Erreur 403 sur accès à un serveur Exchange uniquement en Wifi

Bonjour @marlenedu01 

Ton problème est effectivement étrange et mériterait sans doute de creuser beaucoup plus les détails pour avoir une chance de comprendre "où" est le maillon bloquant.

Mais un détail m'interpelle :

---

Depuis 3 semaines environ, cela est devenu impossible (erreur 403 en webmail

---

L'erreur 403 n'est pas une petite erreur, et ses causes sont généralement des "protections" côté serveur pour te refouler, cf. 

cf. https://www.infomaniak.com/fr/support/faq/1609/resoudre-une-erreur-403-en-tant-que-visiteur-de-site-...

De ce fait, il devrait être possible (et même si tu es le seul utilisateur concerné) à votre hébergeur d'en dire plus que "on n'a pas de problème avec les autres"

=> normalement ils doivent pouvoir vérifier et te dire pourquoi depuis ton adresse IP à toi, ce serveur chez l'hébergeur refuser de te servir et te répond erreur 403 (en gros ça veut dire "va te faire voir je ne te répondrai pas" 😉)

D'ailleurs cette erreur 403 survient quand :

• tu n'arrives même pas à visualiser la page de connexion au webmail ?
• ou alors tu arrives bien sur la page de connexion, mais c'est après identification que tu as cette erreur 403 qui arrive ?
• autre ?

Et même si ça ne résout pas le problème (car il y a fort à parier que cela fonctionnera vu leur affirmation que tu es la seule) est-ce qu'avec ton ordinateur ou ton smartphone au domicile d'un proche sur une autre box (donc une autre adresse IP) alors le problème disparait ?

À+

Bonsoir 

Merci pour cette réponse 

Si je reprends les divers points demandés :

- oui j'ai demandé à mon employeur de re-ouvrir le ticket auprès de l'hébergeur, car seul ou pas, le problème est peut être chez eux ou en tout cas ils devraient avoir des éléments techniques à me donner pour trouver

- en webmail, même pas la page de connexion outlook, directement une page presque blanche avec 'forbidden...etc'

- même si je n'ai pas eu l'occasion d'en tester 10000 autres, ça ne le fait qu' avec mon wifi SFR en effet. Et, j'avais oublié, idem avec mon autre smartphone Android cette fois, lorsqu'il est connecté à ce wifi

Bonne soirée 

Bonjour @marlenedu01 

---

- oui j'ai demandé à mon employeur de re-ouvrir le ticket auprès de l'hébergeur, car seul ou pas, le problème est peut être chez eux ou en tout cas ils devraient avoir des éléments techniques à me donner pour trouver

---

Oui même s'ils n'ont que ta remontée de problème) ils "savent" ce que signifie une erreur 403 : c'est "accès refusé à ce que vous demandez".

Donc en effet ils devraient au moins pouvoir t'expliquer te dire pourquoi TON adresses IP est vu comme indésirables de leur côté (par exemple, ils suivent les recommandations d'organismes comme SpamHaus ou autres qui diffusent des adresses IP "à bannir temporairement" et la tienne serait dedans, ou que sais-je d'autre raison que EUX ont appliqué pour que leur serveur réponde erreur 403).

D'ailleurs, même si ce n'est pas la seule "source" d'adresse IP "à sanctionner", peux-tu regarder si la tienne (de ta box SFR) est listées chez SpamHaus : https://www.spamhaus.org/

---

- en webmail, même pas la page de connexion outlook, directement une page presque blanche avec 'forbidden...etc'

---

Ça conforte l'hypothèse d'une erreur 403 telle qu'elle est souvent quand elle survient : càd que ton adresse IP ne lui plait pas et le serveur refuse de te répondre.

---

- même si je n'ai pas eu l'occasion d'en tester 10000 autres, ça ne le fait qu' avec mon wifi SFR en effet.

---

Oui pas besoin de 10 000, mais 1 ou 2 pour "démontrer" que le même ordinateur avec la même config ne présente pas le défaut ailleurs (des fois que l'élément fautif serait installé sur ton ordinateur).

---

Et, j'avais oublié, idem avec mon autre smartphone Android cette fois, lorsqu'il est connecté à ce wifi

---

Ce qui continue à conforter l'hypothèse (sans la démontrer totalement) que c'est bien ton adresse IP d'abonnement box SFR qui serait non acceptée du côté du serveur.

Bon courage,

à+

Bonjour,

Désolé pour cette réponse tardive.

J'ai, grâce à vous, résolu mon problème... temporairement peut-être...

Mon IP était effectivement blacklistée dans une liste CSS, que le site Spamhauss m'a permis de trouver.

J'ai fait une demande de suppression qui a été acceptée et mes accès ont immédiatement refonctionné sur tous mes appareils, en Wifi.

L'un d'entre eux a donc surement était infecté; je les ai tous scannés avec des antivirus ou antimalwares et il n 'y a rien (ou plus rien).

Nos IP étant dynamiques, il n'est pas impossible que je sois de nouveau concerné si celà recommence.

