RE: [FRnOG] Oleane/Ft/Orange...

[Luc Billot (lbillot)]

Pour info :

http://www.cisco.com/en/US/docs/security/pix/pix63/configuration/guide/fixup.html#wp1103488

 

SMTP 

This section describes how application inspection works with the Simple Mail 
Transfer Protocol (SMTP). It includes the following topics: 

• Application Inspection 
<http://www.cisco.com/en/US/docs/security/pix/pix63/configuration/guide/fixup.html#wp1103507>
  

•Sample Configuration 
<http://www.cisco.com/en/US/docs/security/pix/pix63/configuration/guide/fixup.html#wp1103521>
  

You can use the fixup command to change the default port assignment for SMTP. 
The command syntax is as follows. 

fixup protocol smtp [port[-port]]

 

The fixup protocol smtp command enables the Mail Guard feature. This restricts 
mail servers to receiving the seven minimal commands defined in RFC 821, 
section 4.5.1 (HELO, MAIL, RCPT, DATA, RSET, NOOP, and QUIT). All other 
commands are rejected. 

Microsoft Exchange server does not strictly comply with RFC 821 section 4.5.1, 
using extended SMTP commands such as EHLO. PIX Firewall will convert any such 
commands into NOOP commands, which as specified by the RFC, forces SMTP servers 
to fall back to using minimal SMTP commands only. This may cause Microsoft 
Outlook clients and Exchange servers to function unpredictably when their 
connection passes through PIX Firewall. 

Use the port option to change the default port assignments from 25. Use the 
-port option to apply SMTP application inspection to a range of port numbers. 

As of Version 5.1 and higher, the fixup protocol smtp command changes the 
characters in the server SMTP banner to asterisks except for the "2", "0", "0" 
characters. Carriage return (CR) and linefeed (LF) characters are ignored. PIX 
Firewall Version 4.4 converts all characters in the SMTP banner to asterisks. 

 

De : [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] De la part de christophe ridley
Envoyé : Thursday, June 05, 2008 12:27 AM
À : frnog@frnog.org
Objet : Re: [FRnOG] Oleane/Ft/Orange...

 

Le problème dont il est question n'a rien à voir avec le fournisseur puisqu'il 
n'y a pas de filtrage du SMTP.
S'il y avait filtrage on n'aurait pas de bannière du tout, or on la récupère 
bien cette bannière !
Mais comme on peut le voir, elle est modifiée. Et comme certains l'ont suggéré, 
il y a de très fortes chances que ce soit bien un PIX sur lequel le fixup 
(inspection applicative) SMTP est activé qui génère cela. Les étoiles qui 
remplacent la bannière en sont un signe typique.
Quelqu'un a du configurer le fixup SMTP sur un PIX entre le client et le 
serveur sans prévenir... Généralement, ce fixup n'apporte pas grand chose et il 
vaut mieux ne pas l'activer :

no fixup protocol smtp 25


---
> 
> Ce filtrage est vraiment une plaie. Pourquoi ne pas avoir la possibilité de
> le débloquer pour les utilisateurs avertis??
>
> Le fait de débloquer le filtrage uniquement si vous avez pris l'option ip
> fixe à 15€uros par mois HT, est vraiment un abus.
>
>Mauvais fournisseur, changer fournisseur.
>
>
>--
>Dominique Rousseau
>Neuronnexion, Prestataire Internet & Intranet
>57, rue de Paris 8 Amiens
>tel: 03 22 71 61 90 - fax: 03 22 71 61 99 - http://www.neuronnexion.coop 
><https://owa.awl.fr.atosorigin.com/owa/redir.aspx?C=994381fff6544e65868f9470e7073b12&URL=http%3a%2f%2fwww.neuronnexion.coop>
> 
>---
>Liste de diffusion du FRnOG
>http://www.frnog.org/ 
><https://owa.awl.fr.atosorigin.com/owa/redir.aspx?C=994381fff6544e65868f9470e7073b12&URL=http%3a%2f%2fwww.frnog.org%2f>
>  

<>

Re: [FRnOG] Oleane/Ft/Orange...

