Journal : SMTP & Free : Free fâché contre les serveurs perso ?
Posté par Baptiste SIMON (Jabber id, page perso, ) le 12 février 2007
salut,
un p'tit journal pour élargir l'audience de ma question :
je suis sur une freebox chez free depuis maintenant qqs temps (presque 3 ans ?). jamais je n'ai eu de pb pour l'hébergement et le fonctionnement de mon serveur SMTP "personnel" sur cette connexion.
mais depuis qqs jours, ca buggue pas mal au niveau réseau. je peux être joint sur le port 25, pas de souci, mais je n'arrive plus à sortir... sauf sur le SMTP de Free. d'après mes recherches, ca bloque plus loin que le réseau de Free mais je suis qd même super étonné... à moins que je ne sois blacklisté de partout (ce qui ne semble pas être le cas d'après les différents sites les plus connus pour ces services) ??
bref, suis-je le seul dans ce cas de figure ?
ex: tracepath mail2.bir.fr/25
1?: [LOCALHOST] pmtu 1500
1: 82.245.197.254 (82.245.197.254) 59.061ms
2: 213.228.37.254 (213.228.37.254) 56.593ms
3: 212.27.57.17 (212.27.57.17) 58.075ms
4: 212.27.57.85 (212.27.57.85) 61.997ms
5: no reply
6: no reply
7: 212.27.58.6 (212.27.58.6) asymm 9 69.076ms
8: 212.73.207.13 (212.73.207.13) asymm 10 87.456ms
9: ge-6-0.core2.Paris1.Level3.net (4.68.109.36) asymm 11 69.778ms
10: UUnet-Level3.Level3.net (212.73.240.206) asymm 12 80.322ms
11: so-0-2-0.TR1.PAR2.ALTER.NET (146.188.8.117) asymm 14 79.643ms
12: so-5-0-0.XR1.PAR2.ALTER.NET (146.188.10.42) asymm 15 81.938ms
13: 212.157.176.190 (212.157.176.190) asymm 15 90.136ms
14: 212.208.242.6 (212.208.242.6) asymm 16 98.539ms
15: no reply
16: no reply
17: no reply
18: no reply
19: no reply
20: no reply
21: no reply
22: no reply
23: no reply
24: no reply
25: no reply
26: no reply
27: no reply
28: no reply
29: no reply
30: no reply
31: no reply
Too many hops: pmtu 1500
Resume: pmtu 1500
et ceci est vérifiable presque pour n'importe quelle cible ... :c/
un p'tit journal pour élargir l'audience de ma question :
je suis sur une freebox chez free depuis maintenant qqs temps (presque 3 ans ?). jamais je n'ai eu de pb pour l'hébergement et le fonctionnement de mon serveur SMTP "personnel" sur cette connexion.
mais depuis qqs jours, ca buggue pas mal au niveau réseau. je peux être joint sur le port 25, pas de souci, mais je n'arrive plus à sortir... sauf sur le SMTP de Free. d'après mes recherches, ca bloque plus loin que le réseau de Free mais je suis qd même super étonné... à moins que je ne sois blacklisté de partout (ce qui ne semble pas être le cas d'après les différents sites les plus connus pour ces services) ??
bref, suis-je le seul dans ce cas de figure ?
ex: tracepath mail2.bir.fr/25
1?: [LOCALHOST] pmtu 1500
1: 82.245.197.254 (82.245.197.254) 59.061ms
2: 213.228.37.254 (213.228.37.254) 56.593ms
3: 212.27.57.17 (212.27.57.17) 58.075ms
4: 212.27.57.85 (212.27.57.85) 61.997ms
5: no reply
6: no reply
7: 212.27.58.6 (212.27.58.6) asymm 9 69.076ms
8: 212.73.207.13 (212.73.207.13) asymm 10 87.456ms
9: ge-6-0.core2.Paris1.Level3.net (4.68.109.36) asymm 11 69.778ms
10: UUnet-Level3.Level3.net (212.73.240.206) asymm 12 80.322ms
11: so-0-2-0.TR1.PAR2.ALTER.NET (146.188.8.117) asymm 14 79.643ms
12: so-5-0-0.XR1.PAR2.ALTER.NET (146.188.10.42) asymm 15 81.938ms
13: 212.157.176.190 (212.157.176.190) asymm 15 90.136ms
14: 212.208.242.6 (212.208.242.6) asymm 16 98.539ms
15: no reply
16: no reply
17: no reply
18: no reply
19: no reply
20: no reply
21: no reply
22: no reply
23: no reply
24: no reply
25: no reply
26: no reply
27: no reply
28: no reply
29: no reply
30: no reply
31: no reply
Too many hops: pmtu 1500
Resume: pmtu 1500
et ceci est vérifiable presque pour n'importe quelle cible ... :c/
> Lire le journal (58 commentaires, moyenne: 2,7).
