Impossible d'envoyer des mails via Outlook - Erreur sur le SMTP 587



  • Bonjour,

    Mon FAI est SFR, j'utilise PFSENSE 1.2.

    J'ai besoin d'utiliser Outlook comme client de messagerie. Je viens de faire un test avec plusieurs mails : hotmail et gmail.
    Mon client de messagerie est correctement configuré, car si je tente d'envoyer un mail ailleurs (par exemple depuis chez moi), tout se passe bien.
    Le problème se situe au niveau de l'envoi des mails, donc le SMTP configuré sur le port 587 ne fonctionne pas.
    Comme s'il était bloqué par PFSENSE.

    Quelqu'un peut il m'aider à enlever ce blocage ?

    Merci de vos réponses



  • Comme s'il était bloqué par PFSENSE.

    Et si vous nous communiquiez votre configuration, vos règles de filtrage ? Si vous regardiez les logs de Pfsense ? Bref si vous preniez en main un minimum pour que l'on puisse vous aider en donnant les informations indispensables à un diagnostic.



  • En effet, excusez moi.

    Mon problème premier est que je ne suis qu'une simple formatrice en bureautique,et que mes stagiaires en formation se plaignent de ne pas pouvoir utiliser outlook ..

    Le serveur PFSense a été installé il y a un petit moment maintenant par une personne qui n'est plus là.

    Je me retrouve donc à devoir gérer les plaintes de mes stagiaires et donc tenter de regarder ce qu'il se passe sur le PFSense, et honnêtement je ne sais pas quoi regarder….

    Pouvez vous me guider afin que je vous fournisse les informations que vous m'avez demandé ? Dans quel onglet dois je regarder ?



  • Pour les règles : Firewall: Rules onglet lan (probablement)
    Pour les logs : Diagnostics: System logs: Firewall mais là il faut faire un test pour voir passer la ligne de logs, à condition que la règle de refus soit loggée …
    Ceci pour les éléments basiques ensuite il peut y avoir d'autres raisons moins évidentes.



  • Ci joint 2 captures de l'onglet LAN et WAN.
    Une règle a pourtant été mise en place dans le WAN pour le port 587.

    Concernant  Diagnostics: System logs: je n'ai pas ce bouton sur mon interface






  • En partant de la première capture : il vous faut a minima une règle similaire à la cinquième ligne mais avec le port TCP/587 à la place de TCP/25. La règle avec le port 25 reste en place bien sûr.



  • La règle pour le port 587 est identique à celle du port 25.
    Mise à part que dans Diagnostics: System logs: j'ai mis from 587 to 587
    alors que la règle pour le port 25, il est indiqué : from SMTP to SMTP



  • Pas de problème c'est normal. Avez vous testé ?



  • Il faut une règle identique à celle du smtp (25) pour le 587 MAIS sur l'interface LAN pas sur l'interface Wan !

    La règle 10 sur Lan semble indiquer qu'il y en un autre Pf devant celuis ci; ce qui rendrai les règles sur Wan totalement inutile ^^

    Vous semblez totalement néophite en routeur/firewall :

    2 solutions s'offre à vous :
    1 -> investissez-vous dans la solution via une maquette (donc autre que matériels en place)
    2 -> faite appel à un prestataire qualifier dans votre région

    Cordialement

    EDIT : il semble que vous ayez un autre lan nommer ''parcour'' attention à ne pas créer des problèmes pour ce réseau par de mauvais réglages ^^



  • Dans l'onglet WAN, les lignes 2,5,6,7,8 sont à supprimer car elles n'ont aucun sens : une règle dans l'onglet WAN doit avoir, impérativement, une destination indiquée.
    Une règle dans WAN indique, en effet, un transfert du trafic du port indiqué vers une seule machine.

    Dans l'onglet LAN, il y a des erreurs sur certains trafics : FTP c'est 21/tcp (et non udp), DNS c'est 53/tcp+udp (mais il faudrait éviter d'autoriser ce flux à toutes les machines), inversion POP3S (993/tcp) et IMAPS (995/tcp).
    La règle sur port 7777 est très curieuse et ne doit guère fonctionner : on précise le port de destination mais il est curieux de fixer le port source qui est généralement variable (1024-65535).

