Journal Ô vache, v'la le retour du monopole de la poste

Posté par .
Tags : aucun
22
9
août
2010
Sous ce titre racoleur (dont je nierai être l'auteur du calembour initial, même sous la torture), un petit coup de gueule contre l'implémentation pourrie du SPF par deux grands acteurs d'internet en France.

Tout d'abord, une petite explication du SPF pour ceux qui ne connaissent pas. Il s'agit d'une simple entrée DNS (de type TXT ou SPF) que l'on peut ajouter à son domaine pour indiquer quels sont les serveurs autorisés à envoyer des e-mails avec des adresses de son domaine. Par exemple, pour linuxfr.org on a cela :

linuxfr.org. 86400 IN TXT "v=spf1 a mx include:uucpssh.org ~all"

En quasi-français ça donne : « les e-mails en @linuxfr.org peuvent provenir des adresses IP suivantes :
- celle de l'entrée A de linuxfr.org ("a")
- celles des MX de linuxfr.org ("mx")
- celles autorisées par le domaine uucpssh.org" ("include:uucpssh.org")
Et aucun autre serveur ne devrait envoyer des e-mails venant de linuxfr.org ("~all") »

Un anti-spam configuré pour utiliser SPF traduira le ~all par "si ça ne vient pas d'une adresse autorisée, tu le marques phishing / spam / +X points" (selon l'implémentation). Si c'était indiqué "-all" plutôt que "~all", cela signifierait "tout e-mail provenant d'une autre adresse IP doit être rejeté".

Ce système est particulièrement efficace contre le phishing, puisque la plupart des banques ont un enregistrement SPF valide, de même qu'ebay, paypal et autres sites populaire chez les phishers. Cela provoque une lente mais certaine propagation de son implémentation par différents services de messagerie, mais en France on se retrouve vite harcelé par ses utilisateurs si on l'implémente, à cause de 2 mauvais acteurs, OVH et laposte.net.

Chez OVH, le problème est ancien. Visiblement sans être prévenus, tous les clients utilisant les DNS mutualisés d'OVH se retrouvent avec une entrée SPF qui offre le monopole de l'envoi de mails aux serveurs d'OVH (cf. http://guides.ovh.com/DomainesChampSPF#link2), donc dès que vous mettez en place un mécanisme de contrôle du SPF il faut prévoir un courrier type de réponse expliquant aux clients d'OVH qui se plaignent que leur hébergeur les spolie de leur nom de domaine et leur indiquer la procédure pour désactiver cela...

Chez laposte.net c'est plus récent : puisque le serveur SMTP utilise le port 25, bloqué par beaucoup de FAI par défaut, laposte.net conseille l'utilisation du serveur SMTP de son fournisseur d'accès pour envoyer des e-mails (cf. http://aide.laposte.net/mon-courrier-electronique/ecrire-et-(...) - on notera la qualité de l'intitulé de la question) et donc logiquement aucun champ SPF n'avait été mis en place puisque les e-mails pouvaient provenir de n'importe où... mais suite à une plainte d'utilisateur aujourd'hui, j'ai eu la mauvaise surprise de voir ceci :
laposte.net. 600 IN TXT "v=spf1 ip4:193.251.214.118 ip4:193.251.214.119 ip4:193.251.214.120 ip4:193.251.214.121 ip4:193.251.214.122 ip4:193.251.214.123 mx -all"

Alors un petit message à ceux qui veulent se plaindre auprès de leur fournisseur de voir plein de mails venant de France finir dans le dossier spam : ne blâmez pas votre fournisseur, ce n'est pas de sa faute si les Français sont mauvais.
  • # Ca commençait si bien

    Posté par . Évalué à 10.

    Tu expliques bien jusqu'aux deux lignes importantes que tu laisses sans eclaircissement:

    laposte.net. 600 IN TXT "v=spf1 ip4:193.251.214.118 ip4:193.251.214.119 ip4:193.251.214.120 ip4:193.251.214.121 ip4:193.251.214.122 ip4:193.251.214.123 mx -all"

    Alors un petit message à ceux qui veulent se plaindre auprès de leur fournisseur de voir plein de mails venant de France finir dans le dossier spam : ne blâmez pas votre fournisseur, ce n'est pas de sa faute si les Français sont mauvais.

    Donc si j'envoie un mail @laposte.net sans utiliser le smtp de laposte.net, le spf demande qu'on le rejette, c'est ça?
    Si c'est ça, en quoi c'est les "mails venant de France" qui vont être rejetés?
    • [^] # Re: Ca commençait si bien

      Posté par . Évalué à 6.

      Effectivement, j'aurais dû être plus clair concernant cette partie. Cette entrée indique que seules les adresses des serveurs mail de laposte.net peuvent envoyer des messages, à l'exclusion de tout autre serveur ("-all"), donc tous les messages en @laposte.net envoyé depuis le serveur SMTP d'un fournisseur d'accès doit être rejeté, la plainte que j'ai reçu ce matin provenait d'un client d'orange. Du côté d'infini, on a proposé à nos adhérents un message type à envoyer à laposte.net : http://www.infini.fr/spip.php?breve19

      --
      Denis

      Membre de l'april, et vous ? http://www.april.org/adherer

      • [^] # Re: Ca commençait si bien

        Posté par . Évalué à 3.

        >Effectivement, j'aurais dû être plus clair concernant cette partie.
        En lisant ce qui précédait, j'étais arrivé à suivre, c'est surtout la partie "venant de France" qui m'avait fait douter.
      • [^] # Re: Ca commençait si bien

        Posté par . Évalué à 4.

        Cette entrée indique que seules les adresses des serveurs mail de laposte.net peuvent envoyer des messages, à l'exclusion de tout autre serveur

        J'ai peut être raté un truc mais je ne vois pas trop le problème. J'ai un compte laposte et pour envoyer des mails avec je me connecte au smtp de laposte. J'ai toujours fait comme ça pour tous mes comptes mails. Je me connecte toujours au smtp correspondant pour envoyer des mails.
        Qu'apporte le fait de passer par un autre serveur smtp ? Que pourrait faire la poste ? Accepter les smtp Orange/Free/Alice/FDN/... ?
        • [^] # Re: Ca commençait si bien

          Posté par (page perso) . Évalué à 6.

          > mais je ne vois pas trop le problème. J'ai un compte laposte et pour
          > envoyer des mails avec je me connecte au smtp de laposte.

          Certains FAI bloquent les connexions vers le port 25.

          > Qu'apporte le fait de passer par un autre serveur smtp ?

          Ces FAIs n'authorisent généralement à se connecter qu'à leur SMTP. C'est donc le seul moyen « facile » pour leurs utilisateurs d'envoyer des e-mails.

          > Que pourrait faire la poste ?

          Ne pas utiliser SPF ou bien mettre leur serveur SMTP sortant sur un port alternatif.

          > Accepter les smtp Orange/Free/Alice/FDN/... ?

          Et maintenir une liste des SMTP de tous les FAIs français ? Puis que se passe-t-il pour les gens qui veulent envoyer des mails depuis l'étranger ?

          pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.

          • [^] # Re: Ca commençait si bien

            Posté par . Évalué à 6.

            Certains FAI bloquent les connexions vers le port 25.

            Là le problème ce n'est pas la poste mais le FAI. Ce serait eux les gros villains parce qu'ils ne mettent pas en place de solution de contournement aux conneries des autres ? C'est un peu fort je trouve. C'est plutôt auprès des FAI moisis qu'il faut se plaindre.

            Ne pas utiliser SPF

            Le but est quand même d'éviter que n'importe qui envoie des mails laposte.net et que la poste se retrouve blacklistée comme source de spam. Pour eux, je comprends que ce ne soit pas une solution acceptable.

            ou bien mettre leur serveur SMTP sortant sur un port alternatif.

            Utiliser un port non standard pour contourner un blocage qui n'a pas lieu d'être ? Et le jour ou les FAIs moisis bloquent aussi ce port, qu'est ce qu'on fait ? On change de port une fois par mois ? Non le problème vient du FAI, c'est au FAI de corriger. S'il refuse, changer de FAI. Personnellement je n'ai jamais eu le problème. Pourtant j'en ai fait des FAIs. Je ne sais pas qui sont les cons qui font ça mais ce serait une bonne chose de les nommer, histoire de les éviter.

            Et maintenir une liste des SMTP de tous les FAIs français ? Puis que se passe-t-il pour les gens qui veulent envoyer des mails depuis l'étranger ?

            CQFD. Ce n'est pas à la poste de gérer les conneries des autres.
            • [^] # Re: Ca commençait si bien

              Posté par (page perso) . Évalué à 1.

              >> Certains FAI bloquent les connexions vers le port 25.
              >
              > Là le problème ce n'est pas la poste mais le FAI.

              On est d'accord.

              > Je ne sais pas qui sont les cons qui font ça mais ce serait une bonne chose
              > de les nommer, histoire de les éviter.

              Google me dit que la liste pour la France se trouve là : http://wiki.alwaysdata.com/wiki/Mon_FAI_bloque_le_port_25

              Orange ;
              Free (désactivable) ;
              Neuf.

              pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.

              • [^] # Re: Ca commençait si bien

                Posté par (page perso) . Évalué à 4.