Vous avez demandé le commentaire #805567.
Run by 
Cette page a été générée par Templeet en 0.0981s (dont 0.0139 de SQL).
Cette page est peut-être conforme xhtml 1.0.
Information sur le site.
Problème annexe
Je me suis rendu compte de ce problème fin janvier (juste avant que la règle de filtrage soit active) mais quelques jours après, je me suis rendu compte d'un autre problème.
J'ai reçu un retour d'un serveur de mail comme quoi mon IP était dans la 'MAPS Realtime Blackhole List' de mail-abuse.com . En vérifiant sur leur site, c'était toute la classe B qui était déclaré. J'ai voulue être retiré de cette liste mais on m'a gentiment répondu que cette classe avait été déclarée par mon FAI et que je n'avais qu'à me retourné contre eux. Je pense que la plupart des FAI déclare leur IPS dans des gestionnaires de liste comme mail-abuse.com . Un collègue chez neuf s'est rendu compte qu'il était dans la liste 'MAPS Dynamic User List'.
Dans tous les cas, si le destinataire utilise des filtres de rejetions, le courriel n'est pas distribué.
Comme solution, on a configurer nos serveur de mail (exim) en smarthost et en s'appuyant sur le serveur SMTP de notre FAI.
[+] [^]Re: Problème annexe
Wai sauf qu'a cause des connards qui configure leur serveur de mail pour pas recevoir depuis les adresses "résidentielles", et bien je peux pas utiliser mon domaine perso sur ma ligne résidentielle...
Ni même une adresse chez free.fr alors que je suis chez un autre FAI...
Bref, cette bande de couillon d'admin en carton du dimanche on qu'a faire comme certains font avec de bonne pratique :
- score spamassassin trop haut
- adresse résidentielle
- mail suspect (attachement, etc)
On demande a la personne de répondre au mail automatiquement.
(comme ça le gonz a pas son mail bloqué et est pas obligé de se taper un imp pourrit, et la liste est pas spammé)
Eh les cons qui vont oser cliquer sur inutiliser, oui VOUS ! Les autres sautez la ligne suivante.
Ça confirme bien ce que je pensais vous n'êtes pas incapable, mais en plus de mauvaise fois !
site perso : http://rapsys.free.fr/
[^]Re: Problème annexe
he bin, quel déferlement de haine, c'est pitoyable. Faut vraiment avoir un problème pour s'exprimer comme ça... Le blocage "en dur" des ip résidentielles fait régulièrement débat, il y a d'excellents arguments pour et d'excellents arguments contre. Je vais citer en "pour" :
- si ton serveur est correctement configuré, ton utilisateur est prévenu de suite (il reçoit un bounce), alors qu'avec SA, tu as toutes les chances que ton mail "disparaisse" au milieu d'une montagne d'autre spam que personne ne lira.
- pour l'administrateur du serveur, les ressources utilisées pour rejeter le mail sont hyper faible, alors qu'avec SA bonjour la consommation CPU/mémoire/disque
- il n'y a pas que les spam qu'on arrête avec cette technique, mais aussi tous les virus qui s''auto-envoient
- Le temps où on pouvait envoyer du mail n'importe comment et depuis n'importe où est révolu, et il faut progressivement remettre au propre les flux pour mieux combattre les problèmes type spam/phishing/virus. Cette remise aux propres passe par SPF, la fin du forwarding, etc... ça va être douloureux, mais il n'y a pas le choix !
[^]Re: Problème annexe
Fais attention tout de même. Avec à peu près les mêmes arguments, on explique que pour lutter contre les virus, une solution efficace est de rejeter tout binaire qui ne soit pas signé par une autorité de confiance.
Tu penses à Palladium et autres MSries? Pas que...
Sur Debian, c'est déjà le cas, si tu installes un packages qui n'est pas signé par Debian soi même, tu as un warning long comme le bras. Légitime prudence, ou dangereuse limitation?
Quand Microsoft aura fait la même chose, on ne pourra plus installer les softs développés par les copains.
Avec le même argument, pour éviter le phishing, seuls les serveurs Web des gens acrédités seront accessibles. Je te laisse imaginer où ils seront (google, youtube, etc) et où il ne seront pas (sur ta machine, pour ton asso, etc).