    Sinon, je dis la même chose que ccnet et Baalserv, c'est plutôt rassurant …



  • Je vous remercie beaucoup de vos réponses.
    En effet je suis néophyte en matière de routeur…  :-[

    Je suis allée dans la salle des serveurs, j'ai branché mon portable directement à la box SFR, outlook a trés bien fonctionné.
    J'en déduis, peut être rapidement, que le problème vient bien de ce serveur PFSense.

    La box SFR est reliée a une petite "boite" sur laquelle est marquée PFSense 2.0. Cette "boite" relie les 2 box SFR au Serveur PF Sense 1.2

    L'adresse qui apparait dans les règles du LAN  : 192.168.20.200 correspond je pense à cette fameuse "boite". Elle gère le Load balancing.

    Concernant toutes les règles inscrites dans le LAN et le WAN du serveur PFSense 1.2, je n'ose les désactiver.
    Ya quand même toute une fac reliée dessus ^^ soit 300 personnes. je n'ose pas trop toucher, j'ai peur que plus rien ne marche ! j'aimerai juste autoriser le port du SMTP pour outlook ..

    J'ai dupliqué dans le LAN la règle du port 25, en changeant [b] Diagnostics: System logs: SMPT par 587
    Mais ça ne marche pas toujours pas

    Je suis d'accord qu'un prestataire serait largement plus performant, mais mes employeurs ne veulent pas, pour faute de budget. Puis le dernier qui est venu, nous a gentiment répondu que PFSense c'était de la merde et qu'il ne voulait pas y toucher  ! Nous proposant plutôt de tout refaire ! Du coup mes employeurs pour l'instant ne veulent pas investir, et me demande "simplement" de résoudre rapidement ce problème d'outlook.



  • Pour être en V 1.2.x le pfsense 1 doit dater de 2007-2009, il serai bon de remettre ''d’actualités''  votre infrastructure …

    Recherchez un peut chez les prestataire locaux, il est fort probable que l'un d'entre eux maîtrise pfsense correctement ^^

    Poster nous svp le screen de l'interface Lan après vos modif de ce matin

    EDIT : ''de la merde'' ? Alors que la solution fonctionne depuis 5-6 ans, un peut rapide comme conclusion ? non ?



  • Comme indiqué sur les copies de règles, le champ à modifier est "Destination port range" (et pas "Diagnostic …") : il faut remplir les 2 champs avec la valeur voulue.
    (Certaines valeurs sont définies et se convertissent en texte : smtp=25, ...).
    Après validation de la modification de la ligne, il faut bien sûr clicker sur "Apply" ou chercher Status > Filter reload > reload pour appliquer la modification.
    L'effet doit être immédiat.



  • pardon, c'est bien "Destination port range"
    ci joint 2 captures de l'état actuel des choses, le smtp de outlook ne marche toujours pas.

    Concernant le "de la merde", ce monsieur n'avait pas été trés fin, je le reconnais ! Il a préféré de toute manière nous faire un devis sur une remise à zéro de parc que de regarder quoi que ce soit !






  • La règle semble correcte telle que présentée sur l'interface.
    Il faut recharger les règles : je préfère être certain en faisant Status > Filter Reload puis le bouton.

    Au pire, dans la règle, on active le log, puis Filter Reload et visu dans Status > System logs > onglet firewall.



  • Oui j'ai pris bien soin à chaque fois de recharger les règles comme tu as indiqué. Mais ça ne marche toujours pas.

    Je viens de trouver un document sur lequel il est indiqué que la fameuse petite "boite" PFSense2.0 est un routeur qui effectue du Load Balancing.
    ET il est dit que cela a permis la mise en place de délais et de contraintes d'accès (ex : facebook, youtube, etc).

    C'est peut être celui ci qui me bloque en fait, non ?
    Mais ce que je ne comprends pas, c'est que c'est vraiment un petit routeur (physiquement je veux dire) c'est pas un PC comme celui qui possède le PFSense 1.2

    Puis je peux trés bien aller sur Facebook, youtube. Donc je pense que ce papier doit être erroné …

    J'ai l'impression d'être à la chasse au trésor !  :o



  • CI joint une capture de Firewall –> NAT

    Je ne devrais pas y rentrer quelque chose ??