                Free bloque le port 25 autant qu'OVH impose le SPF : suffit de savoir cliquer 2 fois dans l'interface d'admin pour le virer. Et c'est même loin de représenter les compétences que devrait avoir la personne qui les désactive, en fait…

                Faudrait répondre correctement à un questionnaire sur SMTP, avant d'avoir accès au bouton…
              • [^] # Re: Ca commençait si bien

                Posté par . Évalué à 3.

                surtout que l'information est fausse
                chez neuf j'arrive très bien à joindre le port 25 de mon smtp situé sur un autre réseau.
            • [^] # Re: Ca commençait si bien

              Posté par (page perso) . Évalué à 4.

              Utiliser un port non standard pour contourner un blocage qui n'a pas lieu d'être ?

              Désolé, mais le port standard pour la soumission de messages à un relais, c'est le TCP 587, pas le 25.
              • [^] # Re: Ca commençait si bien

                Posté par (page perso) . Évalué à -1.

                Donc la solution serait que dans les Box, ils fassent tourner un serveur de mail qui relaie. Ca commence à faire beaucoup de daemons à faire tourner : HADOPID, postfix (oui parce qu'on va quand même pas faire tourner sendmail ! Non ? pas vendredi ?), ...
        • [^] # Re: Ca commençait si bien

          Posté par (page perso) . Évalué à 3.

          Qu'apporte le fait de passer par un autre serveur smtp ?

          Des fois on n'a pas le choix, le FAI sur lequel on se connecte (quand on est en vadrouille) bloque le port 25.

          Que pourrait faire la poste ?

          Je ne sait pas si ils le font, mais perso je n'ai jamais eu aucun problème avec le port 465 (SMTPS) quand je me suis baladé, au contraire du port 25 (SMTP). De plus, c'est pour moi le minimum syndical d'un serveur de mail d'avoir SMTPS + authentification afin de ne pas être ouvert + de ne pas se faire sniffer le password.

          Accepter les smtp Orange/Free/Alice/FDN/... ?

          Surtout pas...
          • [^] # Re: Ca commençait si bien

            Posté par (page perso) . Évalué à 7.

            perso je n'ai jamais eu aucun problème avec le port 465 (SMTPS)

            SMTP over SSL ne devrait plus être utilisé ! Depuis, on a intégré TLS à SMTP, avec STARTTLS !

            Et le 465 ne devrait pas être utilisé pour cela : il pourrait très bien être bloqué, vu qu'il sert aussi et avant tout à l'envoi normal de courrier inter-serveurs, juste en mode sécurisé.

            Pour la soumission de courrier à un serveur relais, il y a le port de soumission (TCP 587). Lui ne devrait jamais être bloqué, et n'a aucune raison de l'être.
            • [^] # Re: Ca commençait si bien

              Posté par (page perso) . Évalué à 5.

              SMTP over SSL ne devrait plus être utilisé ! Depuis, on a intégré TLS à SMTP, avec STARTTLS !

              C'est port 25.
              Et vu que le port 25 est bloqué en pratique, ça ne fait pas avancer.
              Bon, maintenant, de chez moi je pourrai, pourquoi pas, sauf que le serveur de mon fournisseur de mail n'accepte pas cette option, dommage.

              il pourrait très bien être bloqué,

              Je ne sais pas dans quel monde tu vis, moi je vis dans le monde réel avec le port 25 (relativement) souvent bloqué, et pas le 465. On fais avec ce qu'on a.

              Pour la soumission de courrier à un serveur relais, il y a le port de soumission (TCP 587).

              Je me retrouve avec à priori la même chose que sur le port 25, donc pas de STARTTLS, donc communication en claire, heu... Je suis pas chaud pour voir passer mes mails en clair sur le réseau WiFi!
              Donc ca n'aide pas quand STARTTLS n'est pas supporté.
              De plus, ce port n'est pas mis par défaut par Thunderbird, donc côté manipulation, c'est galère, je ne me vois pas conseiller ça aux personnes que je conseille vu le bordel, en attendant peut-être que Thunderbird s'adapte.

              Théorie vs pratique, mon choix est rapide.
              • [^] # Re: Ca commençait si bien

                Posté par (page perso) . Évalué à 1.

                Si tu es à la fois nomade et regardant quant à ta vie privée, pourquoi ne montes-tu pas systématiquement un tunnel vers chez toi ? Ton propre serveur aura toujours le port 25 ouvert pour toi, non ?
                Et pour la difficulté d'utiliser TLS, tu es ignorant ou de mauvaise foi : les clients mails proposent en général une fonctionnalité "détecter ce que le serveur peut gérer".
                • [^] # Re: Ca commençait si bien

                  Posté par (page perso) . Évalué à 5.

                  Si tu es à la fois nomade et regardant quant à ta vie privée, pourquoi ne montes-tu pas systématiquement un tunnel vers chez toi ?

                  Ma vie privée n'est pas si importante au point de me faire chier à lire une tonne de documentation pour faire marcher un truc. Je cherche un truc qui marche le plus simple possible. De plus, ta solution rajoute un chainon, lenteur + risque supplémentaire d'indisponibilité + je dois avoir un serveur que je charge avec des choses non professionnelles. IMAP/SMTP en SSL va très bien, ça marche et est mille fois plus simple que ta proposition. Pourquoi faire simple quand on peut faire compliqué, c'est bien un truc de geek.

                  Et pour la difficulté d'utiliser TLS, tu es ignorant ou de mauvaise foi :

                  Gni?
                  On me conseille TLS, je dis juste que le serveur en face ne le supporte pas, donc que ce n'est pas une solution. c'est tout.
                  • [^] # Re: Ca commençait si bien

                    Posté par (page perso) . Évalué à 1.

                    Mme Michu qui veut que ça marche, de toute façon, ça fait environ 10 ans qu'elle utilise un webmail (donc le courriel part d'une machine déterminable à l'avance par le fournisseur et déclarable dans SPF).

                    Ou alors elle utilise « le machin qui plante et pis il est lent et pa bo » (un client lourd) en entreprise, mais là encore j'ose espérer que le SMTP est un minimum connu à l'avance.

                    SPF ça fait juste chier les kékés dans ton style qui veulent faire comme bon leur chante, et qui répondent « ah mais je veux pas savoir comment ça marche » quand on leur met l'appendice nasal dans leur fèces (et qui, dès qu'on a le dos tourné, recommencent à tripatouiller le réglage TLS pouet pouet de leur client qu'ils ont dev eux-même parce que les autres sux (bon OK là j'exagère un peu ; mais tu as vu, j'exagère autrement qu'en n'utilisant que les pourcentages 99% et 0,001% dans mes argumentations, tu pourrais en prendre de la graine)).

                    Et puis bon…

                    Ma vie privée n'est pas si importante au point de me faire chier à lire une tonne de documentation pour faire marcher un truc.

                    Ah bah oui chercher un prestataire capable d'activer un truc basique d'un serveur SMTP c'est difficile pour un mec qui par ailleurs fait le genre de dév. que tu fais et a le bagage que tu as…

                    Et puis sélectionner des contacts pour leur écrire c'est difficile, je vais plutôt raconter ma vie sur twitbook.

                    Et puis réfléchir à ce que je fais c'est difficile aussi, je vais laisser ça à twitbook aussi.

                    Et puis réfléchir c'est difficile. Elles sont bien ces machines a voté ! Ah il est 13h ; Jean-Pierre, j'arrive !
              • [^] # Re: Ca commençait si bien

                Posté par (page perso) . Évalué à 1.

                C'est port 25.

                Pour la transmission de courrier inter-serveurs, oui. Pour la soumission de courrier de client à relais, non, c'est le port TCP 587.

                Je ne sais pas dans quel monde tu vis, moi je vis dans le monde réel avec le port 25 (relativement) souvent bloqué, et pas le 465.

                Moi je vis dans le monde réel avec le port TCP 25 (relativement) souvent bloqué, et pas le TCP 587.

                Je me retrouve avec à priori la même chose que sur le port 25, donc pas de STARTTLS, donc communication en claire, heu...

                Gné ? C'est toi qui décide de faire ou non du STARTTLS.
                • [^] # Re: Ca commençait si bien

                  Posté par (page perso) . Évalué à 2.

                  Moi je vis dans le monde réel avec le port TCP 25 (relativement) souvent bloqué, et pas le TCP 587.

                  Ca OK. Juste que c'est en clair chez moi, donc non, je ne peux pas utiliser ça. La où le port 25 est bloqué, je ne veux pas que mon mot de passe SMTP passe en clair.

                  Gné ? C'est toi qui décide de faire ou non du STARTTLS

                  Si le serveur en face ne supporte pas STARTTLS, je ne décide rien du tout... Le serveur de mon fournisseur me jette :
                  "Une erreur est survenue lors de l'envoi du courrier : impossible d'établir un lien sécurisé avec le serveur SMTP 'xxx' en utilisant « STARTTLS » puisqu'il ne propose pas cette fonctionnalité. Désactivez « STARTTLS » pour ce serveur ou contactez votre fournisseur d'accès à Internet." Sympa le message, on ne me préviens pas que désactiver STARTTLS va faire passer le mot de passe en clair.
                  Ah... Tiens, par défaut quand je rajoute un compte à Thunderbird 3.1, celui-ci me met port 587 avec STARTTLS! pareil pour l'IMAP qui pareil ne supporte pas STARTTLS grrr... Il pourrait vérifier avant de mettre ça! Bon, il n'y a plus qu'à regarder comment avoir un paramétrage correct avec TB3.1, car TB3.0 fonctionnait bien (détection IMAP/SMTP en SSL), maintenant je vais me prendre des retours comme il faut pas dès qu'un de mes petits utilisateurs va vouloir installer un TB tout neuf. Grr...
                  • [^] # Re: Ca commençait si bien

                    Posté par (page perso) . Évalué à 2.