En fait, ce que ces arguments (que je connais bien) défendent, c'est le grand retour du minitel, un Internet concentré sur quelques serveurs, avec des clients passifs (juste un navigateur, typiquement). C'est-à-dire un réseau qui se retrouve très vite contrôlé, censuré, tenu, rangé, propre. Bref, tout le contraire d'Internet.
FDN - Fournisseur d'accès Internet depuis 1992.
ADSL depuis septembre 2005.
[^]Re: Problème annexe
Euh, les sommes de contrôles de Debian, c'est quand même plus pour éviter les archives corrompues que les logiciels non Debian-compliant. Sous Debian, c'est juste un avertissement comme quoi la clef ne correspond pas, et que avant de répondre oui tu devrais faire deux/trois recherches savoir ce qu'il en est. Sous gentoo, c'est un peu plus "restrictif"(?): il faut lui demander de reconstruire le manifest avec les sommes de contrôles calculer avec l'archive téléchargé pour pouvoir l'installer.
Donc rien à voir avec une tentative anti-concurrentielle, ou des tentatives de contrôle de l'ordinateur client.
[+] [^]Re: Problème annexe
Pour le moment, non, comme les premiers filtres qui ont été posés sur le réseau n'étaient pas spécialement inquiétants.
Crois-tu que Microsoft se privera de faire le parallèle, quand on lui reprochera de refuser les drivers non signés?
FDN - Fournisseur d'accès Internet depuis 1992.
ADSL depuis septembre 2005.
[^]Re: Problème annexe
C'est totalement différent: Debian t'avertit du fait que le paquet que tu es sur le point d'installer n'est pas signé par une clef valide (tu peux ajouter toutes les clefs que tu veux via apt-key). C'est juste pour te protéger en cas d'attaque des serveurs qui hébergent les paquets.
Dans le cas que tu évoques (et que je ne pense pas plausible, car contre-productif pour MS), ce serait effectivement limiter ta liberté.
La différence fondamentale, c'est que même si Debian décidait par coup de folie de t'empêcher d'installer des paquets non/mal signés, tu as toujours le code source de apt-get/aptitude/dpkg que tu peux modifier pour autoriser l'installation de tels paquets. Et si Debian (ou n'importe quelle autre distro) décidait de faire cette connerie, un fork sortirait dans les 48 heures!
[^]Re: Problème annexe
A priori les paquets Debian tu peux les signer toi même, et tu n'as pas d'avertissement si tu as importé la clé qui a signée le paquet.
C'est exactement comme pour les certificats SSL des sites web, si l'autorité qui a signée le certificat n'est pas dans tes autorités de confiance tu as un avertissement.
[^]Re: Problème annexe
Cette remise aux propres passe par SPF
J'ai essayé SPF avec IP fixe (résidentielle)... ça passe encore pas partout (typiquement, Club Internet m'oblige à passer par wanadoo - c'est ch***).
(pub: Livres à prix réduit sur http://www.sollire.com/ - la boutique de mes petites soeurs)
[+] [^]Re: Problème annexe
Ben tu vois je fais parti de ces "connards" qui ont configuré leur serveur de cette facon.
La raison ? Simple : on a deux serveurs qui recoivent en moyenne entre 300000 et 500000 mails chacuns ! Donc je pense pouvoir dire que je commence a avoir un beau volume de mail.Et c'est en constante augmentation !
En faisant de "petites" stats, je me suis rendu compte qu'environ 98% des mails provenant des ips dynamiques (dul, dynablock et maintenant pbl) sont des spams (adresse exp/dest bidons, blocage amavis, scan antivirus tout rouge,etc...).
Donc oui je bloque !! Ca me fait pas mal de charge en moins (notamment amavis).
Dans les rares cas, ou ca pose pb pour des societes en carton comme tu dirais qui mettent leur smtp sur des adsl, je whiteliste.
Et moi aussi j'ai mon domaine perso sur une adsl.. Et bien tu sais quoi ? J'ai configure mon postfix pour forwarder vers le smtp de mon FAI..
[^]Re: Problème annexe
J'ai exactement le même problème, sauf que c'est depuis cette liste là : http://www.mail-abuse.com/cgi-bin/show_listing.cgi?1362705 .
Ce que je trouve vraiment abusif, c'est qu'apparemment là c'est une personne de spam-abuse qui a blacklisté cette liste (bien remplie au passage), sur la base d'une réponse auto de abuse@proxad.net
spam-abuse me renvoie vers mon FAI, et bien sûr pas de réponse satisfaisante de free à ce jour.
Donc comme dis plus haut je me retrouve à passer par smtp.free.fr, mais en tout cas je ne suis pas près de préconiser une solution basée sur RBL
[^]Re: Problème annexe
Les RBL c'est pratique, quand elles se contentent d'influer sur le score de SpamAssassin. La seule RBL utilisée par Postfix chez moi c'est pour les openrelay.