[christophe ridley]

Le problème dont il est question n'a rien à voir avec le fournisseur
puisqu'il n'y a pas de filtrage du SMTP.
S'il y avait filtrage on n'aurait pas de bannière du tout, or on la récupère
bien cette bannière !
Mais comme on peut le voir, elle est modifiée. Et comme certains l'ont
suggéré, il y a de très fortes chances que ce soit bien un PIX sur lequel le
fixup (inspection applicative) SMTP est activé qui génère cela. Les étoiles
qui remplacent la bannière en sont un signe typique.
Quelqu'un a du configurer le fixup SMTP sur un PIX entre le client et le
serveur sans prévenir... Généralement, ce fixup n'apporte pas grand chose et
il vaut mieux ne pas l'activer :

no fixup protocol smtp 25


---
> 
> Ce filtrage est vraiment une plaie. Pourquoi ne pas avoir la possibilité
de
> le débloquer pour les utilisateurs avertis??
>
> Le fait de débloquer le filtrage uniquement si vous avez pris l'option ip
> fixe à 15€uros par mois HT, est vraiment un abus.
>
>Mauvais fournisseur, changer fournisseur.
>
>
>--
>Dominique Rousseau
>Neuronnexion, Prestataire Internet & Intranet
>57, rue de Paris 8 Amiens
>tel: 03 22 71 61 90 - fax: 03 22 71 61 99 - 
>http://www.neuronnexion.coop
>---
>Liste de diffusion du FRnOG
>http://www.frnog.org/

Re: [FRnOG] Oleane/Ft/Orange...

[Julien Lesaint]

On Wed, 2008-06-04 at 17:19 +, Sebastien Gioria wrote:
> Ticket ouvert chez oleane on verra

Il ne donnera sans doute rien, à part un "c'est pas chez nous".

Le SMTP n'est jamais filtré sur le PE, il peut par contre être mis un
filtrage sur le CPE en cas de problème reporté à l'abuse desk (dont
l'adresse pour ce genre d'offre est [EMAIL PROTECTED] ou
@oleane.net, .fr plus encore un tas d'autres) et d'absence de réaction
de la part du client (une semaine).

-- 
Julien Lesaint.

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Oleane/Ft/Orange...

[Jean-Edouard Babin]

Salut,

C'est possible que le pix soit en cause, regarde si le fixup smtp est  
actif sur le pix.

Après ca depend aussi de la version du PixOS...

Le 4 juin 08 à 19:19, Sebastien Gioria a écrit :

Ya bien un PIX, mais ca explique pas pourquoi depuis genre 48h ca  
deconne Connexions qui ne s établissent pas sur le port 25 alors  
que sur un 2525 ca fonctionne..


Ticket ouvert chez oleane on verra


--Message d'origine--
De: Clement Cavadore
À: Gioria Sébastien
Cc: frnog@frnog.org
Envoyé: 4 jun 2008 18:58
Objet: Re: [FRnOG] Oleane/Ft/Orange...

Hello,

On Wed, 2008-06-04 at 16:42 +0200, Sebastien gioria wrote:

Est-ce que quelqu'un saurait si sur une
SHDSL 2Mbps  le filtrage sur port 25 serait chez certains clients
activés ? Comme c'est le cas sur un accès Wanadoo(Orange) Classique


Ton comportement est bizarre, certes, mais pour autant que je sache,  
le

filtrage fait sur les ADSL Orange grand public se faisait sur les BAS.

Vu que tu es en SDSL, il n'y a pas de BAS comme dans l'archi CIPA.
Donc s'il y a une politique quelconque, ce n'est pas la même...

En tout cas, il y a une réponse. Donc si le filtrage se fait, c'est  
à un

niveau supérieur...

--
Clément Cavadore



--
Sebastien Gioria[EMAIL PROTECTED]
SG41-GANDI  http://blog.gioria.org
Sent from my CrackBerry
---
Liste de diffusion du FRnOG
http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Oleane/Ft/Orange...

[gu!llaume]

Sebastien Gioria a écrit :

Ya bien un PIX, mais ca explique pas pourquoi depuis genre 48h ca deconne 
Connexions qui ne s établissent pas sur le port 25 alors que sur un 2525 ca 
fonctionne..

  

il y a un bug connu sur les PIX, avec le protocole SMTP.
postfix a même prévu un paramètre de config pour ca :

http://postfix.traduc.org/index.php/postconf.5.html#smtp_pix_workaround_delay_time


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Oleane/Ft/Orange...