                    Ah, le serveur n'est pas à toi, c'est pour ça ! Je n'avais pas compris ça, désolé.

                    Oui, certes, quand on ne contrôle pas le serveur, à part formuler une demande à son administrateur, on ne peut pas grand chose d'autre que s'adapter, évidemment.
                    • [^] # Re: Ca commençait si bien

                      Posté par (page perso) . Évalué à 2.

                      Ah, le serveur n'est pas à toi, c'est pour ça !

                      ben non, je connais mes limites dans l'administration d'un serveur ;-)

                      Je n'avais pas compris ça, désolé.

                      Pas grave, ça arrive.

                      à part formuler une demande à son administrateur,

                      Faut que je vois, il est assez gros et je ne paye pas assez cher pour avoir un poids, après avoir lu la prose sur STARTTLS qui date de 2002, c'est effectivement dommage que mon fournisseur ne supporte pas STARTTLS surtout vu le "bug" de Thunderbird 3.1. Avant TB3.1, ça ne me dérangeait pas (SSL qui grâce à TB3.0 m'a beaucoup simplifié la vie avec la configuration automatique), maintenant ça va être plus gênant (faut que je vois comment remplir les bases de TB correctement en attendant)
                      • [^] # Re: Ca commençait si bien

                        Posté par (page perso) . Évalué à 2.

                        Tu peux peut-être l'aider à implémenter STARTTLS. Genre, s'il utilise Postfix, c'est une ligne très simple à ajouter dans le master.cf.
                        • [^] # Re: Ca commençait si bien

                          Posté par (page perso) . Évalué à 2.

                          Dans sendmail, c'est super simple aussi :
                          il suffit d'ajouter ça dans sendmail.mc,
                          define(`CERT_DIR', `MAIL_SETTINGS_DIR`'certs')dnl
                          define(`confCACERT_PATH', `CERT_DIR')dnl
                          define(`confCACERT', `CERT_DIR/cacert.pem')dnl
                          define(`confSERVER_CERT', `CERT_DIR/cert.pem')dnl
                          define(`confSERVER_KEY', `CERT_DIR/key.pem')dnl
                          define(`confCLIENT_CERT', `CERT_DIR/cert.pem')dnl
                          define(`confCLIENT_KEY', `CERT_DIR/key.pem')dnl

                          puis de le compiler en sendmail.cf

                          Puis il faut prier, après :-)
  • # Moui

    Posté par (page perso) . Évalué à 4.

    OVH te permet de changer le SPF, au moins. Ils proposent du SMTP sécurisé sinon ? Si oui le plus logique est d'utiliser celui-là et pas celui de son FAI.

    DLFP >> PCInpact > Numerama >> LinuxFr.org

  • # et le dkim?

    Posté par . Évalué à 8.

    y'a une approche anti-spam plus interessante je trouve, qui est le dkim.

    Tu ne définis pas une liste d'ip qui a le droit d'envoyer un email (après tout, spoofing itou ca existe) dans ton dns, mais une clé publique (en réalité tu peux en définir plusieurs).

    Et il suffit d'avoir la clé privée correspondante, et signer le message a la mode "dkim" (a la mode : au niveau des entêtes etc... C'est pas une signature incongrue), et voila tu peux l'envoyer de n'importe où, tout en étant autorisé ^^.

    Paypal et ebay l'implémente, et le webmail gmail le vérifie.
    • [^] # Re: et le dkim?

      Posté par . Évalué à 1.

      Le spoofing d'une session complète SMTP (reposant sur TCP) me parait plus proche du fantasme que de la réalité.
      • [^] # Re: et le dkim?

        Posté par . Évalué à 2.

        mais le spoofing d'une session dns, ou un dns attack quelconque ? Surtout si la zone est pas sous dnssec ?

        Par contre dans le cadre de dkim tu peux implémenter une clé par utilisateur (lourd), pour juste certaines adresses email, un sélecteur, ...
        bref tu peux limiter ce style d'attaque.
    • [^] # Re: et le dkim?

      Posté par (page perso) . Évalué à 1.

      Paypal et ebay l'implémentent

      Moi aussi je l'implémente. :-)

      et le webmail gmail le vérifie

      Et moi aussi je le vérifie. Ah, et puis Yahoo! aussi.
      • [^] # Re: et le dkim?

        Posté par . Évalué à 5.

        Heureusement que tu es là pour pousser tout ce beau monde vers l'avant ;-)

        Dis-moi, tu ne pourrais pas implémenter IPV6 aussi ?

        Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur

  • # Moi pas vouloir comprendre

    Posté par . Évalué à 5.

    Dans le doute, quelqu'un pourrait-il me confirmer si ce qui suit est correct :

    L'histoire du SPF, ça implique qu'il est nécessaire de passer par le SMTP correspondant à chacune de ses adresses e-mail si on ne veut pas être marqué comme spam. Exemple, si j'envoie en tant que toto@laposte.net, titi@ovh.com ou tutu@gmail.com, je dois contacter respectivement smtp.laposte.net, smtp.ovh.com et smtp.gmail.com ?

    (/trop la flemme de reconfigurer son postfix …)
    • [^] # Re: Moi pas vouloir comprendre

      Posté par . Évalué à 4.

      grosso modo oui.
      Mais en même temps c'est normal, une seule personne peut assurer que un mail du domaine X provient bien de ce domaine : le domaine lui même.

      Ensuite il y a des moyens différents pour y parvenir.
      • [^] # Re: Moi pas vouloir comprendre

        Posté par (page perso) . Évalué à 1.

        Et dans le grosso modo se cache justement la nuance entre -all et ~all.

        Avec "-all" tu dis que tu es la seule personne [qui] peut assurer que un mail du domaine X provient bien de ce domaine. Avec "~all" tu reconnais que d'autres auxquels tu ne penses pas directement le peuvent. Notamment si tu fournis un service de mail public, les serveurs des FAIs peuvent être amenésr à relayer ton courrier. C'est exactement ce qui pose problème dans le SPF de la Poste, un "~all" aurait été parfait au lieu du "-all".

        Du coup SPF ne fait pas tout le boulot, il reste des usages légitimes de serveurs tiers qui font que "-all" est quasiment toujours trop strict, mais ça permet déjà d'éviter les relais à spam trop flagrants alors que sans SPF il est impossible de les distinguer des relais du fournisseur de service. Ensuite, ça n'empêche pas d'avoir d'autres règles pour trier ce qui passe ce premier nettoyage.
        • [^] # Re: Moi pas vouloir comprendre

          Posté par . Évalué à 2.

          C'est surtout intéressant dans la lutte contre l'hameçonnage, non ?
          Pour les autres domaines c'est pas très utile, parce que avec "~all" c'est tout de suite moins pratique à utiliser.

          Peut être que des autohébergés peuvent aussi s'en servir.

          Tous les contenus que j'écris ici sont sous licence CC0 (j'abandonne autant que possible mes droits d'auteur sur mes écrits)

        • [^] # Re: Moi pas vouloir comprendre

          Posté par . Évalué à 0.

          En fait une adresse IP peut avoir 4 états lorsqu'elle est comparée au SPF :
          - "Pass" : l'adresse IP est explicitement acceptée par le SPF
          - "Neutral" : l'adresse IP n'est ni interdite, ni acceptée
          - "SoftFail" : l'adresse IP est suspecte
          - "Fail" : l'adresse IP est interdite

          Si laposte.met un ~all, les envois depuis d'autres serveurs SMTP seront traitées en "SoftFail" donc en gros marquables comme SPAM. Comme laposte.net indique qu'il faut utiliser le serveur SMTP de son FAI., les messages provenant d'autres adresses IP ne doivent pas être considérés comme suspects, mais comme neutres. En terme d'enregistrement SPF, cela se traduit par un "?all".

          Note : en regardant les enregistrements SPF des domaines que j'utilise pour envoyer des mails j'ai remarqué que l'administrateur des DNS de l'april n'avait pas la même lecture de la RFC que moi :)
          april.org. 180 IN TXT "v=spf1 a mx ~all"

          Pour que chacun puisse se faire son opinion : http://www.ietf.org/rfc/rfc4408.txt

          Membre de l'april, et vous ? http://www.april.org/adherer

    • [^] # Re: Moi pas vouloir comprendre

      Posté par (page perso) . Évalué à 1.

      (/trop la flemme de reconfigurer son postfix …)
      ça pourrait être pire, tu pourrais avoir Exim...
  • # Encore une attaque gratuite sur OVH?

    Posté par (page perso) . Évalué à 5.

    il faut prévoir un courrier type de réponse expliquant aux clients d'OVH qui se plaignent que leur hébergeur les spolie de leur nom de domaine et leur indiquer la procédure pour désactiver cela...

    Corrige-moi si je me trompe, mais OVH te met un truc par défaut assez secure, ils filent un SMTP sécurisé (protégé par login/pass, SSL) que presque tout le monde utilise tellement c'est pratique, et si tu as envie de faire autrement ben tu va dans ta console d'admin, et tu met ce que tu veux au niveau SPF.
    C'est quoi le problème? Qu'OVH soit trop secure par défaut?
    Ou est la spoliation?
    • [^] # Re: Encore une attaque gratuite sur OVH?