Encryption is not magic pixie dust to sprinkle on things to make them more secure.
[^]Re: Problème annexe
Bous vous avez vu, je me suis un peu énervé sur les admins en carton au dessus (m'en fout j'ai 2 de score par défault, alors un petit 0 de temps en temps pour mes coups de gueule c'est pas trop grave).
Le problème est que quand RBL est pas seulement pour influencer spamassassin, j'ai déjà vu sur des mails rejetés par la ml de chez mandriva (fichier txt attaché un peu long), mon ip est blacklistée (elle se prend 1 point pour appartenir a goaland) et c'est très bien.
Le problème est les couillons.
Oui j'ai de la haine envers eux pour les heures perdues a repasser 4x par un imp et copier/coller mes mail, c'est moi qui perd des heures alors que si ils n'étaient pas totalement crétin il configureraient correctement leur serveur de mail !
Ces couillons rejettent simplement les mails sur la base des RBL et là c'est le drame.
Et pire que cela, cette race d'admin en carton ne pense même pas a whitelister un boite admin quelconque (abuse,postmaster,etc) pour qu'on puisse leur demander de forwarder/deban nôtre ip...
Je précise que j'ai une ip qui change tous les 6mois, alors les spams a partir de mon ip personne en a reçu !
En plus c'est quand même pas malin, ils pourraient simplement blacklister les ip dynamique et whitelister (enfin laisser passer) les ip de france/pays francophones...
site perso : http://rapsys.free.fr/
[+] [^]Re: Problème annexe
Bon allez je marche dedans.. Cette faculté a insulter les autres quand ils font pas comme nous.
Comme dit plus haut, je gere des serveurs de mails a forte charge. Et je peux te dire que le nombre de connexions venant d'ip dynamique est une vraie plaie. Alors oui dans ce lot, je penalise des gens "corrects" mais c'est une ecrasante minorité ! J'ai whitelisté deux ips de societé depuis qu'on a mis en place ces regles (environ 6 mois).
Donc avant de raler, je pense qu'il vaut mieux s'informer avant. Derniere chose : meme spamhaus, qui est une RBL plutot bien réputée, propose le blocage des ips dynamiques.. C'est, je pense, qu'il y a bien un pb qqpart.
[^]Re: Problème annexe
Tu pénalises une écrasante minorité au nom du service rendu à une écrasante majorité.
C'est pour les mêmes motifs que, il y a de celà encore quelques années, des tas de sites webs étaient illisibles pour les linuxiens, nous étions une écrasante minorité, donc rien à foutre.
Visiblement, que chacun ait le droit d'écrire des logiciels chez lui, tu es pour. Par contre, que chacun ait le droit de produire son propre bout d'Internet chez lui, tu es contre.
Moi, je trouve que c'est incohérent. Mais je sais que je suis en minorité ;)
FDN - Fournisseur d'accès Internet depuis 1992.
ADSL depuis septembre 2005.
[^]Re: Problème annexe
Sauf que 99% des ips dynamiques (ou pseudo dynamiques) qui balances des mails sont des machines qui envoient des spams tels des petits mort vivants qui jettent leur peau sur leur voisins.
Il y a un choix à faire, moi même j'héberge un serveur de mail sur mon ip dynamique (enfin fixe mais dynamique :) et je conçois parfaitement que des gens décident de me bloquer au lieu d'utiliser toutes leur ressources à filtrer les 25697 autres qui lui envoient des spams.
[+] [^]Re: Problème annexe
Et si tu as bien lu, j'ai moi meme mon domaine perso sur une ip residentielle.. Donc serveur web + serveur mail + serveur jabber !
Sauf que j'envoie avec le smtp de mon FAI (meme si pour certain je suis un admin en carton, je sais configurer mon postfix pour faire ca).. Donc non, je n'ai rien contre le fait que chacun fasse son petit bout d'internet chez lui.. D'ailleurs je me demande comment tu peux en conclure ca.. c'est completement debile.
L'impression que j'ai, c'est que tout le monde est contre le blocage des ip dynamiques parce que c'est pas "gentil".. mais quand tu geres des serveur de mails en prod, tu te rend vite compte du nombre de pc zombies qui pourissent le reseau.
Et comme le dit le commentaire plus bas, 99% des ips dynamiques ne balancent que du spam.
[^]Re: Problème annexe
N'étant pas chez free, mais chez neuf téléphone.
Explique moi comment je fait pour envoyer des mail @free.fr ?