  • C'est règles sont sur le pf 1 ? si oui, plus aucun intérêt ^^



  • Postez-nous les règles de l'interface Lan du pf 2.0 svp

    ou autre test : hors production, connectez votre portable sur le Lan duPf 2.0 et faite le test



  • Le routeur du PFSense 2.0 n'a que 3 ports : les 2 bornes SFR et le serveur PFSense 1.2

    Je ne peux donc pas m'y brancher en direct sans déranger le trafic actuel.

    Normalement je dois pouvoir me connecter au routeur via une adresse IP ? non ?
    Le tout étant de la trouver ! Et donc dans la logique je devrai tomber sur une interface similaire au serveur PFSense 1.2 ?

    Même si physiquement ce n'est pas du tout le même matériel ? A savoir le routeur c'est un tout petit boitier et le serveur c'est un PC ?
    Désolée de la bétise des questions !



  • Attention à bien comprendre la différence entre NAT (Port Forward) et Rules !

    • les flux LAN vers WAN sont gérés dans Firewall > Rules > onglet LAN.
    • les flux WAN vers LAN (et précisément un SEUL serveur) sont gérés, d'abord, dans Firewall > NAT > Port Forward, puis génère une règle qui se trouve dans Firewall > Rules > onglet WAN.

    Pour ce 2ième cas, dans pfSense 2.0 les 2 règles sont liées et WAN est mise à jour depuis NAT automatiquement.
    Alors qu'avec pfSense 1.3 il faut maintenir manuellement la cohérence entre les 2 règles WAN et NAT.

    Dans le cas présenté, il s'agit d'un flux sortant, donc LAN vers WAN, et seule compte la règle dans Firewall > Rules > onglet LAN.

    S'il y a 2 lignes ADSL, on peut avoir soit 2 firewall enchainés soit 1 firewall gérant la totalité.
    Dans le cas 2 firewalls enchainés : on aura :
    LAN général <-> (LAN) firewall general (WAN) <-> (LAN) firewall loadbalancing (WAN1 + WAN2).

    Les règles dont vous donnez les images mentionnent un seul WAN : c'est donc le firewal général !
    Il faut donc une bonne règles dans l'onglet WAN : elle semble correcte.
    Mais il faut regarder le firewall de load balancing pour savoir comment il fonctionne …
    S'il s'agit aussi d'un pfSense, il doit pouvoir être managé via son adresse ip LAN qui ne doit être autre que la gateway de LAN du pfSense général.



  • Merci pour cette explication  :)

    Concernant l'adresse, c'est ce que je me suis dit. Je rentre dans ma barre d'adresse du navigateur l'adresse présente dans le tableau des Rules du LAN.
    Mais rien n'y fait, je tombe sur une jolie page "délai dépassé"..
    Je suis en train de fouiller dans les documents laissés par l'ancien installateur …

    Je m'y repenche lundi matin. Je vous remercie déjà de votre aide qui m'a permis de mieux appréhender PFSense, je n'osais pas toucher seule au risque de foirer tout le réseau !



  • @baalserv:

    Il faut une règle identique à celle du smtp (25) pour le 587 MAIS sur l'interface LAN pas sur l'interface Wan !

    C'est bien ce que je dis : première capture donc lan.png

    Je suis d'accord qu'un prestataire serait largement plus performant, mais mes employeurs ne veulent pas, pour faute de budget. Puis le dernier qui est venu, nous a gentiment répondu que PFSense c'était de la merde et qu'il ne voulait pas y toucher  ! Nous proposant plutôt de tout refaire ! Du coup mes employeurs pour l'instant ne veulent pas investir, et me demande "simplement" de résoudre rapidement ce problème d'outlook.

    J'ai "quelques" Pfsense en production depuis des années chez des clients. Stabilité et fiabilité complète. Ce prestataire est soit incompétent, soit a quelque chose à vendre. Je déploie aussi du Cisco ASA : pas de problème particulier mais attention à la facture !

