Vous êtes actuellement hors ligne, en attente de reconnexion à Internet.

Impossible d’envoyer ou de recevoir des messages électroniques derrière un pare-feu Cisco PIX ou Cisco ASA

IMPORTANT : Cet article est issu d'une traduction automatique réalisée par un logiciel Microsoft et non par un traducteur professionnel. Cette traduction automatique a pu aussi être révisée par la communauté Microsoft grâce à la technologie Community Translation Framework (CTF). Pour en savoir plus sur cette technologie, veuillez consulter la page http://support.microsoft.com/gp/machine-translation-corrections/fr. Microsoft vous propose en effet des articles traduits par des professionnels, des articles issus de traductions automatiques et des articles issus de traductions automatiques révisées par la communauté Microsoft, de manière à ce que vous ayez accès à tous les articles de notre Base de connaissances dans votre langue. Il est important de noter que les articles issus de la traduction automatique, y compris ceux révisés par la communauté Microsoft, peuvent contenir des erreurs de vocabulaire, de syntaxe ou de grammaire. Microsoft ne pourra être tenu responsable des imprécisions, erreurs, ainsi que de tout dommage résultant d’une traduction incorrecte du contenu ou de son utilisation par les clients.

La version anglaise de cet article est la suivante: 320027
Important Cet article contient des informations vous expliquant comment baisser les paramètres de sécurité ou comment désactiver certaines fonctions de sécurité sur un ordinateur. Vous pouvez apporter ces modifications pour contourner un problème spécifique. Cet article contient des informations vous expliquant comment baisser les paramètres de sécurité ou comment désactiver certaines fonctions de sécurité sur un ordinateur. Si vous implémentez cette solution de contournement, prenez toutes les mesures appropriées pour protéger l'ordinateur.
Symptômes
Vous pouvez rencontrer un ou plusieurs des problèmes suivants :
  • Vous ne peut pas recevoir les e-mailmessages sur Internet.
  • Vous ne pouvez pas envoyer de withattachments des messages de courrier électronique.
  • Vous ne pouvez pas établir une session telnet avec le Exchangeserver Microsoft sur le port 25.
  • Lorsque vous envoyez un EHLO commande à la banque Microsoft Exchange server, vous recevez une « commande non reconnue » ou une réponse « OK ».
  • Impossible d’envoyer ou de recevoir des messages sur specificdomains.
  • Des problèmes avec Post Office Protocol version 3 (POP3) authentification - 550 5.7.1 relais de serveur local de deniedfrom.
  • Problèmes liés à des messages électroniques dupliqués (parfois cinq à six fois) envoyés.
  • Vous recevez des messages SMTP Simple Mail Transfer Protocol () entrants dupliqués.
  • Clients Microsoft Outlook ou Microsoft Outlook Express signalent une erreur 0x800CCC79 lorsque vous tentez d’envoyer un message électronique.
  • Il y a des problèmes avec le format mime binaire (8bitmime). Vous recevez le texte suivant dans un rapport de non-remise (NDR) :
    554 5.6.1 type de corps non pris en charge par l’hôte distant.
  • Il y a des problèmes avec les pièces jointes absents ou tronqués.
  • Il y a des problèmes avec le routage d’état des liens entre les groupes de routage lorsqu’un périphérique pare-feu Cisco PIX ou Cisco ASA est entre les groupes de routage.
  • Le verbe X-LINK2STATE n’est pas passé.
  • Il existe des problèmes d’authentification entre des serveurs sur un connecteur de groupe de routage.
Cause
Ce problème peut se produire dans la situation suivante :
  • Le serveur Exchange est placé derrière un périphérique de pare-feu Cisco PIXor Cisco ASA.

    - et -
  • Le PIX ou ASA pare-feu dispose de la fonctionnalité Mailguard est activée.
  • Le Auth et Auth login (commandes Extended Simple Mail Transfer Protocol [ESMTP]) arestripped des commandes par le pare-feu, et cela rend le système pense que vous êtes un domaine non local de relayingfrom.
Pour déterminer si Mailguard s’exécute sur votre pare-feu Cisco PIX ou Cisco ASA, Telnet à l’adresse IP de l’enregistrement MX, puis vérifiez si la réponse ressemble à la suivante :
220*******************************************************0*2******0***********************
2002 *** 2 *** 0 * 00

Versions anciennes de PIX ou ASA :

220 SMTP/cmap___ lire
Pour plus d’informations, reportez-vous aux sites Web de Cisco aux suivants : Remarque Si vous avez un serveur ESMTP derrière le PIX ou ASA pare-feu, vous devrez peut-être désactiver la fonctionnalité Mailguard pour autoriser le courrier de circuler correctement. En outre, établir une session Telnet au port 25 peut ne pas fonctionne avec la commandefixup protocol smtp , en particulier avec un client Telnet qui utilise le mode caractère.