      Posté par . Évalué à 1.

      La première plainte que j'ai reçu d'un client d'OVH concernait l'envoi de mail depuis un serveur web : une personne était cliente d'OVH pour la gestion de ses DNS mais hébergeait son site web ailleurs : les mails envoyés depuis son site web étaient considérés comme spam.

      Mais la plupart des plaintes que je reçois proviennent d'utilisateurs qui utilisent le serveur SMTP de leur fournisseur de service mail (il y a notamment eu plusieurs problèmes avec une grosse ville qui gère ses mails en interne mais gère ses DNS chez OVH, on doit faire corriger à chaque fois qu'une administration remarque que son nom de domaine a un problème).

      Donc à la question "c'est quoi le problème" la réponse est "lorsqu'on paie un service DNS chez OVH, on nous ajoute un service SPF qu'on n'a pas demandé qui est configuré uniquement pour utiliser d'autres services, payants (pour le web systématiquement, pour le mail à partir d'un certain volume) , d'OVH.

      À la question "Où est la spoliation" la réponse me semble évidente ; OVH s'autoproclame unique gestionnaire légitime des adresses e-mails des domaines qu'il héberge, alors que c'est à l'utilisateur de choisir ses fournisseurs de service, s'il le souhaite ailleurs que chez OVH.

      --
      Denis

      Membre de l'april, et vous ? http://www.april.org/adherer

      • [^] # Re: Encore une attaque gratuite sur OVH?

        Posté par (page perso) . Évalué à 5.

        lorsqu'on paie un service DNS chez OVH, on nous ajoute un service SPF

        Et c'est très bien ainsi, car 99% des gens qui achètent un domaine chez OVH vont prendre le mail chez OVH. Le 1% de bidouilleurs avec une gestion de domaine chez OVH et leurs emails ailleurs peuvent configurer rapidement leur SPF.

        L'intérêt d'une règle par défaut est de correspondre à l'utilisation la plus courante.

        OVH s'autoproclame

        OVH ne s'autoproclame rien du tout, il met une configuration par défaut, que tu peux changer, c'est tout. Et de ce que je comprend, c'est même mieux : les domaines sont automatiquement protégés des spammeurs qui utiliseraient le nom de domaine créé.

        alors que c'est à l'utilisateur de choisir ses fournisseurs de service, s'il le souhaite ailleurs que chez OVH.

        L'utilisateur peut faire ailleurs que chez OVH sans problèmes.

        Non, désolé, j'ai toujours du mal sur la spoliation, de ce que je comprend OVH file une configuration par défaut correspondant à l'utilisation de 99% des ses clients, et cette configuration ne te plait pas parce qu'il y a quelques pas doués qui regardent pas la configuration de leur DNS ni ne configure leur SPF après avoir acheté leur domaine mais font du mail de manière "avancée" quand même.

        Ou alors, il faut que tu me ré-expliques avec des mots que je peux comprendre où est le problème, car la je ne vois toujours pas : tout ce que je vois, c'est une conf par défaut qui ne te plait pas et des pas doués qui ne savent pas administrer leur mail mais font joujou avec.

        http://www.larousse.fr/dictionnaires/francais/spoliation
        "spoliation : Action de déposséder par violence ou par ruse."
        Faudrait arrêter de galvauder les mots (j'ai du mal à considérer une conf par défaut comme un ruse, et OVH ne te dépossède de rien, tu as accès à ton SPF comme tu veux)
      • [^] # Re: Encore une attaque gratuite sur OVH?

        Posté par . Évalué à 8.

        OVH s'autoproclame unique gestionnaire légitime des adresses e-mails des domaines qu'il héberge, alors que c'est à l'utilisateur de choisir ses fournisseurs de service, s'il le souhaite ailleurs que chez OVH.

        eh coco :
        - ya une console d'admin, tu configures ton SPF comme t'as envie, ya même un "assistant" pour ça
        - c'est pas de l'auto-proclamation, c'est une config par défaut : bref, ça se change !

        C'est comme si tu disais "arg ! L'équipe de SAMBA choisit le nom de mon groupe de travail pour moi ! la preuve, si j'installe SAMBA, le nom par défaut est WORKGROUP et les imprimantes sont partagées ! les salauds !"

        Désolé mais : lorsqu'on est pas un rigolo et qu'on mets en place un service mail : on règle le SPF du/des domaines qu'on gère et on ne se plaint pas que la config par défaut est pas adaptée...

        À ta place, je gueulerais plus contre les FAI qui ne permettent pas de débloquer le port 25, ou sur le fait qu'il y ait encore des serveurs qui ne forcent pas au moins une connexion sécurisée ou, soyons fous, une connexion ssl et sur ces mêmes FAI qui configurent leurs serveurs SMTP pour permettre l'envoi d'emails depuis un domaine qu'ils ne gèrent pas.

        Pour moi, tu te trompes de combat..
        • [^] # Re: Encore une attaque gratuite sur OVH?

          Posté par . Évalué à 1.

          > ya une console d'admin, tu configures ton SPF comme t'as envie,
          Sauf que comme près de 100% des noms de domaine dans le monde n'ont pas de SPF, que même des gens qui sont venus lire ce journal (qui est quand même sur un site visité par des personnes qui s'intéressent un peu à la technique) ne connaissaient pas SPF, il faut être conscient que la grande majorité des personnes ne connaissent pas SPF, ne savent pas à quoi ça sert et n'ont donc aucune raison a priori de chercher à configurer le SPF.

          > c'est pas de l'auto-proclamation, c'est une config par défaut : bref, ça se change !
          Oui, ça se change, et je sais même par coeur comment on le fait à force de l'expliquer aux clients d'OVH. Mais imposer le SPF chez OVH à des utilisateurs qui ne connaissent pas son fonctionnement et surtout sans les informer, j'appelle ça s'approprier cette entrée par la ruse... ah oui, dans le dictionnaire on appelle cela spoliation.

          Membre de l'april, et vous ? http://www.april.org/adherer

          • [^] # Re: Encore une attaque gratuite sur OVH?

            Posté par (page perso) . Évalué à 5.

            Une personne qui installe un serveur de mail aujourd'hui sans connaitre SPF mérite juste des baffes (et auront aussi des problème avec gmail et hotmail à ma connaissance).
            Les vieilles configs d'OVH n'ont pas SPF, seules les nouvelles l'ont.
            Tu dois aider des mauvais admins, ça arrive tous les jours, blâme-les plutôt que de blâmer OVH.

            j'appelle ça s'approprier cette entrée par la ruse.

            Ils ne s'approprie rien du tout! Tu peux changer ça.

            dans le dictionnaire

            http://www.larousse.fr/dictionnaires/francais/approprier/478(...)
            s'approprier: Faire sa propriété de quelque chose, souvent indûment ; en particulier, s'attribuer la paternité d'une œuvre, d'une idée
            http://www.larousse.fr/dictionnaires/francais/propri%C3%A9t%(...)
            propriété: Droit d'user, de jouir et de disposer d'une chose d'une manière exclusive et absolue sous les seules restrictions établies par la loi.

            Ouvre le ton dictionnaire!
            Il n'y a ni appropriation, ni ruse, juste une valeur par défaut.
          • [^] # Re: Encore une attaque gratuite sur OVH?

            Posté par . Évalué à 5.

            la grande majorité des personnes ne connaissent pas SPF, ne savent pas à quoi ça sert et n'ont donc aucune raison a priori de chercher à configurer le SPF.

            Oui malheureusement, la grande majorité des personnes qui s'auto-proclament "professionels" sont de gros branlos incompétents qui se forment sur le tas sans chercher à voir plus loin que les tutos qu'ils trouvent sur le net. Ce sont eux qui sont à blâmer parce qu'ils font n'importe quoi et/ou ne font aucune veille technologique, pas le prestataire (OVH) qui fournit un moyen de contrôler tous les aspects possibles de son domaine.

            Perso j'ai une devise : quand on ne sait pas, on ne fait pas.

            imposer le SPF chez OVH à des utilisateurs qui ne connaissent pas son fonctionnement et surtout sans les informer, j'appelle ça s'approprier cette entrée par la ruse...

            si je me souviens bien, ça a été annoncé dans leur newsletter et sur un lien dans le manager lorsque la fonction a été mise en place... évidemment, si les gens ne s'inscrivent pas à la newsletter (je pense qu'en plusieurs années, j'ai dû recevoir moins de 5 newsletters...) et ne vont jamais voir si le manager offre de nouvelles fonctionnalités (oui, ça fait partie de la veille technologique).... évidemment...
            Tu aurais voulu qu'ils envoient un courrier postal à chaque NIC annonçant la mise en place d'un SPF par défaut avec un exemplaire de "Internet pour les nuls" ?
            • [^] # Re: Encore une attaque gratuite sur OVH?

              Posté par . Évalué à 2.

              Perso j'ai une devise : quand on ne sait pas, on ne fait pas.
              Oh tu dois être super doué, pour faire une thèse sur l'ensemble des problèmes que tu risque de rencontré et une étude algorithmique complète chaque fois que tu dois déployer le moindre truc.

              Chapeau bas.

