Probleme de redirection NAT IMAP/IMAPS, pop3/pop3s
-
Bonjour,
Je viens vers vous car j'ai un petit problème et j’espère que vous pourries m'aider. Donc, dans mon entreprisse je suis entrain de mettre en place un firewall PFsense, qui est derrière un freebox avec le routage NAT désactiver sa fais que l'ip publique elle est directement a l'interface WAN de PFsense et j'ai une table NAT en moins a m'occuper.
En fin c'est pas sa le problème jusqu’à la tout marche bien (redirection vers le serveur terminal sevrer ok, Web-mail en https d'exchange ok, glpi dans le port 80 ok aussi) mais je ne reçoit pas les e-mail externes, donc allienor qui s'occupe de notre redirection sntp du courrier entrant ils m'assurent que les mails sont bien diriges vers mon ip publique.
je vous met quelques screen qui peuvent vous aider:
- screen de la table nat et du firewall
- un scanner de port fait sur le net (on vois bien que IMAP/IMAPS et pop3/pop3s sont fermées)
- le détail de une réglé
donc dans mon réseau:
interne LAN
–-------------------------------------
| Exchange ----- PFsense ---- Freebox |---- alienor (relais SMTP)Si vous avez besoin de plus d'information je suis a l’écoute.
dessole pour mon orthographe je parle français depuis peu et j'ai encore des difficultés
- screen de la table nat et du firewall
-
je ne reçoit pas les e-mail externes
Il faudrait voir les logs de Pfsense. Petit problème cependant, vous dites ne pas recevoir les mails externes ce qui signifie quoi au juste ? Ils n'arrivent pas sur votre serveur de mail interne ? Arrivent ils bien sur le relais ?
Dans le titre vous faites référence à un problème de redirection de pop et imap ce qui est différent de la réception du courrier sur votre serveur interne (SMTP). Bref je ne suis pas certain de bien comprendre votre problème.
Sinon d'après vos copies d'écrans les choses me semblent correctes. -
Bonjour ccnet tout d'abord merci pour ta réponse rapide,
Donc J'ai eu Alienor.net (mon relais SMTP) et les e-mail arrivent bien chez eux, ensuite il essayent de l'envoyer vers mon serveur mail exchange en local sauf qu'ils n'arrivent pas jusqu’à la donc effectivement sa l'ai d’être un problème SMTP et non IMAP/POP3 mais pour tant dans le scanner de ports montre bien que le port 25 est ouvert donc si les e-mails arrivent jusqu’à la ils devrait arriver sur exchange….
J'ai fait référence aux protocole POP et IMAP puis que en premier lieu je pensait que sa venait de la puis que on vois toujours dans le scanner de ports que ils sont bloquées par le firewall.
en tout cas j’espère avoir été plus claire par rapport a mon problème.
Merci encore.
-
C'est clair. Première chose déterminer la cause du problème. Pour cela il faut des informations. D'abord activer les logs dans pfsense pour la règle qui autorise le smtp entrant, ensuite enregistrer une trace en faisant un test concerté avec Alienor. De leur côté ils ont des logs, que voeint ils dans ces logs ?
-
Peut-être que le routage se fait bien, mais que c'est au niveau applicatif que c'est rejeté.
Regarde si sur Exchange tu ne dois pas ajouter une règle pour autoriser l'IP (ou la tranche IP) du relai SMTP de ton fournisseur. Ton serveur rejette peut-être le tentatives de communication. -
Bonjour,
Jey-B, merci de ta réponse, sur mon serveur exchange j'accepte bien tout les mails venant de mon routeur pfsense, de ce coter la je suppose que tour fonctionne correctement, avant PFsense j'avais un firewall "arkoon" qui est tomber HS (d'ou le remplacement vers pfsense) et touts les e-mail passait par la freebox avant d'arriver au serveur exchange, en gros la même configuration sauf que le firewall change.
ccnet, ce soir je recommence mes tentatives avec les logs en main et je vais eseyer de localiser plus précisément le problème dans touts les cas les e-mails arrivent bien a sortir (j'utilise le SMTP de free pour sortir) mais pour rentrer je n'arrive pas (relais SMTP de alienor.net).
je vous tien au jus de l'avancement.
Merci encore de vos réponses.
-
… avant PFsense j'avais un firewall "arkoon" qui est tomber HS ... en gros la même configuration sauf que le firewall change.
Sans doute pas ! L'arkoon avait peut-être un rôle de relais smtp …
Il y a pas mal de choses que je n'effectuerais pas de cette façon :
- un exchange : JAMAIS en ligne directe, TOUJOURS un relais smtp en DMZ !