Il reste que, d'après la réponse du technicien Spamhauss dont je mets un extrait (traduit...) ci-dessous, SFR visiblement ne bloque pas le port 25 comme il est de mise désormais et comme d'autres FAI le font, ce qui nous rend vulnérables aux inscriptions sur ces blacklist.

Si quelque de SFR passe par là et veut prendre l'action... 😉

".....En violation directe des meilleures pratiques établies de longue date, votre FAI a choisi de laisser le port 25 ouvert sur ses pools d'IP mobiles/dynamiques/CGNAT, ce qui signifie que toute personne possédant un appareil infecté peut spammer sur le port 25 (et il y a des centaines de millions d'appareils infectés). Ce flux constant d'abus se traduit par un nombre croissant d'IP répertoriées dans ces pools d'IP......"

Merci beaucoup en tout cas pour votre aide.

Bon week-end

Bonjour @marlenedu01 

---

Mon IP était effectivement blacklistée dans une liste CSS, que le site Spamhauss m'a permis de trouver.

---

Super, voilà enfin l'hypothèse confirmé.

---

J'ai fait une demande de suppression qui a été acceptée et mes accès ont immédiatement refonctionné sur tous mes appareils, en Wifi.

---

Ça c'est beau, j'aurais facilement craint que tu ne doives attendre plus longtemps. re-super.

---

Il reste que, d'après la réponse du technicien Spamhauss dont je mets un extrait (traduit...) ci-dessous, SFR visiblement ne bloque pas le port 25 comme il est de mise désormais et comme d'autres FAI le font, ce qui nous rend vulnérables aux inscriptions sur ces blacklist.

Si quelque de SFR passe par là et veut prendre l'action... 😉

".....En violation directe des meilleures pratiques établies de longue date, votre FAI a choisi de laisser le port 25 ouvert sur ses pools d'IP mobiles/dynamiques/CGNAT, ce qui signifie que toute personne possédant un appareil infecté peut spammer sur le port 25 (et il y a des centaines de millions d'appareils infectés). Ce flux constant d'abus se traduit par un nombre croissant d'IP répertoriées dans ces pools d'IP......"

---

Je ne suis pas vraiment d'accord avec lui (car c'est inverser les culpabilités en résumé).

• Oui, le port 25 est un port parmi d'autres (tu peux voir ça vraiment comme un numéro de porte sur le chemin du réseau internet)
• Il a été utilisé par le passé pour de l'expédition de mail non sécurisé par mot de passe (ce qui n'était pas très sérieux avouons-le) et l'est encore mais uniquement entre serveurs de mails pour l'acheminer vers la destination (ce qu'on appelle le relais de mail)...
  • Mais en effet désormais, au départ d'un utilisateur (qui n'est pas lui-même un serveur donc) le port 25 n'est donc pas une bonne idée pour la lutte contre le SPAM (car pas de sécurité sur son identité)
  • et donc fort logiquement la plupart des serveurs de mail n'acceptent plus un courrier qui leur est soumis via le port 25, mais exige les nouveaux ports sécurisés, de préférence le 587 (c'est le cas de la plupart des serveurs de mail que j'utilise)
• Faut-il pour autant "bloquer" l'utilisation du port 25 au départ d'une box pour quoi que ce soit (comme si chez toi tu bloquais une porte au motif que parfois certaines personnes s'en son mal servi)... C'est une méthode bien trop radicale à mon sens (et pas logique puisque la faute est à l'autre extrémité du couloir 25, chez le serveur de mail qui accepte encore bêtement d'envoyer un courriel sans même vérifier l'identité de l'expéditeur.
  • c'est ce que Free a décidé de faire par défaut sur ses freebox (quoique désactivable il me semble, ce qui est un minimum à mon sens car c'est trop radical selon moi) : lire ICI
  • moi je trouve que ça n'a pas lieu d'être et qu'aucune des portes de sortie de la box 1,2,3, etc y compris la numéro 25 n'a à être bloquée arbitrairement, ne serait-ce que parce qu'elle pourrait être utile pour autre chose à destination d'un serveur spécifique pour une application spécifique.

Car du côté de la box d'un utilisateur, ce port reste un numéro de port parmi d'autres et donc le "fautif" à propos de ce port 25 n'est pas celui qui ne ferme pas l'entrée du couloir sur le port 25, mais serveur d'expédition de mail qui à l'autre bout du couloir accepte de prendre ce mail et l'envoyer 

D'ailleurs, au fait, ton intervention me laisse un doute et je me tourne vers @TagadaTsoinTsoin : est-ce que le serveur SMTP de SFR continue à accepter des mails sur le port 25 sans sécurisation ? J'en doute vu des messages anciens comme (ICI) mais je n'en suis pas certain... En tout cas si cela persiste du côté du serveur SMTP ce serait une belle boulette... Alors que laisser le port 25 ouvert du côté de la box, moi je trouve que c'est plutôt heureux dans un monde qui ne coupe pas toutes nos libertés.

À+

Bonsoir @Ryry ,

D'ailleurs, au fait, ton intervention me laisse un doute et je me tourne vers @TagadaTsoinTsoin : est-ce que le serveur SMTP de SFR continue à accepter des mails sur le port 25 sans sécurisation ?

