Exchange 200x derrière un Cisco PIX/ASA : problèmes SMTP aléatoires

 

Si votre serveur Exchange est placé derrière un firewall Cisco et que vous avez déjà rencontré un des problèmes décrits ici, ce billet est probablement pour vous :

 

Symptômes :

• Problèmes d’envoi/réception d’emails (particulièrement avec des pièces jointes !)
• Réception de messages dupliqués
• Lenteurs anormale de remise
• …etc

Le plus souvent, ces problèmes surviennent lorsque la fonction Mailguard (ou Inspection ESMTP sous ASA) est activée (et elle l’est par défaut !).

Pour déterminer si la fonction Mailguard est activée sur le firewall, établissez une session telnet vers l’adresse IP de l’enregistrement MX. Si vous recevez une réponse similaire à ce qui suit, alors Mailguard est activé.

Mailguard offre une protection contre les attaques SMTP en limitant les types de commandes SMTP transmises via le pare-feu Cisco. Ceci s’applique également à plusieurs routeurs Cisco.

Cette fonction a malheureusement des effets secondaires tels que ceux décrits plus haut. La solution au problème est alors de tout simplement désactiver la fonction Mailguard.

Sur un PIX, la commande de désactivation est “no fixup protocol SMTP 25”

Sur un ASA, cela ressemble plutôt à cela :

CiscoASA(config)#policy-map global_policy
CiscoASA(config-pmap)#class inspection_default
CiscoASA(config-pmap-c)#no inspect esmtp

Pour plus de détails, consultez les articles suivants :

• Exchange 2007 SMTP Communication with Cisco PIX Firewalls
• Exchange SMTP Connector issues over Cisco firewall
• Disable ESMTP inspection