Impossible d’envoyer ou de recevoir des messages électroniques derrière un pare-feu Cisco PIX ou Cisco ASA avec la fonctionnalité Mailguard activée

  • Article
  • S’applique à:
    Exchange Server 2013, Exchange Server 2010, Exchange Server 2016, Exchange Server 2019

Numéro de la base de connaissances d’origine : 320027

Cet article décrit la cause du comportement que vous ne pouvez pas envoyer ou recevoir de messages électroniques si un serveur Exchange est placé derrière un périphérique de pare-feu Cisco PIX ou Cisco ASA et que la fonctionnalité Mailguard est activée pour le pare-feu PIX ou ASA. Il fournit des étapes pour désactiver la fonctionnalité Mailguard du pare-feu PIX ou ASA.

Importante

Cet article contient des informations qui vous montrent comment réduire les paramètres de sécurité ou comment désactiver les fonctionnalités de sécurité sur un ordinateur. Vous pouvez apporter ces modifications pour contourner un problème spécifique. Avant d’apporter ces modifications, nous vous recommandons d’évaluer les risques associés à l’implémentation de cette solution de contournement dans votre environnement particulier. Si vous implémentez cette solution de contournement, prenez les mesures supplémentaires appropriées pour protéger l’ordinateur.

Symptômes

Vous pouvez rencontrer un ou plusieurs des comportements suivants :

  • Vous ne pouvez pas recevoir de messages électroniques basés sur Internet.
  • Vous ne pouvez pas envoyer de messages électroniques avec des pièces jointes.
  • Vous ne pouvez pas établir une session telnet avec le serveur Microsoft Exchange sur le port 25.
  • Lorsque vous envoyez une commande EHLO au serveur Exchange, vous recevez une commande non reconnue ou une réponse OK .
  • Vous ne pouvez pas envoyer ou recevoir des messages sur des domaines spécifiques.
  • Problèmes liés à l’authentification pop3 (Post Office Protocol version 3) - 550 5.7.1 refus de relais à partir du serveur local.
  • Problèmes liés à l’envoi de messages électroniques en double (parfois cinq à six fois).
  • Vous recevez des messages SMTP (Simple Mail Transfer Protocol) entrants en double.
  • Les clients Microsoft Outlook ou Les clients Microsoft Outlook Express signalent une erreur 0x800CCC79 lors de la tentative d’envoi d’e-mails.
  • Il existe des problèmes avec le mime binaire (8bitmime). Vous recevez le texte dans un rapport de non-remise (NDR) : 554 5.6.1 Type de corps non pris en charge par l’hôte distant.
  • Il existe des problèmes liés aux pièces jointes manquantes ou gégayées.
  • Il existe des problèmes avec le routage de l’état de liaison entre les groupes de routage lorsqu’un périphérique de pare-feu Cisco PIX ou Cisco ASA se trouve entre les groupes de routage.
  • Le verbe X-LINK2STATE n’est pas passé.
  • Il existe des problèmes d’authentification entre les serveurs sur un connecteur de groupe de routage.

Cause

Ce problème peut se produire dans la situation suivante :

  • Le serveur Exchange est placé derrière un périphérique de pare-feu Cisco PIX ou Cisco ASA.

et

  • La fonctionnalité Mailguard est activée pour le pare-feu PIX ou ASA.
  • Les commandes de connexion d’authentification et d’authentification (commandes ESMTP [Extended Simple Mail Transfer Protocol] ) sont supprimées par le pare-feu, ce qui fait croire au système que vous relayez à partir d’un domaine non local.

