Pièces jointes bloquées sur installation neuve et sans filtrage



  • Bonjour à tous,

    Voici mon problème :

    Tout fonctionne au niveau des postes clients sauf les pièces jointes dans Outlook. (Je n'ai pas pu essayer d'autre client de messagerie)

    Voici l'infra :

    Pfsense 2.2.4
    Interface  Wan :
    192.168.1.2
    Modem en 192.168.1.1 DMZ sur 192.168.1.2

    Interface Lan :
    192.168.0.1
    DHCP entre 192.168.0.10 et 192.168.0.50

    C'est une installation neuve prévue pour remplacer une box qu'on ne peut pas administrer sans le FAI. Il n'y a pas de proxy.

    Le souci est que lorsque la passerelle est le Pfsense, on ne peut pas envoyer de mail avec PJ.
    Si la passerelle est la Box FAI, pas de souci.

    C'est le seul problème avec cette installation, tout le reste fonctionne.

    L'erreur Outlook est "la connexion au serveur a été interrompue par le serveur distant"
    Cela ne se produit pas avec la Box FAI.

    Merci d'avance pour vos réponses



  • Salut salut

    En déduire que pf est la cause de ce problème est un peu rapide.

    J'ai quand même du mal suivre votre plan d'adressage.

    Si je vous suis :

    un modem en 192.168.1.1 avec une mise en dmz sur 192.168.1.2 (donc le pf toujours si je comprends bien)
    un pfsense avec :

    • wan 192.168.1.2
    • lan 192.168.0.1 avec un dhcp [0.10 à 0.50[

    Là ou je ne comprends pas le faites que pf soit la cause du non envoi "le non laissé passer la pièce jointe" d'un mail, n'est pour moi le responsable.
    C'est le serveur de mail qui à mon sens qui avec ce message le responsable de cette interruption.
    Nous sommes bien d'accord que vous n'avez pas installer le mode proxy, ce qui conforte mon avis.

    QuestionS :

    • Avez vous rajouté des plugins ou addons sur votre pf ?
    • Comment avez vous paramétré la partie dns ?
    • Que disent vos log sur le PF ? et aussi sur outlook ?
    • Comment est paramétré outlook ? pop/smtp ou imap ou liaision exchange ?

    Suggestion :

    • passer par un pare-feu non pf type "ipcop" si vous avez la même erreur.
    • mon idée est qu'il se peut que cela vienne d'un bon de trop et ou avec un timing de récupération de votre mail
    • en fonction de votre mode de récupération de vos mails il va vous falloir accroitre le temps qui est en général a 1 min passer à je dirais 5 min.

    Je ne dis pas que cela pourrait être la solution mais des pistes.

    Cordialement.



  • Un petit rappel théorique pour poser le problème correctement.
    Pfsense est un firewall réseau, travaillant principalement sur les couches 3 et 4 du modèle osi, en gros IP et TCP/UDP. Bloquer une pièces jointe suppose un examen à "l'intérieur" du protocole de messagerie utilisé.
    Un effet de bord résultant de paramétrages inadaptés de Pfsense est possible.
    Il faut compléter votre description tel que demandé ci dessus.
    Le message d'erreur Outlook semble révélateur d'un problème application ne concernant pas Pfsense. Une capture du trafic lors de l'échec pourrait aider dans le diagnostique. Ce qui suppose votre capacité à analyser l'échange d'un point de vue protocolaire.



  • Merci à tous pour votre réponse.

    Pour répondre à chacun.

    @tatave :

    Il n'a pas de configuration supplémentaire sur le PfSense que celle de base (Lan / Wan ,etc). Il s'agit pour l'instant de test.
    La partie DNS est configurée sur 8.8.8.8. Même problème en mettant les DNS FAI.
    L'Outlook est configuré en pop / smtp. L'envoi de mail simple sans PJ fonctionne sans problème.

    Je vous joins les logs dès que possible.

    @ccnet :

    C'est ce que je ne comprends pas. Sans inspection, quel est l'élément bloquant ?
    Je remplace tout bêtement une box par un PfSense, pas de configuration particulière, j'ai fais ça des tas de fois avec des configurations bien plus compliquées. Le problème est que tous les postes clients avec Outlook ont le souci. Je remets la box FAI, tout part bien.



  • Ce qui n'est pas clair, à mon sens, dans la description de ton environnement, c'est où, d'un point de vue réseau, se situent clients et serveur mail.

    Pour que pfSense puisse avoir un impact dans le processus d'envoi de mail générant un message d'erreur au niveau du client, j'imagine qu'il s'agit d'un serveur Exchange distant…
    Mais s'agit-il bien d'Exchange ?

    La question sous-tendue est "quel est le protocole utilisé ? MAPI ou un classique IMAP ou POP ?"

    A infrastructure réseau équivalente, à supposer que la box de ton FAI n'agit que comme une gateway, il y a assez peu de raison pour que pfSense perturbe une communication de part et d'autre du FW sauf si il y a bien sur une règle qui rejette des packets mais dans ce cas c'est très visible dans les logs (à ce sujet, as-tu bien regardé les logs de pfSense ?)



  • Halte aux fantasmes : un firewall est plus un 'interrupteur' de flux qu'un 'inspecteur' de flux !
    Un firewall autorise ou non un flux (=un protocole) et n'analyse pas l'intérieur d'un flux.