(NON, je ne recréerais pas une boite chez neuf téléphone, parce que chez free on te jette pas ta boite avant qu'elle fasse dans les 30Mo, et pas envie de redonner mon adresse pour moins bien...)
Bref, a une époque je pouvait avoir mon smtp perso sur mon ip dynamique et ça marchait nickel.
Mais maintenant, c'est la roulette russe, etc c'est vraiment lourd...
site perso : http://rapsys.free.fr/
[^]Re: Problème annexe
Bon allez.. je repond. Je prend un exemple que je rencontre souvent.
Des clients ont chez nous des boites mails. Plusieurs possibilités pour l'envoi :
+ utiliser notre serveur SMTP : necessite d'avoir une ip de chez nous.
+ utiliser le webmail : pas pratique
+ utiliser le smtp de leur FAI (par exemple Free) : miracle, alleluia ca marche ! Donc j'ai plusieurs clients qui envoient des mails @trucmuche.com via les smtp de Free (remplace Free par un FAI quelconque) et ca sans aucuns soucis !
Essaie.. Tu seras surpris du resultat .
[^]Re: Problème annexe
Chez neuf téléphone la dernière fois que j'ai testé, c'était plus proche du fuck relay access denied, que du alleluia...
On a pas tous un bon fai comme free qui est vendeur d'accès internet et pas marchand de tapis reconvertis...
(et encore je suis gentil là)
Derniers points, quand je vois ce que se sont permis neuf téléphone sur mon mail quand j'ai eu le malheur de leur donner (j'ai réussi a leur refiler un adresse hotmail invalide par la suite heureusement), je suis pas prêt a faire passer la moindre communication privée par chez eux !
site perso : http://rapsys.free.fr/
[^]Re: Problème annexe
C'est mon métier de gérer la plateforme de mail d'un des gros ISPs français. Je sais donc de quoi je parle sur ce sujet-là (je fais aussi du réseau, le soir, chez moi, pour une assoce).
Un système où pour échanger des messages entre deux abonnés, il faut passer par une liste (fermée) de serveurs centraux, en réseaux, en France, ça fait longtemps que ça existe. Ça s'appelle le Minitel.
Internet, c'est le fait que quand tu veux m'envoyer un mail, il part de TA machine, pour arriver sur MA machine (pour peu qu'elle soit MX primaire de mon domaine) sans serveur intermédiaire.
Transformer Internet en Minitel, il y a bon nombre de gens que ça intéresse. Les gens qui ont des revenus publicitaires, les gens qui vendent les services, les gens qui font du fric avec TON contenu (la pub quand tu vas lire ton mail chez l'un ou l'autre, c'est du pognon fait sur ton contenu, l'abonnement à un site de rencontre pour pouvoir lire les profils des uns ou des autres, c'est du pognon fait sur ton contenu, et bien entendu sans te verser de droits d'auteur).
Alors, oui, 90% de ce qui circule comme mail, c'est de la merde (spam, virus, etc). Alors du coup on transforme Internet en Minitel. Question con: à qui profite le crime?
La question de fond, c'est de savoir si tu as le droit d'avoir ta messagerie chez toi, ou si tu dois converger vers un modèle Yahoo/Google/MSN. Ta réponse c'est que tu acceptes un premier pas vers le modèle centralisé. Ma réponse, c'est que je ne l'accepte pas. Mais je sais être en minorité :)
Et bien entendu, la même question se pose sur bien des services.
FDN - Fournisseur d'accès Internet depuis 1992.
ADSL depuis septembre 2005.
[^]Re: Problème annexe
He ben decidemment.. Tu vois moi aussi je travaille chez un ISP francais (certes pas parmi les plus gros).
Alors le coup de transformer Internet en Minitel.. je t'avoue que je ne comprend pas ou tu as pu en deduire ca...
Nous avons a disposition des clients des serveurs smtp (tout comme toi je suppose..). Dessus pas de pub, pas d'inspection de contenu, rien qui ressemble de pres comme de loin a un minitel..
Dessus sont autorisés nos ips. Point barre. Donc nos clients utilisent nos smtp et envoient vers ou ils veulent..
Et pour repondre a ta question con: le crime ne me profite pas ni a moi ni a ma boite.
Ps : je comprends toujours pas le pb du contenu.. Nos serveurs smtp font smtp c'est tout.
[^]Re: Problème annexe
Qui te dis que dans x mois ta boite pour faire plus de fric revendra pas illégalement ces informations qui transitent par là ?
(ils revendent déjà les fichiers clients alors demains ils revendront peut-être le reste...)
Les rachats par actionnaires de sociétés changent beaucoup de pratiques...
site perso : http://rapsys.free.fr/