[Clement Cavadore]

Hello,

On Wed, 2008-06-04 at 16:42 +0200, Sebastien gioria wrote:
> Est-ce que quelqu'un saurait si sur une
> SHDSL 2Mbps  le filtrage sur port 25 serait chez certains clients  
> activés ? Comme c'est le cas sur un accès Wanadoo(Orange) Classique

Ton comportement est bizarre, certes, mais pour autant que je sache, le
filtrage fait sur les ADSL Orange grand public se faisait sur les BAS.

Vu que tu es en SDSL, il n'y a pas de BAS comme dans l'archi CIPA. 
Donc s'il y a une politique quelconque, ce n'est pas la même...

En tout cas, il y a une réponse. Donc si le filtrage se fait, c'est à un
niveau supérieur...

-- 
Clément Cavadore

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Oleane/Ft/Orange...

[Sebastien Gioria]

Ya bien un PIX, mais ca explique pas pourquoi depuis genre 48h ca deconne 
Connexions qui ne s établissent pas sur le port 25 alors que sur un 2525 ca 
fonctionne..

Ticket ouvert chez oleane on verra


--Message d'origine--
De: Clement Cavadore
À: Gioria Sébastien
Cc: frnog@frnog.org
Envoyé: 4 jun 2008 18:58
Objet: Re: [FRnOG] Oleane/Ft/Orange...

Hello,

On Wed, 2008-06-04 at 16:42 +0200, Sebastien gioria wrote:
> Est-ce que quelqu'un saurait si sur une
> SHDSL 2Mbps  le filtrage sur port 25 serait chez certains clients  
> activés ? Comme c'est le cas sur un accès Wanadoo(Orange) Classique

Ton comportement est bizarre, certes, mais pour autant que je sache, le
filtrage fait sur les ADSL Orange grand public se faisait sur les BAS.

Vu que tu es en SDSL, il n'y a pas de BAS comme dans l'archi CIPA. 
Donc s'il y a une politique quelconque, ce n'est pas la même...

En tout cas, il y a une réponse. Donc si le filtrage se fait, c'est à un
niveau supérieur...

-- 
Clément Cavadore



--
Sebastien Gioria[EMAIL PROTECTED]
SG41-GANDI  http://blog.gioria.org
Sent from my CrackBerry
.+-y×�‰÷î²*'váQœá¡¶Úÿ0~¹è‚Šà

Re: [FRnOG] Oleane/Ft/Orange...

[Dominique Rousseau]

Le Wed, Jun 04, 2008 at 05:56:55PM +0200, Johan Denoyer [EMAIL PROTECTED] a 
écrit:
> 
> Ce filtrage est vraiment une plaie. Pourquoi ne pas avoir la possibilité de
> le débloquer pour les utilisateurs avertis??
> 
> Le fait de débloquer le filtrage uniquement si vous avez pris l'option ip
> fixe à 15€uros par mois HT, est vraiment un abus.

Mauvais fournisseur, changer fournisseur.


-- 
Dominique Rousseau 
Neuronnexion, Prestataire Internet & Intranet
57, rue de Paris 8 Amiens
tel: 03 22 71 61 90 - fax: 03 22 71 61 99 - http://www.neuronnexion.coop
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Oleane/Ft/Orange...

[Johan Denoyer]

Ce filtrage est vraiment une plaie. Pourquoi ne pas avoir la possibilité de
le débloquer pour les utilisateurs avertis??

Le fait de débloquer le filtrage uniquement si vous avez pris l'option ip
fixe à 15€uros par mois HT, est vraiment un abus.

-- 
Johan Denoyer
[EMAIL PROTECTED]
JD Labs
Linkedin: www.linkedin.com/in/jdenoy

Le 4 juin 2008 17:00, Bertrand Delépine <[EMAIL PROTECTED]> a écrit :

> Sebastien gioria a écrit :
> | Bonjour,
> |
> | Est-ce que quelqu'un saurait si sur une
> | SHDSL 2Mbps  le filtrage sur port 25 serait chez certains clients
> | activés ? Comme c'est le cas sur un accès Wanadoo(Orange) Classique
> |
> | Car j'ai le comportement suivant :
> |
> | telnet monmx 25
> | 220 ***
>
> Le filtrage que j'avais sur mon adsl Orange était sur les flux tcp 25
> (src ou dst).
>
> Là, tu as une réponse (filtrée, peut-être, peut-être pas, mais tu l'as).
>
> --
> Bertrand DELEPINE
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>
>

Re: [FRnOG] Oleane/Ft/Orange...

