Journal Free active l'IPv6 sur ses serveurs de mail

Posté par .
Tags :
10
21
juin
2011

Apparemment, après l'IPv6 day, certains s'emballent et activent à tout-và :/

Certains de vous, utilisant un tunnel IPv6, ont probablement eu la mauvaise surprise en essayant d'envoyer un email via free.fr de se retrouver avec un:

 554 5.7.1 <unknown[2001:6f8:x]>: Client host rejected: Access denied

En effet, free vient d'activer la résolution ipv6 sur ses serveurs smtp.

host -t AAAA smtp.free.fr
smtp.free.fr has IPv6 address 2a01:e0c:1:1599::10

Mais ils rejettent apparemment toute adresse ipv6 n'étant pas de leur réseau (voire sans reverse dns/mx: Point à creuser).

Or, tous leurs clients n'ont pas accès à l'IPv6 fourni par Free (non dégroupés) et dans ce cas passent par un tunnel. Free n'a pas non plus eu la bonne idée d'activer l'authentification sur le SMTP (quoique avec le filtrage actuel à la connexion, on se demande à en quoi ça solutionnerait notre problème).

Solution forcer la résolution v4. Ex sur un simple desktop:

212.27.48.4 smtp.free.fr >> /etc/hosts
  • # smtp sortant uniquement

    Posté par . Évalué à 8.

    Heu...

    Cela semble être juste le smtp sortant. C'est à dire le smtp que les clients free utilisent pour mettre des mails.

    Les MX du domaines free.fr (champs indiquants quelle(s) machines reçoivent les mails) n'ont pas de AAAA et ne sont donc pas accessibles en IPv6.

    geb@arkintoofle:~$ dig mx free.fr +short
    10 mx1.free.fr.
    20 mx2.free.fr.
    geb@arkintoofle:~$ dig AAAA mx1.free.fr +short # Pas d'adresse retournée
    geb@arkintoofle:~$ dig AAAA mx2.free.fr +short # Pas d'adresse retournée
    geb@arkintoofle:~$ dig A mx1.free.fr +short 
    212.27.48.7
    212.27.48.6
    geb@arkintoofle:~$ dig A mx2.free.fr +short
    212.27.42.59
    212.27.42.58
    
  • # ...et ne sait pas configurer ses zone DNS

    Posté par . Évalué à 1.

    ~$ host 2a01:e0c:1:1599::10

    0.1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.9.9.5.1.1.0.0.0.c.0.e.0.1.0.a.2.ip6.arpa domain name pointer smtp1-g21.free.fr.

    $ host smtp1-g21.free.fr
    smtp1-g21.free.fr has address 212.27.42.1

    Le reverse est configuré, mais où est l'enregistrement AAAA ???

    Ayant un serveur SMTP paranoïaque (envers les spammeurs mal configurés en général), j'ai dû mettre les serveurs de Free en "liste blanche" car je rejetais leurs mails.

    Reynald

    • [^] # Re: ...et ne sait pas configurer ses zone DNS

      Posté par (page perso) . Évalué à 10.

      Ayant un serveur SMTP paranoïaque (envers les spammeurs mal configurés en général)

      Correction : envers les serveur mal configurés ou les serveur sur des connexions mal loties. Parce que lorsque quelqu'un n'a pas de DNS inverse, ce n'est pas sa faute mais celle de son FAI. Ça ne donne pas le moindre indice sur le fait que ce soit ou non un spammeur.

      D'ailleurs, tu pourrais préciser ces réglages paranoïaques, pour voir ?

      • [^] # Re: ...et ne sait pas configurer ses zone DNS

        Posté par . Évalué à 4.

        Parce que lorsque quelqu'un n'a pas de DNS inverse, ce n'est pas sa faute mais celle de son FAI.

        Et s'il a un mauvais FAI, c'est de la faute à qui?

        Autant je suis d'accord pour dire que les opérateurs font de la merde. Autant une IP dynamique, dont le reverse est générique, bref qui ne présente aucun caractère objectif pour la différencier d'un zombie, je comprends qu'on la foute en spam.

        THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.

        • [^] # Re: ...et ne sait pas configurer ses zone DNS

          Posté par . Évalué à 3.

          Et s'il a un mauvais FAI, c'est de la faute à qui?

          Je crois qu'en général mme Michu ne sait même pas ce qu'est une ip dynamique. Alors pour le reverse et sa généricité ...

          • [^] # Re: ...et ne sait pas configurer ses zone DNS

            Posté par . Évalué à 7.

            Ouais mais madame Michu, ni personne d'autre, ne devrait essayer de monter un serveur mail sans savoir ce qu'est une adresse IP et un reverse.

            THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.

            • [^] # Re: ...et ne sait pas configurer ses zone DNS

              Posté par . Évalué à 10.

              Autant je suis d'accord pour dire que les opérateurs font de la merde. Autant une IP dynamique, dont le reverse est générique, bref qui ne présente aucun caractère objectif pour la différencier d'un zombie, je comprends qu'on la foute en spam.

              Ouais mais madame Michu, ni personne d'autre, ne devrait essayer de monter un serveur mail sans savoir ce qu'est une adresse IP et un reverse.