              Perso moi j'ai fait plein de truc alors qu'initialement je ne "savais pas", et je connais aussi plein de truc qui aurais été super bien de mettre en place, mais que faute de temps ben pas mis (et voui on ne vis pas tous d'amour et d'eaux fraiches, certains ont des contraintes autre qu'uniquement technique)...
              • [^] # Re: Encore une attaque gratuite sur OVH?

                Posté par . Évalué à 2.

                Oh tu dois être super doué, pour faire une thèse sur l'ensemble des problèmes que tu risque de rencontré et une étude algorithmique complète chaque fois que tu dois déployer le moindre truc.

                qui t'as parlé de thèse ? je parle simplement de connaître ce qu'il est possible de faire, comment et pourquoi. rien de sorcier, il suffit de se documenter correctement.

                Perso moi j'ai fait plein de truc alors qu'initialement je ne "savais pas",

                Comme tout le monde : avant de savoir, on ne sait pas. et pour savoir (avant de faire) on apprends.
                Apprendre sur le tas, ça arrive constamment, mais avant de se poser en professionnel et/ou de mettre un service en production qui demande un peu de sérieu, on prends le temps de creuser le sujet.


                et je connais aussi plein de truc qui aurais été super bien de mettre en place, mais que faute de temps ben pas mis (et voui on ne vis pas tous d'amour et d'eaux fraiches, certains ont des contraintes autre qu'uniquement technique)...

                Je ne vois pas le rapport. Si tu n'as pas le temps pour la veille technique, l'auto-formation et l'évaluation des acquis, je te conseille de revoir tes méthodes de travail car tu risques de rester sur la touche un jour ou l'autre... et je t'assures que les gens qui prennent ce temps ne vivent pas, non plus, d'amour et d'eau fraîche, souvent bien au contraire.
                • [^] # Re: Encore une attaque gratuite sur OVH?

                  Posté par . Évalué à 1.

                  qui t'as parlé de thèse ?
                  Moi, car tu as dis "savoir ce que tu fais", et pour savoir ce qu'on le fait réellement, et toutes les interactions possibles et imaginables, il faut avoir fait pas mal d'études sur lesdits problèmes.
                  Études que l'on peut comparer tant en terme de complexité que de temps à une thèse.

                  je parle simplement de connaître ce qu'il est possible de faire, comment et pourquoi. rien de sorcier, il suffit de se documenter correctement.
                  Ah d'accord, tu ne veux pas savoir, c'est juste "croire que je sais parce que j'ai lu deux white paper sur internet et donc je suis trop un 1337 qui roxxor des mamans ourses".

                  la documentation ne fait pas tout, il faut faire des maquettes, tester les problèmes possibles, etc...
                  Pourquoi crois tu qu'un plan de migration, même en "s'étant documenter correctement", ca prend du temps et des ressources ?
                  Voir pour certaines migration, le plan prend plusieurs année...


                  Comme tout le monde : avant de savoir, on ne sait pas. et pour savoir (avant de faire) on apprends.
                  Apprendre sur le tas, ça arrive constamment, mais avant de se poser en professionnel et/ou de mettre un service en production qui demande un peu de sérieu, on prends le temps de creuser le sujet.

                  On "creuse le sujet".
                  Sur le principe j'ai rien à dire.
                  Maintenant tu t'arrêtes quand de "creuser" et tu commence quant à bouffer ?
                  Parce que perso je me suis un peu "documenter" sur le mail, et je peux t'assurer que le spf arrive pas du tout en première ligne. Je sais que c'est un truc antispam, mais bien avant de m'intéresser à spf je me suis intéresser au smtp, aux différents backend d'authentification possible, au greylisting, à spamassassin, etc...
                  spf viens bien derrière, entre autre parce qu'il est fréquemment décrié.

                  Et puis, traiter la majorité des professionnels de "branlos incompétents" c'est sympa pour eux aussi. Ca prouve que tu t'es bien documenté sur leur sujet ...
                  (Une des définition de professionnel peut être "toute personne qui touche de l'argent pour ce qu'elle fait".
                  Ça peut être aussi "quelqu'un qui estime que si quelquechose doit être fait, alors ca vaux le coup d'être bien fait".
                  etc...
                  Forcément tu met tout le monde dans le même sac donc difficile de savoir de quoi tu parles)


                  Je ne vois pas le rapport. Si tu n'as pas le temps pour la veille technique, l'auto-formation et l'évaluation des acquis, je te conseille de revoir tes méthodes de travail car tu risques de rester sur la touche un jour ou l'autre... et je t'assures que les gens qui prennent ce temps ne vivent pas, non plus, d'amour et d'eau fraîche, souvent bien au contraire.
                  Pour paraphraser quelqu'un : Si tu n'as pas le temps de lire correctement, je te conseille de revoir tes méthodes.

                  Je t'aide, dans le monde de l'entreprise, ca s'appelle une "date limite".
                  Et quand ton n+{1-n} te dis "il nous faut ça, et tu n'as que 5 jours, non négociable,", tu peux avoir toutes les formations que tu veux, évaluation de bidule chouette, veille technique de ouf, méthode de travail iso 9001, certif truc muche et j'en passe et des meilleurs, tu n'aurais toujours que 5 jours pour faire ton truc, pas 15.
                  Et si pour faire un truc bien tu as besoin de 15 jours, ben tu fais un truc qui tiens à peu près la route en 5.
                  (même cas possible avec les effectifs)

                  Mais bon pour un type qui crache sur les "pros" mais qui ne connais même pas une situation aussi courante, et qui se permet de faire la morale aux autres, comment dire...
                  • [^] # Re: Encore une attaque gratuite sur OVH?

                    Posté par . Évalué à 1.

                    c'est du grand n'importe quoi ton commentaire

                    tu as dis "savoir ce que tu fais", et pour savoir ce qu'on le fait réellement, et toutes les interactions possibles et imaginables, il faut avoir fait pas mal d'études sur lesdits problèmes.
                    Études que l'on peut comparer tant en terme de complexité que de temps à une thèse.


                    Lire une RFC et se documenter c'est aussi complexe qu'une thèse ? je dois être surdoué alors...

                    Maintenant tu t'arrêtes quand de "creuser" et tu commence quant à bouffer ?

                    Je m'arrête quand ce que je sais me permettra de bouffer sans prendre le risque de faire une grosse connerie par ignorance. ça prends pas longtemps, je fais ça tous les jours depuis des années, ça va très bien, merci.

                    Parce que perso je me suis un peu "documenter" sur le mail

                    d'abord : documenté
                    en suite il faut avoir un peu de méthode et ne pas tout mélanger. Le champ SPF est, avant tout, un champ faisant partie de la zone d'un domaine... utilisé par certains services/serveurs mail/antispam, mais c'est dans la documentation sur les DNS plus que dans les mails... Si tu t'étais documenté correctement sur les DNS, tu aurais vu qu'il était possible de mettre en place des champs de type "texte" afin de fournir d'autres informations concernant la zone, un exemple de champ texte est le champ SPF exemple : http://www.google.com/search?q=champ+texte+dns le premier lien en parle.

                    Lorsqu'on se pose en professionnel et qu'on s'occupe de mettre en place une zone DNS pour un domaine, on se documente un minimum avant. Voici un eméthodologie simple pour survoler un sujet avec l'exemple du SPF : Le SPF est un champ texte d'une zone DNS, on va donc chercher sur Wikipedia, la base Domain_Name_System on voit dans le paragraphe doédié aux types d'enregistrements qu'on parle des SPF avec, en plus un lien vers un article WikiP : Sender_Policy_Framework c'est succint, mais suffisamment complet pour avoir comme information que c'est un standard, lorsque l'article n'existait pas, il aurait suffit de faire une recherche on serait tombé sur une flopée de ressources très claires et en français...
                    Une fois cette documentation trouvée et lue, on va voir l'outil de configuratin des DSN de son registrar et on re garde quelles sont les possibilités offertes. Au total, ça prends 2h maxi en y allant doucement. Rien d'insurmontable

                    Et puis, traiter la majorité des professionnels de "branlos incompétents" c'est sympa pour eux aussi. Ca prouve que tu t'es bien documenté sur leur sujet ...

                    Depuis le temps que je les côtoie, que je répare leurs bourdes et fait partie d'eux, oui, je pense m'être assez documenté sur eux oui...

                    Forcément tu met tout le monde dans le même sac donc difficile de savoir de quoi tu parles)

                    ça me paraissait logique... mais je vais expliquer si c'est nécessaire...
                    Quand je parle des "professionnels" je parles des gens qui se posent en tant que tel. Exemple flagrant de professionnel incompétent : le graphiste print qui se met à faire du web et à proposer des sites internet à des clients. Certes, il peut très bien se documenter très convenablement et s'auto-former, mais la plus part du temps ça n'est pas le cas. Ils se proclament professionnels du web alors qu'ils sont des professionnels du print... de même, on voit beaucoup de "Webmasters" qui ont effectué une formation d'une semaine à grands frais, et qui montent leur webagency sur ces seules bases : se sont des incompétents.
                    Ça te paraît plus clair ?

                    Je t'aide, dans le monde de l'entreprise, ca s'appelle une "date limite".