- pas d'accès en pop3 pour exchange : exchange est un mauvais serveur pop et imap, c'est un serveur exchange c'est tout
- un relais smtp extérieur ? et pourquoi donc ?
La réception de mail s'effectue vers le MX indiqué dans le domaine, qui doit être une ip fixe.
Le "boulot" d'alienor.net est, je suppose, de filtrer les mails (avec antivirus/antispam) puis de les renvoyer vers votre serveur.
Il faut être sûr de la procédure : quelle adresse ip publique (fixe) ? quel protocole ? quel port ?
Il faut effectivement avoir une règle NAT qui renvoie le flux vers le serveur exchange, avec log pour regarder ce qu'il se passe. -
Re-bonjour,
Donc aujourd’hui après une nouvelle tentative de misse en place j'avais tous les logs prêt a être lus, et la surprise tout marche sans problème! et la grand mystère…. je ne sais pas ou était le problème, je lui ai seulement installe des plugins qui n'ont rien a voir après je n'ai pas touche a la config!
Mais pour répondre a jdh, je note ton conseil de faire un relais smtp en DMZ, pour protéger mon exchange!.
Tu dis que exchange est un mauvais serveur pop et imap? tu me conseil de faire comment avec mes clients :s!
Puis alienor est notre relais SMTP effectivement in nous fais un filtre anti-spam et héberge aussi notre site internet mais pur-quoi en externe :s je ne sais pas je e travaille pas encore dans l'entreprise quand la desicion a été prisse!Voila je vous remercie a tous pour m'avoir aider!
a bientot
Nicolas.
-
Un relai SMTP permet de filtrer, mais surtout de garder en queue les mails quand l'IP du serveur est indispo. Les PME n'ont pas les mêmes moyens qu'un hébergeur (redondance de lignes Internet cablées sur d'autres centraux, temps de rétablissement qui risque d'être long même avec une GTR, etc.), donc en cas de panne, les mails sont gardés et redistribués plus tard, voir transférés ailleurs.
-
Quand on veut recevoir des mails sur un serveur de mail interne, il faut
- disposer d'une ip fixe (ou de 2 différentes),
- configurer le MX du domaine pour qu'il pointe sur cet ip fixe,
- configurer le firewall pour qu'il dirige le flux smtp (25/tcp) sur un relais smtp ou le serveur de mail interne.
L'intérêt d'un relais mail est d'utiliser une machine dédiée à la réception des mails, au filtrage AV/AS et au renvoi vers le serveur de mail interne.
Pour l'envoi de mail, le schéma est inverse : serveur de mail interne -> relais mail -> internet.
Cela évite, par exemple, de surcharger le serveur de mail interne des spam (90% des mails environ) !Une Debian plus Postfix (+ amavis + clamav + spamassassin + greylist + …) et ça roule.
(J'en ai monté un en 2h mais l'ajustement a été plus long ...)
On peut penser à des distributions spécialisées comme Artica, ...Et cela peut protéger n'importe quel serveur de mail interne : exchange, domino/notes, ...
Exchange est un système qui fonctionne mais qui reste complexe à mettre en place (il est capable de gérer beaucoup de choses).
Le meilleur client connu est Outlook, et on peut connecter Outlook à Exchange en utilisant https.
Soit on utilise un VPN puis on lance Outlook en mode standard, soit on ouvre https et on configure Outlook et Exchange en conséquence.
(Ce dernier point est ni plus ni moins que les offres de Hosted Exchange des opérateurs ...).NB : Est ce Exchange qui est un mauvais serveur pop/imap ou Outlook qui est mauvais client pop/imap d'Exchange ?
Toujours est-il que je recommande d'utiliser Outlook quand le serveur est Exchange !NB : SFR est un FAI connu qui propose avec ses SDSL des boites POP/IMAP "standard" ou des boites Exchange (=Hosted Exchange en https).
En réalité les boites POP et IMAP sont aussi sous Exchange, mais on traverse, sans le savoir, perdition qui joue son rôle de "proxy pop/imap".
Perdition convertit en réalité les protocoles d'accès pop/imap ce qui permet d'utiliser comme client pop à la fois Thunderbird et Outlook (en client pop) et, ce, en toute sécurité. (informations obtenues lors d'un bug SFR et en discutant avec un tech très affuté : j'avais moi-même installé perdition en sortie de mon réseau) -
Tu parles d'un relai SMTP interne (en DMZ pour suivre ton exemple), et moi d'un relai SMTP chez un fournisseur/presta (ce qui n'empêche pas d'utiliser le "tien" en même temps).
Je pense comprendre qu'il utilise ce genre de relai SMTP, ce qui est tout à faire normal, et même fortement recommandé.En général, en MX on met l'IP du relai SMTP en prio1, et l'IP de son accès sDSL en prio2.