    Après il y du ménage à faire dans cette configuration.



  • Je suis en train de fouiller dans les documents laissés par l'ancien installateur …

    Bonne idée ! Si on avait un schéma de l'organisation de cette partie du réseau avec les deux Pfsense …



  • @valou25:

    Même si physiquement ce n'est pas du tout le même matériel ? A savoir le routeur c'est un tout petit boitier et le serveur c'est un PC ?

    Le pfsense principal ''le gros'' ne ferait-il pas tourner un proxy + filtrage + radius + …. ?

    Cela expliquerai la différence de hardware ^^



  • Ci joint une image de la fameuse "petite boite" comme je l'ai appelé précédemment. C'est un routeur PFSense branché en amont du serveur PFSense. Ce dernier serveur fait en effet office de Serveur proxy, radius, firewall, DHCP.

    Malgré les règles modifiées dans le serveur  PFSense, il est toujours impossible d'envoyer un mail via outlook, SMTP 587.

    Le routeur PFSense peut il bloquer ce genre d'action ? ou est ce toujours dans le serveur PFSense qu'il y a quelque chose à modifier ou ajouter ?

    Merci beaucoup de votre aide

    ![box pfsense.jpg](/public/imported_attachments/1/box pfsense.jpg)
    ![box pfsense.jpg_thumb](/public/imported_attachments/1/box pfsense.jpg_thumb)



  • Il faut plus analyser votre schéma …

    Si le schéma est

    LAN <-> (lan) pfSense1 (wan) <-> (lan) pfsense2 (wan1 + wan2)

    il est clair qu'il faut comprendre les 2 niveaux de règles sur chaque pfSense.
    (Tout comme le dhcp sur pfSense2 n'est d'aucun intérêt !)

    Le boitier que vous indiquez doit correspondre à pfSense2 avec comme rôle principal le loadbalancing entre wan1 et wan2.
    Quid des règles placées là ? Est ce qu'à nouveau le tri des protocoles est réalisé ? Est ce le NAT est supprimé au niveau de pfSense1 ?
    Tout un tas de questions intéressantes et utiles ... quand on manque de documentation !



  • voilà le schéma que j'ai fini par trouver




  • Nous sommes bien dans un schéma à 2 firewall enchainés.
    Il y a donc lieu de regarder dans les 2 firewall quelles sont les flux autorisés de LAN vers WAN.
    2 liens d'administration :

    • http://pfsense1:port1/ + admin + mdp1
    • http://pfsense2:port2/ + admin + mdp2
      Les images des Firewall > Rules sont (forcément) celle de pfSense1.
      Il faut accéder aux règles de pfSense2 et à la façon de faire du loadbalancing (je ne suis pas expert).

    (Au passage, il y a un NAT assez inutile réalisé dans le pfSense1.
    Compte tenu de la taille, mettre un proxy dédié, et non sur pfSense1, serait une bonne idée.)



  • Bonjour,

    Comme le précise JDH, il faut regarder les règles du pf 2.0 de l'interface lan.
    Tous les protocoles ne se ''ballance'' pas, ex : Https
    Il doit donc y avoir des règles différentes dans pf2 pour http et https
    Il est probable que le mdp du pf2 soit le même que celui du pf1

    certitudes/suppositions:
    Le proxy est actif sur le réseau ''principal wifi'' = certitude
    Le proxy n'est peut être pas actif sur l'interface de ''l'autre réseau'' (parcour) = supposition
    => si le proxy n'est pas actif sur ce réseau, il ne vous gênera pas lors lors de l’accès à l'interface web du pf 2 -> essayez de vous connecter à l'ip lan du pf2 depuis un poste ou serveur de ce réseau

    Une fois connecter à l'interface du pf2 => ajouter une règle strictement identique à celle que vous trouverai pour le https mais pour le port de destination 587 (surtout mettre la même ''Gateway'' )

    Si vous arrivez à nous poster les règles de l'interface lan du pf2, nous serons plus à même de vous guider ^^



  • merci de vos réponses,

    j'essaie de me connecter au routeur PFSense 2, en entrant son adresse dans la barre d'adresse du navigateur, à savoir http://192.168.20.200/

    et je tombe sur une page m'interdisant l'accès, identique aux sites web bloqués par le réseau (site torrent et compagnie, interdit d'accès par le réseau)

    j'essaie avec l'adresse : http://192.168.20.200:7777/ (7777 est le numéro de port spécifié sur la feuille jointe au schéma que je vous ai posté), et là le navigateur m'affiche"Le délai d'attente est dépassé"

    je précise bien sûr que je suis sur un PC du réseau.