                    Sans déconner ? t'ai vraiment l'impression que tu m'apprends un truc là ?
                    Je t'aide : je suis 100% autodidacte, je bosse dans les métiers du web et des réseaux (réseau, hébergement, dev, infographie, webdesign, accessibilité, ergonomie) depuis une dizaine d'années, en entreprise (avec un n+{1-n}, voire plusieurs, et des n-{1-n} aussi à gérer, des projets critiques à mettre en place en 2 mois avec un équipe de stagiaires dont les stages n'en durent qu'un) et dans la mienne aujourd'hui (de boite, que j'ai créé), je me forme en permanence, je fais ma veille, je me remet en question, et, avant de proposer un service ou une presta, je me forme dessus... et je ne vis pas d'amour et d'eau fraîche, j'ai même une vie sociale et de famille.

                    Je suis donc tout particulièrement bien placé pour parler de veille, de documentation, d'auto-formation, de dead-lines pourries et de documentation à la va-vite.
                    Je suis un professionnel auto-proclamé (puisque sans diplômes, sans certifications) et reconnu par mes pairs et mes clients comme un réel professionnel avec tout ce que ça véhicule comme champ lexical, pas un branlo qui fais les choses à moitié car il ne les connaît qu'à moitié, parce que formé à moitié. Mon domaine de compétences est particulièrement mobile et évolue en permanence, il est vital de savoir s'auto-former et d'effectuer une veille efficace.

                    Lorsque je ne suis pas compétent pour quelque chose et que je ne peux pas l'être dans un laps de temps raisonnable, je le dis au client ("Je ne peux réaliser ce chantier dans le temps que vous impartissez"), lorsque je pense pouvoir l'être dans un laps de temps raisonnable, je le fais, et lorsque j'ai 5 jours pour réaliser un truc qui en demande 15, soit je refuse car c'est pas possible, ou que ça risque de mettre en danger les autres projets, soit je fais des heures sup et je me documente suffisamment pour pouvoir livrer quelque chose de fonctionnel à la date de livraison, quitte à rajouter et modifier le projet pendant les 10 jours qui suivent...
                    Si ton n+{1-n} ne veut pas ce genre de méthode, n'est pas capable d'évaluer les compétences de son équipe, n'est pas objectif sur les délais de réalisation... soit tu restes et tu te tais, soit tu restes et tu cherches à prendre sa place, soit tu te barres... moi je me suis barré. Dans l'histoire, le branlo incompétent, ce n'est pas toi mais lui, car toi, au moins, tu sais qu'il faut 15 jours pour faire la presta, contrairement à lui.

                    Si tu t'es senti visé par le "Branlo incompétent" désolé, je me flagellerais plus tard, mais tu conviendras aisément que des clients à qui tu expliques la manière de gérer leur champ SPF depuis la console OVH sont, eux, des branlos incompétents.
                    • [^] # Re: Encore une attaque gratuite sur OVH?

                      Posté par . Évalué à 2.

                      Lire une RFC et se documenter c'est aussi complexe qu'une thèse ? je dois être surdoué alors...
                      Ecoute, si tu veux pas lire, ne lis pas, mais viens pas te plaindre après.

                      Si il suffisait de lire une rfc et se "documenter" sans plus de précisions pour relever tous les problèmes et les régler ça se saurait, et il n'y aurait absolument pas besoin de SI ni d'études dans les boites.
                      C'est marrant parce que j'ai pas encore vue une boite sans SI ni études lorsqu'ils veulent mettre en place une soluce.

                      Je m'arrête quand ce que je sais me permettra de bouffer sans prendre le risque de faire une grosse connerie par ignorance. ça prends pas longtemps
                      Dans la langue de bois, tu gagnes un point.
                      Je te demande quand tu sais que c'est bon, tu me réponds "je sais quand c'est bon".

                      Ben écoute moi je suis pas devin comme toi, et j'ai appris que je pouvais toujours apprendre. Ce qui veut dire que quand je fais un truc, il y a toujours le risque que je connaisse pas un truc ou que je fasse une connerie.
                      Croire que tu ne risque pas de faire de connerie parce que tu t'es "documenté pas longtemps" (pour reprendre tes termes), ca me semble a mon sens plus de l'amateurisme que du professionnalisme.


                      d'abord : documenté
                      Commence par relire tes précédents messages, il ne sont pas tous exempts d'erreurs, je te rassure.
                      Si tu avais un autre ton et ne considérais pas les autres comme des branlos incompétents je prendrais sans problème la critique, mais là je vais certainement pas faire d'efforts.


                      ça me paraissait logique... mais je vais expliquer si c'est nécessaire...
                      Oui je crois que c'est nécessaire.

                      Quand je parle des "professionnels" je parles des gens qui se posent en tant que tel.
                      Je me pose en tant que tel, et pourtant je ne me retrouve pas dans ton exemple.
                      C'est moi ou tu n'as que très partiellement expliqué ton point de vue?


                      Sans déconner ? t'ai vraiment l'impression que tu m'apprends un truc là ?
                      Vu tes précédent propos, Oui, vu que tu trouves anormal de devoir faire des compromis.
                      Un autre exemple de compromis quand les best practices contreviennent au niveau de la politique de sécurité (par exemple au niveaux des flux pour une DMZ).

                      des projets critiques à mettre en place en 2 mois avec un équipe de stagiaires dont les stages n'en durent qu'un)
                      Ah ben c'est du propre. Un stagiaire n'est pas censé travailler sur du productif.

                      Je me forme en permanence, je fais ma veille, je me remet en question, et, avant de proposer un service ou une presta, je me forme dessus...
                      Est ce que ca veux dire que tu maitrise à fond ce que tu proposes ?
                      Même pas la peine de me répondre, je connais la réponse, surtout avec ton panel de compétence.
                      C'est pas une critique, mais un peu d'humilité envers l'ensemble du monde professionnel ne fait pas forcément du mal.

                      Je connais des gens qui seront rentré dans ton cadre de "branlos incompétents" parce que oui ils ont fait des conneries ou autres. Mais de l'autre coté je peux t'assurer qu'ils sont tous sauf des branleurs ou des incompétents.


                      Je suis donc tout particulièrement bien placé pour parler de veille, de documentation, d'auto-formation, de dead-lines pourries et de documentation à la va-vite.
                      Pourquoi tu serais mieux placés qu'à peu près n'importe qui dans ce secteur ?


                      Lorsque je ne suis pas compétent pour quelque chose et que je ne peux pas l'être dans un laps de temps raisonnable, je le dis au client ("Je ne peux réaliser ce chantier dans le temps que vous impartissez"),
                      Ca c'est une relation client/fournisseur. Ce qui n'as rien à voir avec une relation hierarchique interne, surtout quand ce son tles "hautes instances" qui ont décidé d'un truc.

                      pas un branlo qui fais les choses à moitié car il ne les connaît qu'à moitié, parce que formé à moitié.
                      Tu paris combien que si tu prend un expert d'un domaine quelconque il arrive a te remonté une floppée de truc sur tes archis ?
                      (et c'est normal, ca veut pas dire que tu n'es pas pro. Juste que tu ne peux pas être expert sur le nombre de domaine que tu cites).
                      Si il suffisait de se documenter un peu pour être un expert, ca serait bien mais ...


                      soit je refuse car c'est pas possible, ou que ça risque de mettre en danger les autres projets, soit je fais des heures sup et je me documente suffisamment pour pouvoir livrer quelque chose de fonctionnel à la date de livraison, quitte à rajouter et modifier le projet pendant les 10 jours qui suivent...
                      Et quant tu peux pas refuser, et que tu ne peux/veux pas faire (plus) d'heures sups, tu fait comment ?
                      Tu inventes une machine à remonter le temps ?


                      Si ton n+{1-n} ne veut pas ce genre de méthode, n'est pas capable d'évaluer les compétences de son équipe, n'est pas objectif sur les délais de réalisation... soit tu restes et tu te tais, soit tu restes et tu cherches à prendre sa place, soit tu te barres... moi je me suis barré.
                      tout le monde ne peut pas le faire du jour au lendemain, même si il le veut. Et en attendant des trucs pourris sortent.

                      Dans l'histoire, le branlo incompétent, ce n'est pas toi mais lui, car toi, au moins, tu sais qu'il faut 15 jours pour faire la presta, contrairement à lui.
                      Sauf que dans ton message initial, c'était pas lui qui était visé, mais bien la petite main.
                      Et quand le n+1 le sait aussi, mais c'est le pdg de la boite qui a dis c'est comme ça, et vous vous démerdez point barre, tu peux toujours dire que c'est un "branlos incompétent", mais ca ferais pas avancer le schimblik
                      • [^] # Re: Encore une attaque gratuite sur OVH?

                        Posté par . Évalué à 2.

                        je vais pas répondre point par point, tu vas re-répondre sur chaque points et en créer d'autre ect...

                        Se documenter ne veut pas dire "apprendre par coeur" mais "comprendre les principes directeurs, les possibilités, contraintes et limites et savoir où trouver les ressources utiles et à jour pour la mise en œuvre", tu sais donc quand tu peux "t'arrêter" puisque tu as compris comment ça fonctionnait. Exemple concrêt : mise en place d'un contrôleur de domaine sous unix. Tu vois que le projet Samba existe, tu vois quelle est la/les versions dispos en stable actuellement sur les dernières distribs (la tendance est d'avoir du 3.3 ou 3.4) tu vois qu'en deça, tu ne pourras pas connecter une machine Vista/7, tu vois que tu peux coupler ça à du LDAP mais que ça n'est pas obligatoire, tu vois que tu peux exécuter un script sur le serveur avant et après la connexion d'un utilisateur, faire exécuter un script batch sur la machine lors de la connexion, et partager les imprimantes configurées via cups. tu as récupéré 3-4 tutos pour mettre en place ton contrôleur de domaine avec ou sans ldap : tu es documenté, ça y est. Si tu veux proposer ce genre de service, et être opérationnel, il te faudra en suite mettre en œuvre tout ça sur une plateforme de test. C'est après, ou parfois durant les tests, que tu vas compléter cette documentation par des compléments (dans notre exemple, la mise en place de quotas, limitation des connexions, modification du registre via le script batch, les groupes etc..)
                        Je ne pense pas que quelqu'un viendra me dire que c'est complexe, que ça prends un temps fou et que c'est une pratique stupide.

