチを実行してください。
まあ、私はポート25ですべてのパケットを取得してから検査します。そうすれば、間違ったフィルターが原因で何も見落とさないはずです。