Relève des mails sur iPhone impossible



  • Bonjour,
    J'ai mis en place le pare-feu de pfSense couplé à un portail captif et j'ai donc ouvert quelques ports pour permettre la navigation Internet.
    Les ports ouverts sont les suivants :

    • 80 : HTTP
    • 443 : HTTPS
    • 8000 : page du portail captif
    • 53 : DNS
    • 143 : IMAP4
    • 993 : IMAP/S
    • 110 : POP3
    • 995 : POP3/S
    • 25 : SMTP
    • 587 : SMTP/S
    • 465 : Google Mail

    Seul hic, avec un iPhone, impossible de relever les mails d'un compte Gmail !?
    Qu'aurais-je oublié ?

    Merci



  • Bonjour

    Cela fonctionne avec un pc et un client mail standard (ex: thunderbird) ?



  • Oui, j'ai testé, ça fonctionne.



  • je suppose que le test avec Andoïde fonctionne à aussi été réalisé avec succè ?

    Peut être une implémentation ''foireuse'' sur cette verssion d'Ios .. ?

    (j'ai déja eut des cas de fonctionnement totalement foireu avec des Ios, certaine verssion ok d'autres beaucoups moins ^^)

    Les implémentations ''propre'' des protocoles standard ne sont pas légions chez les croqueurs de pommes^^



  • Plusieurs fois installé ce type de configuration, pas de problème à signaler. Ce qui ne signifie pas qu'il n'y en a pas. Question rituelle : que disent les logs ? Dans ce type de problème on active les logs nécessaires et on regarde ce qui se passe … Voire même on réalise des captures de trames.



  • Un minimum est d'analyser les logs (sur les paquets refusés).
    On peut aussi utiliser Packet Capture qui identifiera tout.

    Sur votre liste de ports ouverts, il y a des ports ouverts non sûrs ou que je n'ouvrirais pas :

    • dns : 53/tcp+udp : non : le dns local a seul droit de sortir sur ce port, les pc internes doivent utiliser le srv dns local
    • smtp : 25/tcp + 587/tcp (smtp-auth et non smtps) : il n'y a aucune raison de ne pas passer soit par un serveur de mail interne soit par le smtp du fai : un pc infecté d'un générateur de mail sera à l'aise avec une règle comme ça !
    • pop+imap : pas nécessaire de permettre à chacun d'accéder à ses mails perso ! A minima à limiter au serveur de mail interne s'il fetch les mails depuis un hébergeur !
    • google mail : 465/tcp = smtps ! : pas utile sauf pour du perso donc pas utile !


  • Je vais suivre vos conseils en terme de fermeture de ports.
    Ce qui me gène le plus c'est la messagerie. Dans ces conditions, on ne peut utiliser qu'un webmail.
    Par contre, je ne comprends pas en quoi garder le port 587 ouvert est risqué ?

    Merci



  • L'usage perso pour sa messagerie est discutable en entreprise.
    Il n'y a donc pas besoin que l'utilisateur configure sur son micro professionnel un accès à sa messagerie perso.
    Donc pas de pop3/imap/smtp-auth sortant (il serait très idiot d'utiliser smtp !).

    Seul le serveur de mail interne a besoin de smtp/smtp-auth pour envoyer et recevoir des mails (sauf avec fetchmail où pop3 est nécessaire).

    De plus, compte tenu de l'obligation légale, on devrait toujours utiliser un proxy pour les flux http/https.


Log in to reply