由于NAT地址池配置错误导致部分内网用户发邮件失败的问题

发布时间:  2014-09-20 浏览次数:  375 下载次数:  0
问题描述
组网结构:

业务简介:
USG作为内网连接公网的出口网关,USG上配置nat outbound,使内网用户可以访问公网业务,其中包含了访问邮件服务器的POP3业务和SMTP业务。内网中的用户通过邮件客户端软件访问公网的POP3服务器收邮件,SMTP服务器发邮件。

内网用户通过邮件客户端收邮件都没有问题,但有部分用户发邮件总是失败。而通过WEB方式进行收发邮件,都没有问题。
处理过程
内网用户访问公网的服务,如HTTP,SMTP等,都是要先在USG上做NAT源地址转换。USG上配置的地址池中包含有两个IP地址,不同用户的访问由于源IP地址不同,转换的公网地址也可能不同。从这一点看,可能是SMTP服务器对不同地址有不同的访问策略。 于是在USG上的出接口进行远程抓包,结果发现访问失败的都是其中一个IP地址,并且每次都是三次握手成功,然收客户端发出SMTP请求,服务器直接回应了RST。如图:

根据抓包,可以确定,对于这个IP地址,服务器拒绝访问,应该就是服务器对IP地址做了限制。修改地址池,只留下一个,然后再进行访问,能访问成功。经过确认,结果确实是服务器做了限制。
根因
SMTP服务器对USG的地址池中的部分地址做了限制,导致转换为该地址的内网用户发送邮件失败。
解决方案
修改USG上的NAT地址池地址,或者在SMTP服务器上更改IP地址的访问权限。

END