Je ne pourrai pas te le dire, je suis derrière une Livebox qui bloque purement et simplement le port 25 (blocage non désactivable)

Il est peut-être possible d'utiliser le port 25 à condition de s'authentifier.

D'ailleurs certains modèles de Box SFR permettent de désactiver le blocage du port 25 (NB4, NB6 et ses déclinaisons) pour l'envoi de mails à partir d'autres serveurs SMTP que SFR (j'en déduis que le port 25 est encore autorisé)

Pour les autres modèles, je ne sais pas, c'est peut-être open bar.

D'autre part, de mémoire, il me semble que Free autorise le port 25 mais uniquement à partir de l'IP de l'utilisateur de l'adresse mail.

L'IP sert donc pour l'authentification de l'expéditeur.

Désolé s'il y a d'autres questions, je n'ai pas lu tout le fil de discussion.

Petit détail que j'oubliais, on peut envoyer du courrier en non sécurisé par le port 587 (je me connecte parfois sur le SMTP de SFR par Telnet avec ce port 587)

C'est un moyen de contourner le port 25 bloqué chez moi, mais l'authentification reste de mise.

Bonjour @TagadaTsoinTsoin 

---

> D'ailleurs, au fait, ton intervention me laisse un doute et je me tourne vers @TagadaTsoinTsoin : est-ce que le serveur SMTP de SFR continue à accepter des mails sur le port 25 sans sécurisation ?

 

Je ne pourrai pas te le dire, je suis derrière une Livebox qui bloque purement et simplement le port 25 (blocage non désactivable)

---

Ah ah, encore plus radicaux que Free dis donc (cf. le lien avec l'option d'administration qui permet d'activer/désactiver ce blocage).

Pfiouuuu, y'a de ces tyrans parmi les concepteurs d'interface de box 😂

---

D'ailleurs certains modèles de Box SFR permettent de désactiver le blocage du port 25 (NB4, NB6 et ses déclinaisons) pour l'envoi de mails à partir d'autres serveurs SMTP que SFR (j'en déduis que le port 25 est encore autorisé)

Pour les autres modèles, je ne sais pas, c'est peut-être open bar.

---

Oui sur la mienne c'est open, le port 25 n'est pas bloqué du tout.

À ce propos, pour savoir si @marlenedu01 a une de ces box, ce serait sympa qu'elle nous précise quel modèle de box SFR elle possède : cf. catalogue des noms de box https://assistance.sfr.fr/#A1B2C3

---

D'autre part, de mémoire, il me semble que Free autorise le port 25 mais uniquement à partir de l'IP de l'utilisateur de l'adresse mail.

L'IP sert donc pour l'authentification de l'expéditeur.

---

Je ne suis pas sûr de te comprendre.

• Tu veux dire que sur une freebox dont l'abonné à décoché la case "bloquer le port 25"
• alors un autre utilisateur (par exemple moi) ne pourrait pas faire communiquer son Thunderbird avec le port 25 du serveur SMTP de son fournisseur (pas spécialement Free) ?
• Franchement je ne l'avais pas remarqué sur la freebox que mon père a eu pendant des années (j'avais justement décoché cette case quand il s'est abonné il y a plus de 10 ans) mais c'est vrai que je n'ai plus utilisé souvent le port 25...

J'imagine (et j'espère) que tu voulais plutôt dire que Free n'autorise le port 25 AVEC SON SERVEUR SMTP (free.sfr.fr.) que depuis l'IP de l'abonné.

(ce qui en soi ne me dérangerait pas puisque pour mon adresse free, ça fait belle lurette que je n'utilise plus jamais le port 25 pour les raisons de sécurité évoquées dans cette conversation).

---

Petit détail que j'oubliais, on peut envoyer du courrier en non sécurisé par le port 587 (je me connecte parfois sur le SMTP de SFR par Telnet avec ce port 587)

C'est un moyen de contourner le port 25 bloqué chez moi, mais l'authentification reste de mise.

---

• Arg, je ne suis pas sûr de te comprendre là non plus, dans ton début de paragraphe parlant de "non sécurisé" sur le port 587, mais à la fin "avec authentification" requise sur le port 587.
• Moi plus haut, quand je parlais d'envoi de mail sécurisé, je parlais d'envoi à un serveur SMTP qui oblige à ce que l'expéditeur s'identification (login / password)
• or je le fais toujours sur le port 587

si par "sécurisé" tu évoques le chiffrement de l'échange : à ma connaissance l'habitude standard sur le port 587 c'est d'utiliser STARTTLS (càd que les interlocuteurs chiffrent eux-mêmes leur échange sur le canal non chiffré... Par opposition au mode SSL/TLS (habituel sur le port 465 pour du SMTP) qui communique en clair dans un canal qui est lui-même garanti chiffré).

Est-ce cela que tu voulais évoquer ?

À+

Bonjour 

Je vois que j'ai initié un échange de techniciens passionnés 😉😁

Je suis hors jeu, désolé 😊

Pour répondre juste à la question de ma box: une 8 fibre

Bon dimanche