    Dans le cas particulier, entre un (pc) client Outlook et un serveur de mail, les protocoles peuvent être MAPI (si Exchange) ou POP/IMAP et SMTP.
    Et dans la pratique, pfSense n'embarque aucun module d'analyse des ces 4 protocoles.

    Une possibilité flagrante pourrait être un problème purement IP comme par exemple le MTU.



  • C'est du POP / SMTP classique.
    Le serveur SMTP est soit celui du FAI, soit un SMTP authentifié chez un prestataire, les 2 ne fonctionnent plus lorsque le PfSense est la passerelle.

    Autre test que je n'ai pas mentionné :

    Routeur 4G fixé en 192.168.0.240.
    Je le mets en Gateway sur le Pfsense, problème présent.
    Je le mets en Gateway directement sur le poste, pas de souci d'envoi de mail…

    Je vais essayer d'être clair. Je n'ai jamais dis que le PfSense faisaitde l'inspection, j'essaye juste de comprendre ou ça bloque !!

    Pour le MTU, c'est ce à quoi j'ai pensé en premier mais pour le résoudre ... c'est là où je demande de l'aide. La valeur utilisée est celle par défaut.

    Je suis Technicien Système et Réseau, je comprends bien toutes les bases de la communication IP et les différents rôles des équipements réseaux. Là ou je comprends pas, c'est que j'ai des installations strictement identiques qui fonctionnent sans problèmes.

    J'adore apprendre et là, face à ce problème, je ne demande que ça...



  • le MTU aurait surtout un impact en terme de performance  ;)

    Si tu as des packets bloqués par le FW, ça doit apparaître dans le log de pfSense. Que dit celui-ci ?

    puisque le problème n'existe visiblement qu'en envoi et que tu n'utilises pas de mécanisme "Microsoft", tu n'es donc pas lié "en dur" à Outlook en tant que client. As-tu fait, juste pour voir, un test avec un autre client de mail ?

    Je fais également la supposition que tu n'as installé aucun des packages spécifiques au mail comme mailscanner, spamd ou postfix forwarder.



  • Sur la config de l'interface Wan, fixe le MTU à 1492 et voie ce que cela donne



  • Quelques questions:
    Qui est ce FAI ?
    'http' passe bien ? (en gros, le surf sur le net est ok ?)
    Ton box, possible de la faire travailler en mode pppoe ? (ça va simplifier un max les choses - pfSense aura un vrai IP WAN à ce moment, il adore ça)

    Sinon, le typique (exemple) (Ligne téléphonique+ADSL) => Livebox => pfSEnse est possible, ça fonctionne du moment qu'on gère bien le concept routeur derrière routeur.
    [j'utilise Orange moi même mais certainement pas un Livebox == routeur pur et dur - le téléphone VOIP / Wifi / Télé, etc, j'en ai pas besoin]

    Si possible, laisse tomber le paramétrage 'DMZ' de ton box.
    Donne pfSEnse un IP-statique, comme 192.168.0.2/24 (ton box possède un 192.168.0.1/24 coté son 'LAN').
    Le DNS de pfSEnse : simple : tu enchaine : 192.1680.0.1 ;)

    Dans ce cas - sans toucher au règles NAT ni règles Firewall sur WAN et LAN, la communication passe.

    D'ailleurs: un mail avec un 'pièce joint' n'est qu'un mail 'un peu plus grand' qu'un mail sans pièces joints.

    Aussi : la porte 'smtp' de ton FAI n'est pas le '25' mais au moins le '587' (= submission), voir le '465' (smtps).



  • @Gertjan:

    Le DNS de pfSEnse : simple : tu enchaine : 192.1680.0.1 ;)

    A condition que ladite boîte fasse office de DNS  ;)  C'est le cas le plus courant chez nos FAI mais il faut se méfier. Un DNS externe, c'est bien aussi  8)

    D'ailleurs: un mail avec un 'pièce joint' n'est qu'un mail 'un peu plus grand' qu'un mail sans pièces joints.

    oui d'un point de vue réseau, attention cependant aux contrôles qui peuvent être ensuite mis en œuvre, soit au niveau du serveur SMTP, soit par des composants tiers comme un anti-virus, anti-spam et autres. Ce serait pas exemple intéressant de regarder si il y a un anti-virus local sur le poste client  ;)

    Aussi : la porte 'smtp' de ton FAI n'est pas le '25' mais au moins le '587' (= submission), voir le '465' (smtps).

    port 465:  tu as parfaitement raison mais bof…  :-\  ce n'est pas un port standard donc à éviter si possible. A noter que certains FAI implémentent un contrôle basé sur l'adresse IP du client. Si celui-ci est dan le range d'adresses IP du FAI, l'envoi sur le port 25 est parfaitement autorisé. Ce qui amène une question supplémentaire: y a t-il des différences d'adresse IP publique dans cette installation selon qu'on passe de la box FAI à pfSense ?



  • Merci à tous pour votre implication et les différentes pistes envisagées.

    La modification du MTU comme évoqué par baalserv a semble-t il résolu le problème.  ;D

    J'attends un retour utilisateurs mais depuis hier 14h, je pense qu'on m'aurait déjà dit que les PJ ne passaient pas.

    Pour info, le FAI est Nordnet  :-\