                        Toi, tu dis qu'un pro est quelqu'un qui propose un service dont il ne sait rien et qu'il le met en place en suivant un tuto quelconque sur le net ou ailleurs (comment pourrait-il autrement?) sans jamais chercher à comprendre ce qu'il fait... désolé d'halluciner quoi...
                        Évidemment, je ne tape pas sur l'exécutant des ordres, mais sur celui qui contraint à agir ainsi.
                        Sauf que... les acteurs du web (ceux qui sont directement confrontés au fait dénoncé par ce journal concernant le SPF par défaut chez OVH, recadrons les choses dans leur contexte) sont pour la plus part des freelances ou de petites SSII, et sont à la fois les donneurs d'ordre et les exécutants et agissent presque tous ainsi, ceux là, oui, ce sont des branlos incompétents qui font énormément de mal à la profession.

                        J'espère que, à la lueur de ces dernières explications, tu comprendras que tu n'as pas compris de quoi (et surtout de qui) je parlais et qui je pointais du doigt comme étant réellement fautifs dans l'affaire... Je résume une dernière fois :

                        - Le journal gueule sur OVH parce qu'ils mettent en place un champ SPF par défaut
                        - Je dis qu'on s'en tape puisqu'on peut le changer et qu'un professionnel qui se respecte (sous entendu, est-il vraiment besoin de l'expliquer, un professionnel qui a à gérer un domaine, donc un professionnel du web) sais ce que c'est, et ira le changer, si non, c'est un branlo incompétent.

                        Maintenant, j'espère que tu as compris tu tu avais compris de traviole et que tu t'es enflammé pour que dalle...

                        Pour finir :
                        - oui je trouve normal de faire des compromis lorsque tu y est réellement contraint (lorsque tu n'as pas doit au chapitre et que tu ne veux/peux pas changer de poste/boîte) mais un type qui ne sais pas et qui fait quand même alors qu'il pourrait refuser de faire : c'est un branlo incompétent
                        - non, il ne faut pas faire bosser des stagiaires sur du critique, mais à l'époque je n'avais pas droit au chapitre, donc on a fait avec. ça ne fait pas de moi un branlo incompétent, mais de mes supérieurs oui, parce que, contrairement à eux, je ne trouvait pas ça normal
                        - je suis bien (et pas "le mieux", la nuance est grande tout de même) placé pour te dire que s'auto-former n'a rien d'insurmontable parce que je l'ai fait, et de zéro, et dans des conditions non propices à l'apprentissage
                        - définir "expert" est-ce le type qui a un diplôme ? de l'ancienneté ? qui sait réciter une RFC par cœur ? qui a codé un patch ? un soft ?... pour moi un "expert" sur un sujet est quelqu'un qui connaît tous les tenants et aboutissants d'un sujet, qui sais détecter sans faillir les causes des problèmes/risques et y remédier. Comment devenir expert ? je te le donne en mille : se former ! truc de ouf !
                        - Quand tu peux plus faire d'heures sups, tu choisis :
                        -- tu n'en fais pas et ne termine pas le projet à temps
                        -- tu ramènes du taf à la maison
                        -- tu taffes au bureau mais gratis
                        -- tu cherches un autre poste
                        -- tu apprends la vie au donneur d'ordre, ce qui reviens à chercher un autre poste la plus part du temps
                        - à l'impossible nul n'es tenu, donc oui, y a des trucs pourris qui sortent, mais si tu ne peux pas faire autrement, tu n'es pas à blâmer, sauf si tu trouves ça normal
                        - certes ça ne fait pas avancer le shmilblik mais c'est un état de fait : c'est un branlo incompétent don PDG, au même titre que l'espèce d'apôtre qui va pas configurer son champ SPF et qui gueule que celui par défaut est pas adapté à SON utilisation...
                        • [^] # Re: Encore une attaque gratuite sur OVH?

                          Posté par . Évalué à 3.

                          > un professionnel qui a à gérer un domaine, donc un professionnel du web)
                          > sais ce que c'est, et ira le changer, si non, c'est un branlo incompétent.

                          1/ pourquoi un professionnel du web connaîtrait SPF ? C'est une problématique de mail, dans le monde professionnel les experts web et les experts mail sont souvent différents,

                          2/ SPF n'apparait pas dans la RFC 5598 (dont l'objectif est de refléter l'état de l'art en matière d'architecture mail) qui a quand même été écrite et relue par des professionnels du mail d'un autre niveau que le tien, donc prétendre que c'est une technologie commune que tout le monde devrait connaître est une aberration

                          3/ Et même si on est professionnel du mail et des DNS, on n'a pas forcément envie de positionner un champ SPF sur ses domaines, donc en voir un positionné sans en avoir été averti est un problème.

                          Membre de l'april, et vous ? http://www.april.org/adherer

                          • [^] # Re: Encore une attaque gratuite sur OVH?

                            Posté par (page perso) . Évalué à 2.

                            C'est une problématique de mail, dans le monde professionnel les experts web et les experts mail sont souvent différents,

                            Donc la machine ne sera jamais accessible puisque pour toi le mec qui administre le mail n'ira jamais demander au mec qui administre le DNS de rajouter le NX au DNS?

                            J'ai du mal à comprendre la difficulté : on doit contacter la personne des DNS pour mettre en place un serveur de mail, la demande passe de 1 ligne "NX=toto" à 2 lignes "NX=toto et SPF=titi", c'est si dur que ça? La, tu dis juste qu'on peut aussi virer le login/password de ton compte en banque, c'est inutile d'en mettre un, donc pourquoi en mettre un par défaut qu'on t'envoie par lettre que tu regardes jamais (trop chiant de regarder son courrier)? SMTP et le mail ont été créé à une époque où la sécurité était pas utile pour les mails, maintenant ça change, désolé mais je trouve normal avec le problème du spam que par défaut on interdise aux autres d'envoyer des mails en notre nom.

                            3/ Et même si on est professionnel du mail et des DNS, on n'a pas forcément envie de positionner un champ SPF sur ses domaines,

                            Un professionnel du web Internet n'a pas forcément envie que son domaine soit utilisé pour le spam par défaut, donc en voir un non positionné sans en avoir été averti est un problème. Super, on avance avec des arguments comme ça.

                            Encore une fois, c'est un choix fait par le gestionnaire, et plein de monde le trouve très bien. et ce n'est pas prêt de changer parce que certains ne sont pas doué et refusent d'apprendre (tu fais l'erreur une fois, on te le dis, et tu ne la fait plus, c'est pas plus compliqué)
                          • [^] # Re: Encore une attaque gratuite sur OVH?

                            Posté par . Évalué à 2.

                            1) c'est assez rare tu sais les gens qui proposent des services web sans proposer le domaine et le site web qui va avec ce domaine...

                            2) le SPF n'apparaît pas dans la RFC 5598 mais dans la 4408

                            3) oui ou tu peux aussi te tenir un tant soit peu à jour et te renseigner sur les évolutions, au minimum, des options offertes par les outils mis à disposition par ton gestionnaire de DNS...
                            • [^] # Re: Encore une attaque gratuite sur OVH?

                              Posté par . Évalué à 1.

                              1) dans le vrai monde c'est rare qu'une personne seule s'occupe de toute la technique

                              2) visiblement tu ne connais pas la RFC 5598, je t'invite à en prendre connaissance, mais c'est bien que constates par toi-même que tout le monde ne peut pas suivre toutes les RFC...

                              3) OVH ne s'adresse pas qu'aux geeks, il fournit justement des interfaces adaptées aux gens qui ne comprennent rien à la technique

                              Membre de l'april, et vous ? http://www.april.org/adherer

                              • [^] # Re: Encore une attaque gratuite sur OVH?

                                Posté par (page perso) . Évalué à 2.

                                1) dans le vrai monde c'est rare qu'une personne seule s'occupe de toute la technique

                                Tout comme il est rare qu'une personne qui sait configurer un MX ne sache pas configurer le SPF 1 ligne en dessous.

                                3) OVH ne s'adresse pas qu'aux geeks, il fournit justement des interfaces adaptées aux gens qui ne comprennent rien à la technique

                                justement.
                                Les gens qui ne comprennent rien à la technique laissent leurs mails chez OVH, utilisent le SMTP d'OVH, (en SSL si il le faut) et le SPF est correctement configuré. Et c'est bien pour ça sans doute qu'OVH met ce SPF par défaut.

                                Les gens qui connaissent installent leur mail ailleurs, et au moment de changer le MX, ils changent le SPF.

                                Toi, tu veux que des gens qui ne comprennent rien installent un serveur de mail ailleurs, sachent changer leur MX mais ne savent pas changer le SPF au même endroit que le MX. C'est du n'importe quoi...
                        • [^] # Internet != web

                          Posté par (page perso) . Évalué à 0.