              La paille, la poutre ;-)

              En effet, en l'occurrence dans les RFCs,
              - Rien impose qu'un reverse soit définit pour une adresse IP.
              - Rien impose que si reverse il y a, ce reverse pointe vers un FQDN.
              - Rien impose que si reverse qui pointe vers un FQDN il y a, celui ci est une quelconque correspondance avec le FQDN de la machine.
              - Rien impose qu'il y le EHLO/HELO envoyé par un serveur mail soit un FQDN.
              - Rien impose que si le EHLO/HELO envoyé par un serveur mail est un FQDN, celui ci est une quelconque correspondance avec le FQDN de la machine, le domaine utilisé pour émettre le mail, ou encore le PTR de la machine.

              Ce type de filtrage, bien qu'efficace dans la pratique, ne repose sur aucune norme écrite et critère objectif. Il est très loin d'être exempt de faux positifs. Au final, cela revient à quasiment à la même chose que d'utiliser des listes noires de tous les clients xDSL et donc n'autoriser l'envoie de mails que depuis certaines machines. Prêcher l'un et luter contre l'autre, c'est sans doute un peu manquer de consistance.

              • [^] # Re: ...et ne sait pas configurer ses zone DNS

                Posté par . Évalué à 5.

                On pourrait certainement faire les choses proprement et respecter les RFC si les RFC 1855 (nétiquette) et 2142 (présence de abuse@ et postmaster@), et je ne sais plus quelle règle (qui précise que abuse doit répondre dans un certain délai) étaient respectées.

                Concrètement, quand tu vois des gugusses avec des IP dynamiques, qui t'envoient du spam, et que le abuse@ du FAI ne répond pas pour te dire "on a châtié l'emmerdeur", tu finis par blacklister les IP dynamiques, et je comprends ça.

                Même Free m'a fait le coup: spam sur mon serveur @home envoyé depuis un abonné Freebox. Je forwarde avec les headers à abuse de Free en spécifiant la time-zone et tout et tout. Pas de réponse de abuse. Pourtant abuse doit répondre, c'est (aussi) son rôle. Alors pour un FAI chinois ou russe j'essaie même pas.

                Mais sur le fond, t'as entièrement raison: tout le monde devrait respecter les RFC au pied de la lettre. À commencer par la nétiquette, ce qui impliquerait de foutre en dehors d'Internet, au niveau mondial, toutes les machines zombies qui envoient du spam, vu que le spam c'est interdit par la nétiquette. Personnellement je préfèrerais ça, au filtrage des IP dynamiques. Parce que ce filtrage, c'est finalement la minorité des gens qui veulent aller de l'avant (monter un serveur mail chez eux) qui sont emmerdés par la connerie de ceux qui refusent d'évoluer (ceux qui se font zombifier leur machine).

                :)

                THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.

          • [^] # Re: ...et ne sait pas configurer ses zone DNS

            Posté par (page perso) . Évalué à 3.

            Madame Michu n'héberge pas son propre serveur smtp.

      • [^] # Re: ...et ne sait pas configurer ses zone DNS

        Posté par . Évalué à 0.

        En l'occurence, la règle qui "réagit" est "reject_unknown_clients" de Postfix, c'est à dire le rejet des hôtes sans nom, sans reverse, ou bien avec des nom/reverse ne correspondant pas.
        Et dans la pratique, à part de très rares cas comme celui (récent) de Free, cela correspond à des zombies ou des serveurs spammeurs.

        Reynald

  • # Chez moi ça a l'air de marcher

    Posté par (page perso) . Évalué à 0.

       Jun 21 05:25:13 ripley postfix/smtp[12991]: D49476111C: to=<xx@gmail.com>, orig_to=<postmaster@xxx.org>, relay=smtp.free.fr[2a01:e0c:1:1599::10]:25, delay=4.8, delays=0.17/0.01/0.97/3.6, dsn=2.0.0, status=sent (250 2.0.0 Ok: queued as XXXXXXXX)
    

    Je pense que ça vient du fait que tu essaye d'utiliser smtp.free.fr à travers ton tunnel, et donc que tu sembles venir de l'extérieur, et donc le relais n'est pas ouvert.

  • # ip6table

    Posté par . Évalué à 2.

    C'est un petit peu hors sujet, mais : à quand une interface de configuration pour ip6table au niveau de la Freebox ? (c'est quand même une des choses qui me gêne un peu : devoir configurer un firewall à la main dans chacune des machines derrière la box, alors qu'en IPv4 le NAT permettait intrinsèquement de les rendre non joignables depuis l'extérieur...)

    • [^] # Re: ip6table

      Posté par (page perso) . Évalué à 1.

      Le mode bridge n'offre aucun firewall sur la freebox !

      L'IPv6 s'apparente au mode bridge ici !

      Donc pour l'instant les deux protocoles ont le même traitement...

      Mais oui, il manque deux choses :
      * Un firewall actif qui bloque les paquets entrants non reliés à une connexion sortante pour toutes les adresses
      * La possibilités de préciser l'adresse d'un routeur à l'intérieur du sous-réseau... (problème de routage en plusieurs sous-réseau)

  • # Solutionner…

    Posté par . Évalué à 3.

    Message à caractère informatif :
    Solutionner est un néologisme inventé par quelque politicien/commercial/personne dotée d'une bien faible morale/personne ignare, ignorant l'existence du verbe résoudre, ou souhaitant faire de la démagogie.

  • # authentification sur le SMTP

    Posté par (page perso) . Évalué à 2.

    Hello,

    Sisi, il y a bien de l'authentification sur le SMTP de Free.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.