Remarque Outre le pare-feu Cisco PIX ou Cisco ASA, il existe plusieurs produits de pare-feu possèdent des capacités de SMTP Proxy qui peuvent provoquer les problèmes mentionnés plus haut dans cet article. Voici une liste de fabricants de pare-feu dont les produits ont des fonctionnalités de SMTP Proxy :
  • WatchGuard Firebox
  • Point de contrôle
  • Raptor

Pour plus d’informations, visitez les sites Web répertoriés dans la section « Informations complémentaires ».
Résolution
Avertissement Cette solution de contournement peut rendre un ordinateur ou un réseau plus vulnérable aux attaques d'utilisateurs malintentionnés ou de logiciels malveillants comme les virus. Nous ne recommandons pas cette solution de contournement, mais nous fournissons cette information afin que vous puissiez l'implémenter à votre convenance. Utilisez cette solution de contournement à vos risques et périls.

Remarque Un pare-feu est conçu pour aider à protéger votre ordinateur contre les attaques d’utilisateurs malintentionnés ou de logiciels malveillants comme les virus qui utilisent le trafic réseau entrant non sollicité pour attaquer votre ordinateur. Avant de désactiver votre pare-feu, vous devez déconnecter votre ordinateur de tous les réseaux, y compris Internet.

Pour résoudre ce problème, désactivez la fonctionnalité Mailguard du PIX ou ASA pare-feu.

Avertissement Si vous avez un serveur ESMTP derrière le PIX ou ASA, vous devrez peut-être désactiver la fonctionnalité Mailguard pour pouvoir correctement le flux des messages. Si vous utilisez la commande Telnet au port 25, cela peut ne pas fonctionne avec lecorrection du protocole smtp commande et ceci se remarque davantage avec un client Telnet qui exécute le mode caractère.

Pour désactiver la fonctionnalité Mailguard du PIX ou ASA pare-feu :
  1. Ouvrez une session sur le PIX ou ASA pare-feu en établissant une session telnet ou à l’aide de la console.
  2. Tapez Activeret puis pressENTER.
  3. Lorsque le système vous demande votre mot de passe, tapez votreMotdePasse et appuyez sur ENTRÉE.
  4. Tapez configurer Terminal Serveret thenpress d’entrée.
  5. Tapez Aucune correction de protocole smtp 25, puis appuyez sur ENTRÉE.
  6. Tapez écriture de mémoireet puis pressENTER.
  7. Redémarrez ou rechargez le PIX ou ASA pare-feu.
Plus d'informations
Le PIX ou ASA Software Mailguard fonctionnalité (également appelée Mailhost dans les versions antérieures) filtre le trafic de SMTP Simple Mail Transfer Protocol (). Pour PIX ou ASA logiciel commande versions 4.0 et 4.1, lamailhostest utilisée pour configurer Mailguard. Dans PIX ou ASA Software version 4.2 et ultérieure, la commandefixup protocol smtp 25 est utilisée.

Remarque Vous devez également disposer des attributions d’adresses IP statiques et des instructions de conduits pour votre serveur de messagerie.

Lorsque la fonctionnalité Mailguard est configurée, elle autorise uniquement les sept minimale requise commandes SMTP comme indiqué dans la demande de commentaires (RFC) 821, section 4.5.1. Ces sept commandes requises sont les suivantes :
HELO
COURRIER
RCPT
DATA
RSET
NOOP
QUIT
Autres commandes, telles que KILL et WIZ ne sont pas transférées au serveur de messagerie par le PIX ou ASA pare-feu. Les premières versions du PIX ou ASA pare-feu renvoient une réponse « OK » même aux commandes qui sont bloquées. Cela est destiné à empêcher un agresseur de découvrir que les commandes ont été bloquées.

Pour afficher la RFC 821, visitez le site Web de RFC suivant : Toutes les autres commandes sont rejetées avec la réponse « 500 commande non reconnue ».