                          Je dis qu'on s'en tape puisqu'on peut le changer et qu'un professionnel qui se respecte (sous entendu, est-il vraiment besoin de l'expliquer, un professionnel qui a à gérer un domaine, donc un professionnel du web) sais ce que c'est,

                          Internet n'est pas le web. Tu voulais parler de professionnels de l'Internet, je pense.

                          Confondre Internet et le web, c'est mal. Ça amène à des conceptions nuisibles comme Internet selon Orange, qu'il faut combrattre.
                          • [^] # Re: Internet != web

                            Posté par . Évalué à 0.

                            on sais merci cependant pour mettre en place ton site web il te faut bien toucher aux DNS un minimum, idem pour tes mails donc...
                            • [^] # Re: Internet != web

                              Posté par (page perso) . Évalué à 3.

                              Donc rien. Régler les enregistrements DNS pour faire du courrier, ce n'est pas le boulot d'un spécialite du web. D'un spécialiste du courrier électronique, d'un spécialiste d'Internet, d'un généraliste ou d'un multi-spécialiste, oui. Mais pas d'un spécialiste du web.
                              • [^] # Re: Internet != web

                                Posté par . Évalué à 0.

                                arêtes de pinailler deux secondes stp... je sais tu as un titre à défendre mais quand même
                        • [^] # Re: Encore une attaque gratuite sur OVH?

                          Posté par . Évalué à 3.

                          J'espère que, à la lueur de ces dernières explications, tu comprendras que tu n'as pas compris de quoi (et surtout de qui) je parlais et qui je pointais du doigt comme étant réellement fautifs dans l'affaire...

                          C'est gentil de me prendre pour un con, et c'est précisément pour ce genre de ton que je t'ai répondu comme ça.

                          Toi visiblement tu as toujours pas compris le but de mes commentaires, ni le sens du mot "humilité" que j'ai du répété plusieurs fois.

                          Allez je t'aide : pourquoi est ce que forcément moi/ton interlocuteur qui n'a rien compris, et pas toi qui t'es peut être mal exprimé, voir les deux personnes en même temps ?

                          un professionnel qui a à gérer un domaine, donc un professionnel du web
                          Je vois pas trop le lien entre un pro du dns et un pro du web (http), désolé, surtout quand on parle de mail (smtp)...



                          Maintenant, j'espère que tu as compris tu tu avais compris de traviole et que tu t'es enflammé pour que dalle...
                          J'ai surtout compris que tu te prends pas pour de la merde, et que tu penses vraiment que les autres sont des cons, parce que toi visiblement l'idée même que tu ais pu faire une erreur ne te viens pas à l'esprit.
                          • [^] # Re: Encore une attaque gratuite sur OVH?

                            Posté par . Évalué à 2.

                            bon je ne réponds plus... si tu veux absolument jouer à qui a la plus grosse, désolé mais ça n'est pas mon propos quoi que tu en dises, et tu veux pinailler sur chaque mot ou raccourcis employé... j'ai un peu autre chose à faire que d'expliquer dans le détail chacun des termes employés et leur champ lexical du moment...
                            Fin de discussion, continues là si tu le souhaites, j'ai rien à prouver perso
            • [^] # Re: Encore une attaque gratuite sur OVH?

              Posté par (page perso) . Évalué à 6.

              > Perso j'ai une devise : quand on ne sait pas, on ne fait pas.
              malheureusement si tout le monde suivait ça, la productivité mondiale baisserait drastiquement...
              • [^] # Re: Encore une attaque gratuite sur OVH?

                Posté par . Évalué à 1.

                ça ne veut pas dire qu'il faut rester sur son séant à gober les mouches, mais simplement de se former correctement avant de faire. Et se former correctement, ça n'est pas suivre un tuto sans réfléchir...
  • # SPF: mauvaise bonne idée

    Posté par (page perso) . Évalué à 8.

    SPF était à l'origine une bonne idée. Mais à l'usage on se rend vite compte que finalement cela n'est pas si intéressant que ça:

    - Le cas des forward n'est pas pris en compte. Truc.com a un record SPF qui exclu tout autre serveur que les siens. Un mail provenant de toto@truc.com est envoyé à toto@machin.com. Toto, sur machin.com a un .forward qui redirige vers toto@bidule.com. le mail de toto@truc.com arrivera sur toto@bidule.com via les serveurs de machin.com. machin.com vérifie le record SPF de truc.com: c'est -all: le mail est refusé.

    - Il s'avère que bcp de domaines (dont des pro comme cybertrust, par exemple) mettent des records SPF dans leur DNS puis les oublient. Avec le temps, la liste des serveurs annoncé dans le records SPF ne correspond plus au pool de SMTP du domaine.

    Au final, j'ai été obligé de réduire l'usage de SPF à un simple test dans spamassassin. La règle SPF doit avoir un score de 0.5 tellement c'est peu fiable.

    Finalement,comme briaeros007 le dit, DKIM (qui reste compatible avec SPF) est l'alternative la plus fiable.
    • [^] # Re: SPF: mauvaise bonne idée

      Posté par . Évalué à 4.

      Le cas des forward n'est pas pris en compte. Truc.com a un record SPF qui exclu tout autre serveur que les siens. Un mail provenant de toto@truc.com est envoyé à toto@machin.com. Toto, sur machin.com a un .forward qui redirige vers toto@bidule.com. le mail de toto@truc.com arrivera sur toto@bidule.com via les serveurs de machin.com. machin.com vérifie le record SPF de truc.com: c'est -all: le mail est refusé.

      Mais machin, il répondra à truc, toto, bidule, machin ou all ?
    • [^] # Re: SPF: mauvaise bonne idée

      Posté par (page perso) . Évalué à 6.

      J'ai effectivement lu pas mal de critiques sur SPF, la plus importante (reprise ici : http://david.woodhou.se/why-not-spf.html ) étant sur les redirections de courrier, que j'utilise beaucoup. De ce point de vue je trouve que SPF est complètement à côté de la plaque. Et pouvoir perdre du courrier à cause d'un techno comme ça c'est vraiment stupide.

      Sans compter que le principe de base me semble complètement mal pensé : pourquoi empêcher les gens d'envoyer des mails depuis leur serveur préféré ? Par exemple pour moi GMail leur serveur est souvent lent ou HS, j'utilise mon serveur perso pour mes adresses GMail. Pourquoi un serveur de mail en face pourrait décréter que je n'ai pas le droit de le faire ?!

      Bref, le spam est un problème, mais là c'est une mauvaise solution.

      « Je vois bien à quels excès peut conduire une démocratie d'opinion débridée, je le vis tous les jours. » (Nicolas Sarkozy)

  • # Man submission

    Posté par (page perso) . Évalué à 2.

    Chez laposte.net c'est plus récent : puisque le serveur SMTP utilise le port 25, bloqué par beaucoup de FAI par défaut, laposte.net conseille l'utilisation du serveur SMTP de son fournisseur d'accès pour envoyer des e-mails.

    Depuis, on a inventé le port de soumission de courrier (TCP 587), qui sert précisément à contacter un relais de courrier. Avec pour contrainte que celui-ci devrait vérifier l'identité de celui qui soumet le courrier, soit par adresse dans le cas d'un réseau interne, soit pas identifiant et mot de passe, le tout sur connexion chiffrée.

    Mais bon, c'est la Poste, donc connexion chiffrée, il ne faut pas trop leur en demander, quand même.
    • [^] # Re: Man submission

      Posté par (page perso) . Évalué à 2.

      Oui, je viens de découvrir que c'est disponible en Beta test chez Free.fr ! Par contre, j'ia l'impression qu'ils ne gèrent aucun chifrement de la connexion!

      ⚓ À g'Auch TOUTE! http://afdgauch.online.fr

      • [^] # Re: Man submission

        Posté par (page perso) . Évalué à 3.

        Ah, c'est possible. Les grands opérateurs, et, d'une façon générale, les professionnels, par opposition aux amateurs, sont limités par leur inertie et leur recherche de rentabilité.

        Donc ce genre de services modernes (DKIM, soumission SMTP chiffrée et identifiée, IPv6), ne l'attendez par trop chez les pro : c'est surtout déployé chez les amateurs.
        • [^] # Re: Man submission

          Posté par . Évalué à 5.

          ne l'attendez par trop chez les pro : c'est surtout déployé chez les amateurs.
          Et par Google.

          THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.

        • [^] # Re: Man submission

          Posté par . Évalué à 2.

          >ne l'attendez par trop chez les pro : c'est surtout déployé chez les amateurs.

          Chez les pros payants du mail, je pense que ça doit être déployé. Je pense que c'est surtout pour les généralistes comme des fai, pour qui le mail fait partie de l'offre, mais n'est pas essentiel, que le déployement n'est pas encore fait, pour cause d'inertie ou de rentabilité.
        • [^] # Re: Man submission

          Posté par (page perso) . Évalué à 6.

          M'enfin, chez Free j'ai de l'IPv6 depuis des années, le port 25 ouvrable (il est fermé par défaut pour limiter le SPAM). Je suis quand même très satisfait vu la modicité du prix!

          ⚓ À g'Auch TOUTE! http://afdgauch.online.fr

  • # Encore et toujours ce bon vieux SMTP.

    Posté par . Évalué à 5.

    C'est quand que l'on change d'architecture mail au lieu d'essayer de boucher les trous d'un dinosaure ?

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.