Pour déterminer si Mailguard s’exécute sur votre pare-feu Cisco PIX ou Cisco ASA, telnet à l’adresse IP de l’enregistrement MX, puis vérifiez si la réponse ressemble à ce qui suit :

220*******************************************************0*2******0***********************

2002*******2***0*00

Old versions of PIX or ASA:

220 SMTP/cmap_________________________________________ read

Remarque

Si vous avez un serveur ESMTP derrière le pare-feu PIX ou ASA, vous devrez peut-être désactiver la fonctionnalité Mailguard pour permettre au courrier de circuler correctement. En outre, l’établissement d’une session Telnet sur le port 25 peut ne pas fonctionner avec la fixup protocol smtp commande, en particulier avec un client Telnet qui utilise le mode caractère.

Outre le pare-feu Cisco PIX ou Cisco ASA, il existe plusieurs produits de pare-feu qui ont des fonctionnalités de proxy SMTP qui peuvent produire les problèmes mentionnés plus haut dans cet article. Voici la liste des fabricants de pare-feu dont les produits ont des fonctionnalités de proxy SMTP :

  • Watchguard Firebox
  • Checkpoint
  • Raptor

Pour plus d’informations, visitez les sites web répertoriés dans la section « Plus d’informations ».

Résolution

Avertissement

Cette solution de contournement peut rendre votre ordinateur ou réseau plus vulnérable aux attaques par des utilisateurs ou des logiciels malveillants comme des virus. Nous ne recommandons pas cette solution de contournement, mais nous fournissons ces informations afin que vous puissiez l’implémenter à votre guise. Son utilisation relève de votre responsabilité.

Remarque

Un pare-feu est conçu pour protéger votre ordinateur contre les attaques par des utilisateurs malveillants ou par des logiciels malveillants tels que des virus qui utilisent le trafic réseau entrant non sollicité pour attaquer votre ordinateur. Avant de désactiver votre pare-feu, vous devez déconnecter votre ordinateur de tous les réseaux, y compris Internet.

Pour résoudre ce problème, désactivez la fonctionnalité Mailguard du pare-feu PIX ou ASA.

Avertissement

Si vous disposez d’un serveur ESMTP derrière le PIX ou l’ASA, vous devrez peut-être désactiver la fonctionnalité Mailguard pour permettre au courrier de circuler correctement. Si vous utilisez la commande Telnet vers le port 25, cela peut ne pas fonctionner avec la commande smtp du protocole fixup, et cela est plus visible avec un client Telnet qui exécute le mode caractère.

Pour désactiver la fonctionnalité Mailguard du pare-feu PIX ou ASA :

  1. Connectez-vous au pare-feu PIX ou ASA en établissant une session telnet ou en utilisant la console.
  2. Tapez enable, puis appuyez sur Entrée.
  3. Lorsque vous êtes invité à entrer votre mot de passe, tapez votre mot de passe, puis appuyez sur Entrée.
  4. Tapez configurer le terminal, puis appuyez sur Entrée.
  5. Tapez no fixup protocol smtp 25, puis appuyez sur Entrée.
  6. Tapez mémoire d’écriture, puis appuyez sur Entrée.
  7. Redémarrez ou rechargez le pare-feu PIX ou ASA.

Informations supplémentaires

La fonctionnalité PIX ou ASA Software Mailguard (également appelée Mailhost dans les versions antérieures) filtre le trafic SMTP (Simple Mail Transfer Protocol). Pour les versions 4.0 et 4.1 de PIX ou ASA Software, la mailhost commande est utilisée pour configurer Mailguard. Dans PIX ou ASA Software version 4.2 et ultérieure, la fixup protocol smtp 25 commande est utilisée.

Remarque

Vous devez également disposer d’affectations d’adresses IP statiques et d’instructions de conduit pour votre serveur de messagerie.

Lorsque Mailguard est configuré, Mailguard autorise uniquement les sept commandes SMTP minimales requises, comme décrit dans la section 4.5.1 de la requête de commentaire (RFC) 821. Ces sept commandes obligatoires sont les suivantes :

  • HELO
  • COURRIER
  • RCPT
  • DONNÉES
  • RSET
  • NOOP
  • QUITTER

Les autres commandes, telles que KILL et WIZ, ne sont pas transférées au serveur de messagerie par le pare-feu PIX ou ASA. Les premières versions du pare-feu PIX ou ASA retournent une réponse OK , même aux commandes bloquées. Cela a pour but d’empêcher un attaquant de savoir que les commandes ont été bloquées.