Sur le pare-feu Cisco PIX et ASA avec les versions de microprogramme 5.1 et ultérieures, la commandefixup protocol smtp modifie les caractères de la bannière SMTP en astérisques, à l’exception du « 2 », « 0 », « 0 » caractères. Retour de chariot (CR) et des caractères de saut de ligne (LF) sont ignorés. Dans la version 4.4, tous les caractères de la bannière SMTP sont convertis en astérisques.

Mailguard de test bon fonctionnement

Étant donné que la fonctionnalité Mailguard peut retourner une réponse « OK » à toutes les commandes, il peut être difficile de déterminer si elle est active. Pour déterminer si la fonctionnalité Mailguard bloque des commandes qui ne sont pas valides, procédez comme suit.

Remarque Les étapes suivantes sont basées sur PIX ou ASA version 4.0 et 4.1 du logiciel. Pour tester des versions ultérieures de PIX ou ASA logiciel (version 4.2 et ultérieur), utilisez la commande fixup protocol smtp 25 et les instructions static et conduit pour votre serveur de messagerie.

Avec la fonctionnalité Mailguard désactivée

  1. Sur la PIX ou ASA pare-feu, utilisez la méthode statique et commandes de conduit pour autoriser tous les hôtes sur TCP port 25 (SMTP).
  2. Établissez une session telnet sur l’interface externe du PIX ou ASA pare-feu sur le port 25.
  3. Tapez une commande qui n’est pas valide et appuyez sur ENTRÉE. Par exemple, type Bonjouret puis pressENTER.

    Vous recevez la réponse suivante :
    500 commande non reconnue.

Avec la fonctionnalité Mailguard est activée

  1. Utilisez le mailhost ou la commande fixup protocol smtp 25pour activer la fonctionnalité Mailguard sur l’interface externe du PIX ou ASA pare-feu.
  2. Établissez une session telnet sur l’interface externe du PIX ou ASA pare-feu sur le port 25.
  3. Tapez une commande qui n’est pas valide et appuyez sur ENTRÉE. Par exemple, type Bonjouret puis pressENTER.

    Vous recevez la réponse suivante :
    Bien.
Lorsque la fonctionnalité Mailguard est désactivée, le serveur de messagerie répond à la commande qui n’est pas valide avec le message « 500 commande non reconnue ». Toutefois, lorsque la fonctionnalité Mailguard est activée sur le pare-feu PIX ou pare-feu ASA intercepte la commande qui n’est pas valide, car il passe uniquement les sept commandes SMTP minimales requises. Le PIX ou ASA pare-feu répond « OK » si la commande est valide ou non.

Par défaut, le PIX ou ASA pare-feu bloque tout en dehors des connexions d’accéder aux hôtes internes. Utilisez les static, access-list et instructions de commande de groupe d’accès pour autoriser l’accès à l’extérieur. Pour plus d’informations sur ces commandes, visitez le site Web de Cisco :Pour plus d’informations sur la façon de configurer le pare-feu Cisco PIX ou ASA, visitez les sites Web de Cisco suivants :

Pour plus d’informations sur les produits de pare-feu qui ont des capacités de SMTP Proxy, visitez les sites Web suivants :Les produits tiers dont traite cet article sont fabriqués par des sociétés indépendantes de Microsoft. Microsoft exclut toute forme de garantie, expresse ou implicite, concernant les performances ou la fiabilité de ces produits.Microsoft fournit des informations pour contacter des sociétés tierces afin de vous aider à obtenir une aide technique. Ces coordonnées peuvent changer sans préavis. Microsoft ne garantit pas l'exactitude des informations de contact de ces tiers.
XCON

Propriétés

ID d'article : 320027 - Dernière mise à jour : 08/27/2016 23:11:00 - Révision : 2.0

Microsoft Exchange Server 2010 Standard, Microsoft Exchange Server 2010 Enterprise, Microsoft Exchange Server 2007 Standard Edition, Microsoft Exchange Server 2007 Enterprise Edition, Microsoft Exchange Server 2003 Standard Edition, Microsoft Exchange 2000 Server Standard Edition, Microsoft Exchange Server 5.5 Standard Edition

  • kbprb kbmt KB320027 KbMtfr
Commentaires
javascript' src='" + (window.location.protocol) + "//c.microsoft.com/ms.js'><\/script>"); >