    :'(



  • quite a couper la production un moment, connecter votre portable directement sur le pf2

    Vous pouvez aussi essayer en spécifiant https://192.168.20.200 (et avec et sans le port 7777) il est normal d'avoir une ''erreur de certificat'' dans votre navigateur, il faut continuer pour avoir la page avec login/pwd



  • avec https://192.168.20.200 (avec ou sans le port 7777) rien ne s'affiche.

    je vais essayer de tester en branchant mon portable directement sur le PFSense2 du coup, mais je dois donc attendre la fin de la journée pour couper le réseau.

    Pouvez vous m'expliquer pourquoi je ne peux pas accepter au PFSense2 depuis le réseau actuel ? J'ai pourtant une règle dans le firewall du PFSEnse 1, dans la partie LAN (capture ci joint)




  • modifiez cette règles en modifiant le port source en any et le laisser le 7777 que dans le port de destination



  • j'ai modifié la règle mais je n'arrive toujours pas à me connecter au PFSense2.

    Je suis allée voir dans, Services –> Proxy Server  : j'ai rajouté mon adresse IP dans les "Unrestricted IPs" pensant que mon IP était bloqué, d'où ce message d'erreur comme quoi je n'ai pas le droit d'accéder à l''adresse http://192.168.20.200/
    mais rien n'y fait, je suis toujours bloquée !



  • avez-vous essayer depuis un poste/serveur du réseau parcour ?
    dans System | Proxy server | general, tout en haut le réseau parcour est-il ''sélectionner" ?

    EDIT : dans System | Proxy server | general : si c'est cocher devant ''proxy transparent'' alors essayer de mettre 192.168.20.200 dans : ''Bypass proxy for these destination IPs''
    => pour se connecter depuis le réseau wifi



  • En effet la case est cochée, mais je ne trouve pas "''Bypass proxy for these destination IPs''" cela se trouve sur la même page ?

    Vu que quand je tape http://192.168.20.200/ ma page de blocage de site blacklisté apparait, je suis allée dans "Proxy Content filter", et j'ai rajouté une règle pour autoriser cette URL. seulement rien n'y fait je ne peux toujours pas y accéder. Dois je redémarrer le Serveur PFSEnse ? J'ai vu qu'il avait un bouton "Reboot System" dans Diagnostics.



  • @baalserv:

    avez-vous essayer depuis un poste/serveur du réseau parcour ?
    dans System | Proxy server | general, tout en haut le réseau parcour est-il ''sélectionner" ?

    ?

    EDIT :
    @valou25:

    En effet la case est cochée, mais je ne trouve pas "''Bypass proxy for these destination IPs''" cela se trouve sur la même page ?

    Je n'ai pas de pfsense 1.x sous la main, seulement un 2.x



  • Oui je suis branchée sur le réseau Parcours, et je n'arrive pas à accéder à la page.
    Je pense que je n'ai d'autre solution que de débrancher le PFSense1 et de connecter mon portable directement avec un câble ethernet sur le routeur PFSense2 pour pouvoir accéder à la page.

    Je ne comprends vraiment pas, j'ai mis mon adresse IP dans le serveur PFSense pour lui donner un accés complet sur le réseau. Mais rien n'y fait, j'ai mis la page dans les pages autorisées, rien n'y fait non plus.  On dirait que toutes les modifications que j'apporte au serveur ne sont pas prises en compte ou alors je tape vraiment à côté !!



  • en partant du principe qu'il n'y a pas de proxy sur le réseau parcour (pas eut la réponse)
    vous avez 4 url a essayer :
    http://192.168.20.200
    https://192.168.20.200
    http://192.168.20.200:7777
    https://192.168.20.200:7777