[Bertrand Delépine]

Sebastien gioria a écrit :
| Bonjour,
| 
| Est-ce que quelqu'un saurait si sur une
| SHDSL 2Mbps  le filtrage sur port 25 serait chez certains clients  
| activés ? Comme c'est le cas sur un accès Wanadoo(Orange) Classique
| 
| Car j'ai le comportement suivant :
| 
| telnet monmx 25
| 220 ***

Le filtrage que j'avais sur mon adsl Orange était sur les flux tcp 25
(src ou dst).

Là, tu as une réponse (filtrée, peut-être, peut-être pas, mais tu l'as).

-- 
Bertrand DELEPINE
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Oleane/Ft/Orange...

[Laurent GUINCHARD]

Bonjour,

> > Est-ce que quelqu'un saurait si sur une
> > SHDSL 2Mbps  le filtrage sur port 25 serait chez certains clients  
> > activés ? Comme c'est le cas sur un accès Wanadoo(Orange) Classique
> > 
> > Car j'ai le comportement suivant :
> > 
> > telnet monmx 25
> > 220 ***
> > 
> > telnet monmx 2525
> > 220 ESMTP monmx
> > 
> > Pas normal non ?
> 

Je ne pense pas que ce soit le cas aujourd'hui (peut être pour les nouveaux 
clients ...). 

Cependant il est très probable que cela soit une mesure qui sera mise en place 
à moyen terme pour reduire les problèmes de SPAM.

Cordialement.


-- 
  Laurent GUINCHARD
  Expertise Reseaux
  Service DAE-CIE
  France Telecom
  Direction Internet et Hebergement
  13 rue de Javel 75015 Paris
  E-mail : [EMAIL PROTECTED]
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Oleane/Ft/Orange...

[Christophe Lucas]

Sebastien gioria ([EMAIL PROTECTED]) wrote:
> Bonjour,
> 
> Est-ce que quelqu'un saurait si sur une
> SHDSL 2Mbps  le filtrage sur port 25 serait chez certains clients  
> activés ? Comme c'est le cas sur un accès Wanadoo(Orange) Classique
> 
> Car j'ai le comportement suivant :
> 
> telnet monmx 25
> 220 ***
> 
> telnet monmx 2525
> 220 ESMTP monmx
> 
> Pas normal non ?

Il se peut parfois que Monsieur Orange bloque le port 25, s'ils ont eu
des reports de spam. Voir avec [EMAIL PROTECTED]

A+

Christophe

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Oleane/Ft/Orange...

[MADdanny]

Sebastien gioria a écrit :

Bonjour,

Est-ce que quelqu'un saurait si sur une
SHDSL 2Mbps  le filtrage sur port 25 serait chez certains clients 
activés ? Comme c'est le cas sur un accès Wanadoo(Orange) Classique


Car j'ai le comportement suivant :

telnet monmx 25
220 ***

telnet monmx 2525
220 ESMTP monmx

Pas normal non ?


Vu que tu as une réponse, c'est qu'il n'y a pas de filtrage ;)
le "220 ***" semble fort à un serveur Exchange (à moins que les *** 
remplacent un texte :) ). Sinon regarder du côté du serveur SMTP, peut 
être que son comportement n'est pas identique sur le port 25 et le 2525.


MADdanny
---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Oleane/Ft/Orange...

[Sebastien gioria]

Bonjour,

Est-ce que quelqu'un saurait si sur une
SHDSL 2Mbps  le filtrage sur port 25 serait chez certains clients  
activés ? Comme c'est le cas sur un accès Wanadoo(Orange) Classique


Car j'ai le comportement suivant :

telnet monmx 25
220 ***

telnet monmx 2525
220 ESMTP monmx

Pas normal non ?


une idée ?


---
Liste de diffusion du FRnOG
http://www.frnog.org/