Pour afficher la RFC 821, visitez le site web RFC : RFC 821 - Simple Mail Transfer Protocol.

Toutes les autres commandes sont rejetées avec la réponse 500 Command non reconnue .

Sur les pare-feu Cisco PIX et ASA avec les versions de microprogramme 5.1 et ultérieures, la fixup protocol smtp commande remplace les caractères de la bannière SMTP par des astérisque, à l’exception des caractères « 2 », « 0 », « 0 ». Les caractères retour chariot (CR) et saut de ligne (LF) sont ignorés. Dans la version 4.4, tous les caractères de la bannière SMTP sont convertis en astérisque.

Tester mailguard pour la fonction appropriée

Étant donné que la fonctionnalité Mailguard peut retourner une réponse OK à toutes les commandes, il peut être difficile de déterminer si elle est active. Pour déterminer si la fonctionnalité Mailguard bloque les commandes qui ne sont pas valides, procédez comme suit.

Remarque

Les étapes suivantes sont basées sur les versions 4.0 et 4.1 des logiciels PIX ou ASA. Pour tester les versions ultérieures du logiciel PIX ou ASA (version 4.2 et ultérieures), utilisez la fixup protocol smtp 25 commande et les instructions statiques et de conduit appropriées pour votre serveur de messagerie.

Avec Mailguard désactivé

  1. Sur le pare-feu PIX ou ASA, utilisez les commandes statiques et de conduit pour autoriser tous les hôtes sur le port TCP 25 (SMPT).

  2. Établissez une session telnet sur l’interface externe du pare-feu PIX ou ASA sur le port 25.

  3. Tapez une commande qui n’est pas valide, puis appuyez sur Entrée. Par exemple, tapez goodmorning, puis appuyez sur Entrée.

    Vous recevez la réponse : 500 Commande non reconnue.

Avec Mailguard activé

  1. Utilisez mailhost ou la fixup protocol smtp 25 commande pour activer la fonctionnalité Mailguard sur l’interface externe du pare-feu PIX ou ASA.

  2. Établissez une session telnet sur l’interface externe du pare-feu PIX ou ASA sur le port 25.

  3. Tapez une commande qui n’est pas valide, puis appuyez sur Entrée. Par exemple, tapez goodmorning, puis appuyez sur Entrée.

    Vous recevez la réponse : OK.

Lorsque la fonctionnalité Mailguard est désactivée, le serveur de messagerie répond à la commande qui n’est pas valide avec le message 500 Command non reconnu . Toutefois, lorsque la fonctionnalité Mailguard est activée, le pare-feu PIX ou ASA intercepte la commande qui n’est pas valide, car le pare-feu passe uniquement les sept commandes SMTP minimales requises. Le pare-feu PIX ou ASA répond avec OK , que la commande soit valide ou non.

Par défaut, le pare-feu PIX ou ASA empêche toutes les connexions externes d’accéder à l’intérieur des hôtes. Utilisez les instructions de commande static, access-list et access-group pour autoriser l’accès externe.

Pour plus d’informations sur les produits de pare-feu qui ont des fonctionnalités de proxy SMTP, visitez les sites web suivants :

Exclusion de responsabilité de tiers

Les produits tiers mentionnés dans le présent article sont fabriqués par des sociétés indépendantes de Microsoft. Microsoft exclut toute garantie, implicite ou autre, concernant les performances ou la fiabilité de ces produits.

Exclusion de responsabilité sur les coordonnées externes

Microsoft fournit des informations de contact de sociétés tierces afin de vous aider à obtenir un support technique. Ces informations de contact peuvent être modifiées sans préavis. Microsoft ne garantit pas l’exactitude des informations concernant les sociétés tierces.